POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ

Pověřenec pro ochranu osobních údajů má podle nařízení GDPR plnit funkci pomocníka či koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a zároveň funkci jakéhosi kontaktního bodu pro jeho komunikaci s dozorovými úřady (v ČR s Úřadem pro ochranu osobních údajů).  Veškeré služby pověřence pro Vás můžeme zajistit.

Kdo musí pověřence jmenovat?

Povinné jmenování pověřence pro ochranu osobních údajů předepisuje nařízení GDPR v článku 37 pro následující případy:
zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (nehledě na to, jaké kategorie osobních údajů a v jaké míře zpracovává); hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo vyžaduje-li tak právo Evropské unie nebo členského státu.
Jak je patrné, Nařízení operuje s poměrně vágními pojmy jako „hlavní činnost“, „rozsáhlý“ nebo „pravidelný a systematický“ a nechává tak prostor pro více možných výkladů. Pro odstranění výkladových pochybností pracovní skupina WP29 podává v Pokynech bližší výklad těchto pojmových znaků, jejichž naplnění zakládá povinnost správce nebo zpracovatele osobních údajů jmenovat pověřence, a zároveň uvádí některé případy, které je podle jejího názoru možné pod tyto pojmy podřadit.
Pověřenec pro osobní údaje je ve větších firmám či organizacích užitečná funkce a když ji budete mít, nic nezkazíte. Ulehčíte si situaci, protože budete mít osobu či firmu, která Vám poradí, na kterou se může kdokoli obrátit a bude kontrolovat ve Vaši firmě, zda je vše v pořádku.

Co dělat v případě, že není dána povinnost jmenovat pověřence?

Z výše uvedeného vyplývá, že povinnost ustavit funkci pověřence pro ochranu osobních údajů, jmenovat jej a vybavit příslušnými kompetencemi není dána vždy. V každém případě bude záležet na posouzení, zda spadá zpracování osobních údajů subjektů mezi hlavní činnosti správce anebo zpracovatele.
Doporučujeme, aby každý správce anebo zpracovatel, který pověřence nejmenuje, disponoval stanoviskem, či odůvodněním, proč nepovažuje podmínky nařízení GDPR pro povinné jmenování pověřence v rámci své obchodní a provozní činnosti za naplněné. Jinak řečeno, je doporučenou praxí provést vnitřní analýzu a připravit dokument obecné povahy, v němž bude doloženo, že (a proč) není hlavní činností správce nebo zpracovatele rozsáhlé pravidelné a systematické monitorování subjektů údajů anebo zpracování zvláštních kategorií osobních údajů.
V případě, že se správce nebo zpracovatel, který není k jmenování pověřence povinen, rozhodne jmenovat pověřence dobrovolně, uplatní se na jeho jmenování, postavení a úkoly stejné zákonné požadavky, jakoby se jednalo o povinně jmenovaného pověřence.

Postavení pověřence pro ochranu osobních údajů

Pozici pověřence pro ochranu osobních údajů může správce nebo zpracovatel obsadit jak svým pracovníkem (zaměstnancem), tak externě spolupracující osobou nebo organizací, která bude své úkoly plnit na základě smlouvy o poskytování služeb.
Pověřenec pro ochranu osobních údajů má být podle článku 38 odst. 1 nařízení GDPR náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
Doporučujeme, aby správce nebo zpracovatel zajistil odpovídající míru kompetence a pravomocí na straně pověřence, například tím, že pověřence přizve k pravidelným schůzkám vyššího a středního managementu, zajistí účast a stanovisko pověřence v situacích, kdy jsou přijímána rozhodnutí, která se mohou dotknout ochrany osobních údajů, poskytne pověřenci všechny relevantní informace v dostatečné lhůtě, aby k nim mohl vyjádřit své stanovisko, zajistí, aby názoru pověřence na situaci, která se dotýká oblasti ochrany osobních údajů, byla vždy přikládána váha (pokud s názorem pověřence vedení společnosti nesouhlasí, doporučujeme zdokumentovat důvody, které vedly k nevyslyšení stanoviska pověřence), zajistí okamžité informování pověřence po porušení zabezpečení osobních údajů nebo jiném bezpečnostním incidentu atp.

Úkoly pověřence pro ochranu osobních údajů

Nařízení předepisuje pověřenci několik úkolů a povinností. Mezi ty hlavní řadí sledování souladu vnitřní praxe podniku s právní úpravou ochrany osobních údajů. Zejména je vhodné, aby pověřenec sbíral informace k preciznímu rozpoznání a vymezení zpracovávání osobních údajů, analyzoval a kontroloval shodu vnitřní praxe zpracovávání s právní úpravou, či informoval, radil a vydával doporučení pro správce nebo zpracovatele osobních údajů.
Nařízení GDPR povoluje správci pověřit pověřence i jinými úkoly a povinnostmi. Dle Pokynů je však správce povinen zajistit, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů na straně pověřence; neexistence konfliktu zájmů je úzce spojena s požadavkem na jeho nezávislé chování. Přestože je pověřencům umožněno vykonávat i jiné funkce a úkoly, ty jim však mohou být svěřeny pouze tehdy, pokud nejsou v pozici konfliktu zájmů s výkonem funkce pověřence (např. pověřenec nemůže zároveň působit na pozici, ve které by určoval účely a důvody zpracovávání osobních údajů).

Pověřence Vám rádi poskytneme, který bude plně nezávislý, odborně vzdělaný a bude pravidelně školen ve vývoji problematiky GDPR. Pro bližší informace nás kontaktujte.

S pozdravem

Ing. Jaroslav Rada – jednatel

Nabízíme komplexní řešení pro:

Telefonický kontakt

Odešlete nám Vaše telefonní číslo a my Vás budeme kontaktovat.

Kontaktní formulář bezplatné konzultace

TOPlist