Kolem jmenování pověřenců pro ochranu osobních údajů panuje mnoho mýtů a pověr. Praxe ukazuje, že řada organizací k této povinnosti přistoupilo poměrně nešťastně. Důvodem je, že často dochází k nepochopení povinností pověřence na jedné straně a správce či zpracovatele na straně druhé.
Důsledkem je, že mnoho organizací si mylně myslí, že má řádně ustaveného pověřence, splňují článek 37 GDPR a mají tak správně ošetřená “compliance” rizika. Ne vždy je to ale pravda.
Nezávislost pověřence
Podle čl. 38 odst. 3 GDPR musí být interní i externí (smluvní) pověřenec nezávislý a nesmí být činěn odpovědným za zpracování osobních údajů správcem či zpracovatelem. Je ale vždy odpovědný za řádné vykonávání činnosti pověřence a k tomu mu svědčí ochrana a nezávislost. Například nemůže být za činnosti Pověřence jakkoli sankcionován.
To ale neznamená, že by organizace nemohla činnost svého DPO nijak kontrolovat. Naopak, správce či zpracovatel může, a pro posílení své právní jistoty by se dokonce přímo měl, o činnost pověřence zajímat a dohlížet na řádný výkoj jeho povinností. Pokud pověřenec své činnosti prokazatelně nevykonává, správce či zpracovatel jej za to může činit odpovědným a vyvodit z toho patřičné důsledky.
Úkoly pověřence pro ochranu osobních údajů
Pověřenec musí řádně monitorovat (auditovat) činnosti správce či zpracovatele a účastnit se aktivit, při nichž správce či zpracovatel činí zásadní rozhodnutí o zpracování osobních údajů. Dále by měl sledovat, zda všechny osoby účastnící se na zpracování osobních údajů jsou řádně proškolené. Musí rovněž zajistit, aby nejvyšší vedení organizace bylo informováno o případných nesouladech s GDPR atd.
Pro upřesnění, je to nikoli pověřenec, ale organizace a její konkrétní pracovník/ci, kdo jsou odpovědní za zpracování osobních údajů a jeho soulad s GDPR, školení, řízení incidentů, udržování registru zpracování dle článku 30 GDPR, vyřizování podnětů subjektů údajů, aplikaci bezpečnostních opatření atd. Za tyto činnosti pověřenec tak, jak je jeho role v GDPR definována, neodpovídá. Pověřenec je povinen tyto činnosti monitorovat a nejsou-li v souladu s požadavky regulace, tak o tom informovat vedení organizace, aby mohly být přijaty kroky k nápravě.
Ve značném počtu organizací panuje mylná představa, že “ten chlapík, co prudí s GDPR, je pověřenec”. To může být zásadní omyl. Z výše uvedeného je jasné, že v každé organizaci je v principu někdo, kdo “je odpovědný za soulad s GDPR” (ale není to poveřenec) a někdo, kdo v souladu s článkem 38 monitoruje soulad s GDPR (a může to být pověřenec).
Pravidla pro jmenování pověřence
Konkrétní pravidla pro jmenování pověřence pro ochranu osobních údajů (DPO) upravuje článek 37 GDPR. Dle článku 37 jsou v zásadě možné dva hlavní režimy s několika podrežimy:
1. Organizace musí jmenovat pověřence podle čl 37 odst. 1 GDPR, nebo ho jmenuje dobrovolně
Tento pověřenec musí být nahlášen na ÚOOÚ a stává se zodpovědným za řádný výkon agendy pověřence pro ochranu osobních údajů. Pozor, neplést se zodpovědností za to, zda organizace správně zpracovává osobní údaje.
Jaké varianty pro jmenování DPO se nabízejí?
