Kdo je DPO?

Data Protection Officer neboli DPO (česky Pověřenec pro ochranu osobních údajů) je nově vytvořenou pracovní pozicí podle GDPR.

Obecné informace

DPO neboli Data Protection Officer, v češtině pověřenec pro ochranu osobních údajů, je nově zavedená funkce, kterou zavádí GDPR. DPO bude plnit funkci pomocníka či koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a zároveň funkci jakéhosi kontaktního bodu pro jeho komunikaci s dozorovými úřady (v ČR s Úřadem pro ochranu osobních údajů).

Povinnosti DPO

Nařízení upravuje několik úkolů a povinností pověřence. Pověřenec má za povinnost sledovat soulad vnitřní praxe podniku s právní ochranou úpravou ochrany osobních údajů. Pověřenec by měl sbírat informace k preciznímu rozpoznání a vymezení zpracovávání osobních údajů, měl by analyzovat a kontrolovat shodu vnitřní praxe zpracovávání s právní úpravou, či informovat, radit a vydávat doporučení pro správce nebo zpracovatele osobních údajů. Podle čl. 35 odst. 1 má pověřenec poradní funkci při provádění posouzení vlivu na ochranu osobních údajů. Nejdříve se provede analýza, zda se musí provést posouzení vlivu na ochranu osobních údajů. Pak se vybere vhodná metoda a posoudí se, jaké záruky se mají aplikovat, aby se snížilo riziko vlivu na práva a zájmy subjektů údajů. Pověřenec spolupracuje s dozorovým úřadem a působí jako kontaktní místo pro dozorový úřad, což je v případě České republiky Úřad pro ochranu osobních údajů. Správce může pověřit DPO i jinými činnostmi. Žádná z těchto činností nesmí vést ke střetu zájmu na straně pověřence. To souvisí s požadavkem na nezávislé chování pověřence.

Vztah správce a DPO

Pověřenec může být, jak zaměstnanec správce, tak externě spolupracující osobou nebo organizací, která plní své úkoly na základě smlouvy o poskytování služeb. Jedna osoba může vykonávat funkci pověřence pro skupinu podniků nebo několik orgánů veřejné moci. Pověřenec musí být jmenován správcem ve třech případech.

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Za hlavní činnost správce mají být považovány ty činnosti, které souvisejí s jeho základními obchodními a provozními činnostmi. Správce nemusí jmenovat pověřence v případě, že zpracování osobních údajů provádí pouze jako pomocná činnost k dosažení základních cílů činnosti správce. Pod rozsáhlé zpracování se uvádí zpracování osobních údajů pacientů nemocnicí (nikoliv však zpracování osobních údajů jednotlivým lékařem), zpracování osobních údajů zákazníků pojišťovnou nebo bankou či zpracování osobních údajů za účelem personalizování obsahu a cílení reklamy na základě chování při používání vyhledávacích nástrojů. Pravidelné a systematické monitorování jasně zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. Je to např. provozování telekomunikační sítě nebo telekomunikačních služeb, cílení internetové reklamy pomocí e-mailu.

Pověřenec má být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly. Pověřenec by neměl postrádat znalosti v oblasti národní i evropské oblasti ochrany osobních údajů a hluboké znalosti Nařízení. Nařízení přímo nepožaduje právnické vzdělání, je však výhodné si pro funkci pověřence právníka najmout. Pověřenec by měl znát organizační strukturu správce a orientovat se v podmínkách zpracování osobních údajů.

Pověřenec je v rámci své funkce nezávislý. Správce mu nemůže udělovat žádné pokyny týkající se výkonu úkolů pověřence. Správce nemůže pověřence propustit ani jinak sankcionovat. Pověřenec by měl být přímo podřízen řídícím orgánům správce. Správce musí poskytnout pověřenci veškeré zdroje a nezbytnou součinnost. Za tyto zdroje se považuje např. nezbytný přístup a komunikace s jinými podnikovými odděleními, poskytnutí dostatečného času, vybavení a případně personálního zázemí, aby mohl pověřenec vykonávat své povinnosti. Pověřen by za výkon své funkce měl dostávat přiměřené finanční ohodnocení.

Vztah zpracovatele a DPO

Pro vztah zpracovatele a pověřence platí to samé, co pro vztah správce a pověřence. Pověřenec může být, jak zaměstnanec zpracovatele, tak externě spolupracující osobou nebo organizací, která plní své úkoly na základě smlouvy o poskytování služeb. Pověřenec musí být jmenován zpracovatelem ve třech případech.

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Pověřenec má být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly. Pověřenec by neměl postrádat znalosti v oblasti národní i evropské oblasti ochrany osobních údajů a hluboké znalosti Nařízení. Nařízení přímo nepožaduje právnické vzdělání, je však výhodné si pro funkci pověřence právníka najmout. Pověřenec by měl znát organizační strukturu správce a orientovat se v podmínkách zpracování osobních údajů.

Pověřenec je v rámci své funkce nezávislý. Zpracovatel mu nemůže udělovat žádné pokyny týkající se výkonu úkolů pověřence. Zpracovatel nemůže pověřence propustit ani jinak sankcionovat. Pověřenec by měl být přímo podřízen řídícím orgánům zpracovatele. Zpracovatel musí poskytnout pověřenci veškeré zdroje a nezbytnou součinnost. Za tyto zdroje se považuje např. nezbytný přístup a komunikace s jinými podnikovými odděleními, poskytnutí dostatečného času, vybavení a případně personálního zázemí, aby mohl pověřenec vykonávat své povinnosti. Pověřenec by za výkon své funkce měl dostávat přiměřené finanční ohodnocení.

Omezení odpovědnosti

Pověřenec nenese osobní odpovědnost za nedodržování GDPR. Za zajištění ochrany údajů jsou odpovědní správci a zpracovatelé. V případě porušení Nařízení však správce nebo zpracovatel mohou namítat, že tím, že jmenovali pověřence, vynaložili veškeré úsilí na ochranu osobních údajů.