Pověřenec DPO – Odborné znalosti pověřence
Odborné znalosti a schopnosti pověřence
Článek 37, odst. 5 stanoví, že pověřenec „musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů a své schopnosti plnit úkoly stanovené v článku 39“. Recitál 97 říká, že potřebná úroveň odborných znalostí by měla být určena podle prováděných operací zpracování a podle ochrany požadované pro zpracovávané osobní údaje.
Úroveň odborných znalostí
Požadovaná úroveň odborných znalostí není přesně definována, musí však být úměrná citlivosti, složitosti a množství dat, které organizace zpracovává. Například tam, kde činnost zpracování dat je obzvláště složitá, nebo zahrnuje velké množství dat, bude zřejmě pověřenec potřebovat vyšší úroveň znalostí a větší podporu. Je také rozdíl, zda organizace předává osobní údaje mimo Evropskou unii systematicky nebo příležitostně. Pověřenec by tedy měl být vybrán pečlivě s náležitým zvážením specifických otázek ochrany dat, které organizace řeší.
Profesní kvality
Ačkoliv článek 37, odst. 5 neupřesňuje, jaké profesní kvality by při jmenování pověřence měly být zváženy, podstatné musí být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost Obecného nařízení. Prospěšné by bylo, kdyby dozorové úřady propagovaly náležité a pravidelné školení pověřenců.
Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dobrou znalost prováděných operací zpracování, stejně jako informačních systémů, bezpečnosti dat a správcových potřeb v oblasti ochrany osobních údajů.
V případě orgánu veřejné moci nebo veřejného subjektu by pověřenec měl dobře znát také administrativní pravidla a postupy dané organizace.
Schopnost plnit úkoly
Schopnost plnit úkoly přináležející pověřenci by měla být vykládána jednak ve vztahu k jeho osobním kvalitám a znalostem, ale také s ohledem na jeho postavení v organizaci. Osobní kvality by měly zahrnovat například integritu a vysokou úroveň profesionální etiky. Pověřencův prvotní zájem by měl být soulad s Obecným nařízením. Pověřenec hraje klíčovou roli při rozvoji kultury ochrany dat uvnitř organizace a pomáhá zavádět základní prvky Obecného nařízení, jako jsou zásady zpracování dat26, práva subjektu údajů27, záměrná a standardní ochrana osobních údajů28, záznamy o činnostech zpracování29, zabezpečení zpracování30 a ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů31.
Pověřenec na smlouvu o poskytování služeb
Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou, než organizace správce nebo zpracovatele). V posledně jmenovaném případě je důležité, aby každý pracovník organizace vykonávající funkci pověřence splňoval všechny platné požadavky Oddílu 4 Obecného nařízení (například je nutné, aby nikdo nebyl ve střetu zájmů). Stejně tak je důležité, aby každý takový pracovník byl chráněn ustanoveními Obecného nařízení (například smlouva o poskytování služeb nemá být nespravedlivě vypovězena v důsledku činnosti pověřence a také žádný pracovník organizace provádějící úkoly pověřence nemá být nespravedlivě propuštěn). Je také možné kombinovat individuální schopnosti a silné stránky, takže více pracovníků pracujících jako tým může účinněji poskytovat služby svým klientům.
V zájmu právní průhlednosti a dobré organizace, jakož i v zájmu předcházení konfliktům zájmů členů týmu, se doporučuje jasně rozdělit úkoly v pověřencově týmu a určit jednoho pracovníka jako hlavní kontakt a osobu „pověřenou“ péčí o zákazníka. Obecně řečeno, užitečné by bylo vymezit tyto body ve smlouvě o poskytování služeb.
Zveřejňování a sdělování kontaktních údajů pověřence
Článek 37, odst. 7 Obecného nařízení požaduje, aby správce nebo zpracovatel:
- zveřejnil kontaktní údaje pověřence
- sdělil kontaktní údaje pověřence příslušnému dozorovému úřadu
Tyto požadavky mají zajistit, aby subjekty údajů (uvnitř i mimo organizaci) a dozorové úřady mohly snadno a přímo kontaktovat pověřence, aniž by se musely obracet na jiné složky organizace. Důvěrnost je stejně tak důležitá: zaměstnanci například se mohou zdráhat podat stížnost pověřenci, nebudou-li mít záruku, že jejich sdělení bude bráno jako důvěrné.
Pověřenec je v souvislosti s plněním svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členského státu (Článek 38, odst. 5).
Kontaktní údaje pověřence by měly obsahovat informaci umožňující subjektům údajů a dozorovým úřadům jednoduchým způsobem ho zastihnout (poštovní adresa, vyhrazené telefonní číslo a/nebo vyhrazená e-mailová adresa). Pro komunikaci s veřejností lze, v odpovídajících případech, poskytnout další způsoby komunikace, například vyhrazenou horkou linku nebo zvláštní kontaktní formulář určený pověřenci na webu organizace.
Článek 37, odst. 7 nevyžaduje uvádět mezi kontaktními údaji jméno pověřence. I když v rámci osvědčených postupů by to bylo vhodné, je na rozhodnutí správce nebo zpracovatele a pověřence, zda je to nezbytné nebo účelné za daných okolností.32
Je však důležité sdělit jméno pověřence dozorovému úřadu, aby pověřenec mohl fungovat jako kontaktní místo mezi organizací a dozorovým úřadem (Článek 39, odst.1, písm. e).
WP29 dále doporučuje, aby organizace, v souladu s osvědčenými postupy, sdělily dozorovému úřadu a zaměstnancům jméno a kontaktní údaje pověřence. Jméno a kontaktní údaje pověřence mohou například být interně oznámeny na intranetu organizace, v interním telefonním seznamu a v organigramu.
Viz také:
26 Kapitola II.
27 Kapitola III.
28 Článek 25.
29 Článek 30.
30 Článek 32.
31 Články 33 a 34.
32 Stojí za zmínku, že článek 33, odst. 3, písm. b), popisující informace, které musí být poskytnuty dozorovému úřadu a subjektům údajů v případě porušení zabezpečení osobních údajů, výslovně vyžaduje, na rozdíl od článku 37, odst. 7, sdělit také jméno (a ne pouze kontaktní údaje) pověřence.
zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 4.7.2017