DPO – pověřenec pro ochranu osobních údajů

autor: | Led 14, 2019

GDPR

Oddíl 4

Pověřenec pro ochranu osobních údajů

Článek 37

Jmenování pověřence pro ochranu osobních údajů
1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
2. Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.
3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.
4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou nebo, vyžaduje-li to právo Unie nebo členského státu, musí pověřence pro ochranu osobních údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů. Pověřenec pro ochranu osobních údajů může jednat ve prospěch takovýchto sdružení a jiných subjektů zastupujících správce nebo zpracovatele.
5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.
6. Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.
7. Správce nebo zpracovatel zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.

Článek 38

Postavení pověřence pro ochranu osobních údajů
1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.
5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.
6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.

Článek 39

Úkoly pověřence pro ochranu osobních údajů
1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:
a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
d) spolupráce s dozorovým úřadem a
e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.
2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.

V souladu s ustanoveními článků 37, 38, 39 GDPR nabízíme:

výkon funkce DPO – Pověřence pro ochranu osobních údajů.

Cena:

podle velikosti organizace nebo firmy v rozmezí od 100,- do 3 000,- Kč/měs.

Máte předběžný zájem o službu DPO?

3 + 11 =

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost pověřence jmenovat nastává ve 3 případech, pokud:

  • zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
    Ve všech třech případech by měla být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci, bez ohledu na to, zda se jedná o zaměstnance správce, nebo externě poskytovanou službu, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.

Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom státním orgánem, ale také jinými fyzickými nebo právnickými osobami, kterým je tato pravomoc svěřena na základě národních předpisů. Může jít například o oblast veřejné dopravy, zásobování vodou a energiemi, silniční infrastrukturu nebo veřejnoprávní vysílání.

Podle nařízení může být jediný pověřenec jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou organizační strukturu. V odpovědnosti pověřence jsou rozmanité úkoly, proto musí správce zajistit, aby je jediný pověřenec zvládl plnit efektivně i přesto, že má odpovědnost za několik orgánů veřejné moci nebo veřejných subjektů. Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

 

 Příklady rozsáhlého zpracování osobních údajů:

  • zpracování údajů o pacientech v rámci běžné činnosti nemocnice
  • zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
  • zpracování údajů o aktuální zeměpisné poloze zákazníků
  • zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
  • zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
  • pracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb

Příklady zpracování, která nejsou rozsáhlá:

  • zpracování údajů o pacientech jednotlivým lékařem
  • zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem

Pravidelné a systematické monitorování jasně zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy.

Uveďme opět pár příkladů:

  • provozování telekomunikační sítě nebo telekomunikačních služeb
  • cílení internetové reklamy pomocí e-mailu
  • profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz)
  • sledování polohy, například u mobilních aplikací
  • věrnostní programy
  • behaviorální reklama; sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení
  • kamerové systémy

Pověřenci nenesou osobní odpovědnost za nedodržování GDPR.

Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Ačkoliv nařízení výslovně neupřesňuje, jaké profesní kvality by při jmenování pověřence měly být zváženy, podstatné by měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost GDPR. Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů a technického zabezpečení dat.

Nepřítomnost konfliktu zájmů úzce souvisí s požadavkem nezávislého jednání. Byť pověřenci smějí mít i jiné funkce, mohou jim být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů. Především z toho plyne, že pověřenec v organizaci nemůže zastávat pracovní místo, na kterém by stanovoval účely a prostředky zpracování osobních údajů. Typickým příkladem pozic, u nichž by výkon funkce DPO mohl představovat konflikt zájmů, jsou ředitelé IT či personálních oddělení, ale též marketingový nebo obchodní ředitel, který v rámci výkonu svých pravomocí může určovat pravidla zacházení s osobními údaji zákazníků nebo klientů.

Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou než organizace správce nebo zpracovatele). V posledně jmenovaném případě je důležité, aby každý pracovník organizace vykonávající funkci DPO splňoval všechny příslušné požadavky GDPR, a tedy např. nebyl ve střetu zájmů.

Stejně tak je důležité, aby každý takový pracovník byl chráněn ustanoveními GDPR. Například smlouva o poskytování služeb nemá být nespravedlivě vypovězena v důsledku činnosti pověřence a také žádný pracovník organizace provádějící úkoly pověřence nemá být nespravedlivě propuštěn. Je také možné kombinovat individuální schopnosti a silné stránky, takže více spolupracovníků v týmu může účinněji poskytovat služby svým klientům.

Zdroj: https://www.gdpr.cz/gdpr/dpo/

 

+420 607 888 494