Kdo musí jmenovat Pověřence pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů, anglicky Data Protection Officer (DPO), je zcela novým institutem, v českém právní řádu dosud neetablovaném. Pověřencem je osoba, jejímž hlavním úkolem bude dohlížet na soulad postupu organizace při zpracovávání osobních údajů s požadavky, které na konkrétní druh zpracování nařízení GDPR klade.

Tuto roli může jakákoliv organizace obsadit dobrovolně, ale pro mnohé organizace bude její zřízení povinné.

Funkce Pověřence (DPO)  musí být povinně zřízena:

  • Je-li subjektem, který nakládá s osobními údaji, orgán veřejné moci či veřejnoprávní korporace
  • Při rozsáhlém systematickém monitorování fyzických osob (např. při zpracování MHD průkazek, údajů o poloze osob, údajů na sociálních sítích, údajů poskytovatelů telefonních a internetových služeb, dat u provozovatelů kamerových systémů, aj.)
  • Při rozsáhlém zpracování citlivých dat (např. v nemocnicích, bankách, pojišťovnách apod.)

Roli Pověřence může zastávat jedna osobou, více osob, nebo externí komerční služba. Zároveň jedna a tatáž osoba nebo společnost může vykonávat činnost Pověřence pro více organizací. Pověřenec může v rámci organizace zastávat i jiné role. Důležité však je, aby nedocházelo ke střetu zájmů. Pověřenec tak nesmí být osobou, která by výkonem funkce sama sobě stanovovala pravidla pro nakládání s osobními údaji, tedy například pracovník z IT, personálního, mzdového, nebo bezpečnostního oddělení. Pověřenec musí vykonávat svojí činnost nezávisle, a za tím účelem je chráněn proti nespravedlivému propuštění či zproštění funkce za výkon své činnosti.

Po profesní stránce jsou na Pověřence kladeny nemalé nároky. Pověřenec musí být znalý národní a evropské legislativy, musí se detailně orientovat v problematice ochrany osobních údajů a důkladně znát nařízení GDPR, jakož i související předpisy. Zároveň je nezbytné, aby byl Pověřenec detailně seznámen s vnitřními procesy organizace, se způsoby, jakými organizace osobní údaje zpracovává a s jejími IT systémy, které pro účely zpracování dat a jejich ochranu používá.

Do pracovní náplně Pověřence tak mimo jiné spadá:

  • monitorování souladu zpracování osobních údajů v rámci organizace s požadavky GDPR,
  • řízení agendy interní ochrany dat,
  • provádění interních auditů zpracování osobních údajů,
  • pravidelná školení pracovníků,
  • konzultace s dozorovými orgány.