1.1 Interní pověřenec
Interní pověřenec je zaměstnanec na plný či částečný pracovní poměr, reportuje přímo nejvyššímu vedení organizace, musí konat nezávisle, atd. Jako u každého zaměstnance má organizace velmi omezenou možnost sankcí za nesprávnou činnost (max. 4,5 násobek platu), ale reálně téměř nulovou, neboť došlo-li k takovému sporu, pak daný pověřenec obvykle velmi snadno doloží, že správce mu nezajistil dostatečné podmínky pro výkon jeho funkce. Problém pak může mít naopak organizace jako taková.
1.2 Externí pověřenec
Externí pověřenec je smluvní strana, dodavatel, např advokátní kancelář či konzultační firma. V takovém případě musí být jako pověřenec určena konkrétní fyzická osoba. Smlouva činí externího pověřence přímo zodpovědného za řádnou výkon této role. To mj. znamená, že neplní-li své povinnosti a došlo-li by k incidentu (např. pokutě pro organizaci za porušení GDPR) spojeném s nesprávným výkonem činnosti DPO, pak vůči externímu pověřence může správce či zpracovatel požadovat plnou náhradu škod a další odškodnění.
1.3 Skupinový pověřenec
Jedná se o poměrně komplikovaný konstrukt (obvykle s přesahem do korporátního a mezinárodního práva), který v závislosti na struktuře organizace a způsobu implementace obsahuje mix obou předchozích variant (interní a externí). Klíčové je, zda je skupinový pověřenec u ÚOOÚ přímo registrován jako pověřenec za všechny dané správce a zpracovateli či nikoli. Pokud ano, a pakliže jde o osobu, která není zaměstnancem všech správců a zpracovatelů, pro které vykonává tuto roli, pak vůči němu daní správci a zpracovatelé mohou postupovat stejně, jako ke každému dalšímu externímu pověřenci. To znamená, že jej mohou činit jej plně odpovědným za zajištění agendy pověřence.
Velmi ovšem záleží na vnitropodnikové směrnici či smlouvě, která odpovědnosti jednotlivých osob v rámci koncernu/skupiny upravuje, případně konkrétního dokumentu upravujícímu agendu ochrany údajů v rámci skupiny.
2. Organizace nemusí jmenovat pověřence, ale vytvoří roli manažera ochrany osobních údajů
2.1 Interní manažer
Je-li implementací, resp. zajištěním souladu s GDPR pověřen interní člověk, pak může být v náplni práce činěn odpovědným za řízení ochrany osobních údajů (vč. psaní směrnic, školení lidí, řízení projektů, řízení incidentů apod.). Ovšem koncová odpovědnost je vždy na nejvyšším vedení organizace.
Manažer není registrován u ÚOOÚ a neplatí pro něj ochrana dle čl. 38 odst. 3 GDPR. Jde o řadového zaměstnance, který může být libovolně úkolován. Nejedná-li se o člena nejvyššího vedení, pak jeho odpovědností je "plnění pokynů nadřízeného a interních pokynů" a nemůže být nijak činěn odpovědným za řádné konání agendy pověřence (ani za zajištění celkového souladu organizace s GDPR).
2.2 Externí manažer
Implementací GDPR a provozováním operativních procesů může být pověřen i externí manažer či konzultant. Ten pak je smluvním dodavatelem, který podle zadání odpovědné osoby dodává sjednané řešení. Jeho odpovědnost je určena a omezena konkrétní smlouvou a nemůže být nijak činěn odpovědným za řádné konání agendy pověřence (ani za zajištění souladu organizace s GDPR).
Je vaše řešení v souladu s GDPR?
Každá organizace, na níž se GDPR vztahuje (tj. v České republice každá), by si měla provést posouzení, zda jejich nastavení fungování pověřence pro ochranu osobních údajů splňuje zákonné požadavky. K tomu lze využít například DPO online audit. Víc k tomuto tématu naleznete v dalších příspěvcích na GDPR.CZ.
Cílem tohoto článku bylo ujasnit možnosti, jaká personální řešení se k plnění článku 37 GDPR nabízejí. A varovat před některými častými chybami, které pro správce, zpracovatele i vedoucí zaměstnanci stále představují významné riziko.
