Home Aktuálně

Kdo musí jmenovat Pověřence pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů, anglicky Data Protection Officer (DPO), je zcela novým institutem, v českém právní řádu dosud neetablovaném. Pověřencem je osoba, jejímž hlavním úkolem bude dohlížet na soulad postupu organizace při zpracovávání osobních údajů s požadavky, které na konkrétní druh zpracování nařízení GDPR klade.

Tuto roli může jakákoliv organizace obsadit dobrovolně, ale pro mnohé organizace bude její zřízení povinné.

Funkce Pověřence (DPO)  musí být povinně zřízena:

  • Je-li subjektem, který nakládá s osobními údaji, orgán veřejné moci či veřejnoprávní korporace
  • Při rozsáhlém systematickém monitorování fyzických osob (např. při zpracování MHD průkazek, údajů o poloze osob, údajů na sociálních sítích, údajů poskytovatelů telefonních a internetových služeb, dat u provozovatelů kamerových systémů, aj.)
  • Při rozsáhlém zpracování citlivých dat (např. v nemocnicích, bankách, pojišťovnách apod.)

Roli Pověřence může zastávat jedna osobou, více osob, nebo externí komerční služba. Zároveň jedna a tatáž osoba nebo společnost může vykonávat činnost Pověřence pro více organizací. Pověřenec může v rámci organizace zastávat i jiné role. Důležité však je, aby nedocházelo ke střetu zájmů. Pověřenec tak nesmí být osobou, která by výkonem funkce sama sobě stanovovala pravidla pro nakládání s osobními údaji, tedy například pracovník z IT, personálního, mzdového, nebo bezpečnostního oddělení. Pověřenec musí vykonávat svojí činnost nezávisle, a za tím účelem je chráněn proti nespravedlivému propuštění či zproštění funkce za výkon své činnosti.

Po profesní stránce jsou na Pověřence kladeny nemalé nároky. Pověřenec musí být znalý národní a evropské legislativy, musí se detailně orientovat v problematice ochrany osobních údajů a důkladně znát nařízení GDPR, jakož i související předpisy. Zároveň je nezbytné, aby byl Pověřenec detailně seznámen s vnitřními procesy organizace, se způsoby, jakými organizace osobní údaje zpracovává a s jejími IT systémy, které pro účely zpracování dat a jejich ochranu používá.

Do pracovní náplně Pověřence tak mimo jiné spadá:

  • monitorování souladu zpracování osobních údajů v rámci organizace s požadavky GDPR,
  • řízení agendy interní ochrany dat,
  • provádění interních auditů zpracování osobních údajů,
  • pravidelná školení pracovníků,
  • konzultace s dozorovými orgány.

Firmy nevědí o výši pokut

S tímto zjištěním přišel server Connect.zive.cz ve svém článku „Nařízení na ochranu osobních údajů přitvrdí, pokuty se budou počítat z obratu firmy.“ Informace vycházejí z průzkumu ve 151 firmách s více jak 100 zaměstnanci v České republice a na Slovensku. Ač většina firem již o GDPR slyšela, jen 8 % firem ví, jaké sankce jim hrozí.

Jaké pokuty za porušení ochrany osobních údajů od 25. května 2018 tedy hrozí? To záleží na mnoha okolnostech. Rozhodujícími faktory jsou závažnost porušení ochrany osobních údajů, délka trvání tohoto porušení, počet osob, jejichž údaje byly dotčeny, způsobená škoda, zda o porušení úmyslné či toliko nedbalostní, ale rovněž i jaké byly podniknuty kroky k nápravě konkrétního porušení.

Zjednodušeně řečeno bude porušení pravidel „ohodnoceno“ jednou ze dvou kategorií sankcí. Tou „mírnější“ sankcí je pokuta do výše až 10 miliónů EUR, nebo – jedná-li se o podnik – až do výše 2 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, v závislosti na tom, která hodnota je vyšší. Přísnější sankcí je pak pokuta ve výši dvojnásobku zmíněných hodnot, tedy do výše až 20 miliónů EUR či 4 % z  celkového ročního obratu podniku.


Mezi prohřešky spadající pod „mírnější“ sankci patří:

  • porušení pravidel při získávání osobních údajů nezletilých osob
  • nezajištění vhodných technických a organizačních opatření k ochraně osobních údajů
  • chybějící záznamy o činnostech zpracování
  • porušení ohlašovací povinnosti (data breach)
  • chybějící posouzení vlivu na ochranu osobních údajů při využití nových technologií
  • nejmenování pověřence pro ochranu osobních údajů


Mezi závažné prohřešky sankcionované přísnější sazbou patří:

  • porušení zásad zpracování osobních údajů („zákonnost, korektnost a transparentnost“)
  • zpracování dat ve větším než nezbytném rozsahu ve vztahu k účelu
  • zpracování osobních údajů bez souhlasu subjektu
  • porušení zásad zpracování zvláštních kategorií údajů (upřesnění viz níže)
  • porušení práv subjektu údajů – právo na poskytování informací o zpracování údajů, právo na přístup k údajům, právo na opravu a výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku proti zpracování dat a profilování.
  • porušení pravidel pro předávání údajů do třetích zemí nebo mezinárodním organizacím.

 

Zvláštní kategorie osobních dat: osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Nařízení evropského parlamentu

General Data Protection Regulation, zkráceně GDPR je nařízením Evropské unie, které vstoupí v účinnost 25.5.2018. Hlavní myšlenkou tohoto přímo aplikovatelného nařízení je zvýšit úroveň ochrany osobních údajů a významně posílit práva občanů Evropské unie v tomto odvětví.

Nařízení GDPR podrobně definuje, co to vlastně osobní údaje jsou a jakým způsobem je s nimi možné nakládat. Subjekt údajů, tedy osoba, jejíž osobní údaje jsou shromažďovány, musí být jasně informován o tom, jaké osobní údaje jsou shromažďovány, za jakým účelem, a musí mít možnost získat komplexní přehled o identifikaci své osoby u jednotlivých entit, které s osobními údaji nakládají. Nařízení GDPR si tak klade za cíl nejen zamezit neoprávněnému nakládání s osobními údaji, ale rovněž vytyčit jasné mantinely v moderním světě elektronických dat.

Nařízení GDPR se dotkne každého, kdo na území EU zpracovává a shromažďuje osobní údaje – ať zaměstnanců a klientů, či zákazníků a dodavatelů. Dopadat bude i na webové poskytovatele služeb, či služby, které pouze analyzují chování uživatelů na webu.

Nařízení GDPR je nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů. Česká Republika má jako jedna z mála zemí v rámci  EU zmiňovaný zákon přijatý již v současné době na poměrně dobré úrovni. O to snazší bude pro zpracovatele osobních údajů podřídit se nařízení Evropské unie – v zásadě je důležité promyslet své budoucí kroky směřující k navýšení ochrany osobních údajů a získat přehled o interních pohybech dat ve společnosti.

Mezi hlavní povinnosti, které nařízení GDPR ukládá, se řadí povinnost dostatečně informovat fyzické osoby o tom, jakým způsobem je s jejich osobními údaji nakládáno. Další povinností je například zajistit ochránit databáze s osobními údaji proti vnějším útokům, a povinnost vést záznamy o tom, kdo, kdy a jak s těmito osobními údaji nakládá.