1. Asociace
  2. Ochrana osobních údajů – GDPR nařízení
  3. Pověřenec DPO – Postavení pověřence

Pověřenec DPO – Postavení pověřence

3. Postavení pověřence

3.1. Zapojení pověřence do veškerých záležitostí souvisejících s ochranou osobních údajů

Článek 38 Obecného nařízení stanoví, že správce a zpracovatel zajistí, aby pověřenec „byl náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů“.

Je zásadní, aby pověřenec nebo jeho tým byl zapojen co možná nejdříve do všech záležitostí týkajících se ochrany osobních údajů. V souvislosti s posouzením vlivu na ochranu osobních údajů hovoří Obecné nařízení výslovně o včasném zapojení pověřence a stanovuje, aby si správce vyžádal posudek pověřence, když provádí posouzení vlivu na ochranu osobních údajů.33 Informování pověřence a konzultace s ním hned na začátku procesu usnadní dosažení shody s Obecným nařízením, podpoří uplatnění přístupu podle zásady záměrné ochrany osobních údajů (Privacy by Design) a mělo by se tak stát standardním postupem v rámci řízení organizace. Důležité je, aby pověřenec byl brán jako diskusní partner uvnitř organizace a byl součástí příslušných pracovních skupin zabývajících se v organizaci zpracováním dat.

Z toho důvodu by organizace například měla zajistit, aby:

  • pověřenec byl pravidelně zván na schůze vyššího a středního managementu.
  • jeho přítomnost byla doporučena vždy tam, kde se dělají rozhodnutí s dopadem do ochrany osobních údajů. Pověřenec musí včas obdržet všechny podstatné informace, aby mohl poskytnout odpovídající radu.
  • stanovisku pověřence byla vždy přiznána patřičná závažnost. Pro případ nesouhlasu doporučuje WP29, jako příklad dobré praxe, zadokumentovat důvody, proč pověřencova rada nebyla následována.
  • pověřenec byl bezodkladně konzultován v případě porušení zabezpečení ochrany osobních údajů nebo jiné události.
    Správce nebo zpracovatel může, uzná-li za vhodné, vypracovat směrnice nebo programy pro ochranu osobních údajů stanovující, kdy musí být pověřenec konzultován.

3.2. Nezbytné zdroje

Obecné nařízení v článku 38, odst. 2 požaduje, aby organizace podporovaly pověřence „tím, že mu poskytují zdroje k plnění [těchto] úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí“. Zvážit je potřeba hlavně tyto aspekty:

  • aktivní podpora od vyššího vedení (na úrovni představenstva)
  • dostatečný čas pro plnění povinností. To je především důležité v případech, kdy interní pověřenec je jmenován na částečný úvazek nebo tuto funkci vykonává externí pověřenec vedle dalších povinností. Protichůdné priority by mohly vést k zanedbávání povinností pověřence. Zcela zásadní je dostatek času věnovaný úkolům pověřence. Je dobrým zvykem stanovit pevný podíl času vyhrazený pro funkci pověřence, pokud není vykonávána na plný úvazek. Je rovněž dobrým zvykem stanovit čas potřebný k výkonu funkce, náležitou úroveň priority pověřencových povinností a sestavit plán práce pověřence (nebo organizace).
  • odpovídající podpora z hlediska peněžních zdrojů, infrastruktury (prostory, vybavení, zařízení) a personálu, pokud je třeba.
  • oficiální oznámení o jmenování pověřence všem zaměstnancům, aby bylo zajištěno, že jeho existence a funkce je v organizaci známa.
  • nezbytný přístup do jiných útvarů v organizaci, jako personální, právní, IT, bezpečnost, atd., aby měl pověřenec nezbytnou podporu a informace z těchto útvarů průběžné školení. Pověřenec musí dostat příležitost udržovat své znalosti v souladu s rozvojem v oblasti ochrany dat. Cílem by mělo být neustálé zvyšování úrovně znalostí a měla by také být podporována účast pověřenců na školeních o ochraně dat a dalších formách profesního rozvoje, jako jsou fóra, semináře, atp.
  • v závislosti na velikosti a struktuře organizace může se ukázat nezbytným sestavit celý tým (pověřenec a jeho personál). V takovém případě by vnitřní struktura týmu a úkoly a odpovědnosti jednotlivých členů měly být jasně stanoveny. Obdobně, pokud funkci pověřence vykonává externí poskytovatel, může skupina lidí pracujících pro tohoto poskytovatele efektivně vykonávat funkci pověřence jako tým, přičemž odpovědnost nese hlavní kontaktní osoba, které byl klient přidělen.

Obecně řečeno, čím složitější a/nebo citlivější jsou operace zpracování, tím více zdrojů musí být pověřenci dáno k dispozici. Tato funkce musí být účinným a dostatečným způsobem zabezpečena zdroji v poměru k prováděnému zpracování.

3.3. Pokyny a plnění povinností a úkolů nezávislým způsobem

Článek 38, odst. 3 stanovuje některé základní záruky napomáhající zajistit, aby pověřenec byl schopen plnit úkoly s dostatečným stupněm samostatnosti v rámci organizace. Od správců a zpracovatelů se zejména vyžaduje zajistit, aby pověřenec „nedostával žádné pokyny týkající se výkonu [jeho] úkolů“. V recitálu 97 je uvedeno, že pověřenci „bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem“.

To znamená, že při plnění úkolů podle článku 39 nesmí pověřenci dostávat pokyny jak jednat v dané oblasti, například, jakého výsledku se má dosáhnout, jak prošetřovat stížnost nebo zda konzultovat dozorový úřad. Dále jim nesmí být nařizováno přijímat určité názory v záležitostech týkajících se ochrany dat, například konkrétní výklad práva.

Autonomie pověřenců však neznamená, že mají rozhodovací pravomoci přesahující rámec jejich úkolů podle článku 39.

Za dodržení souladu s právními předpisy pro ochranu osobních údajů zůstává odpovědný správce nebo zpracovatel a musí být schopen tento soulad doložit.34 Pokud správce nebo zpracovatel učiní rozhodnutí neslučitelná s Obecným nařízením a s radou pověřence, měl by pověřenec dostat možnost své nesouhlasné stanovisko vysvětlit nejvyššímu vedení a těm, kteří tato rozhodnutí udělali. Článek 38, odst. 1 v tomto ohledu stanoví, že pověřenec „je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele“. Taková přímá podřízenost zajišťuje, že se vyšší management (např. představenstvo) dozví o radách a doporučeních pověřence coby součásti jeho poslání informovat a radit správci a zpracovateli. Dalším příkladem přímé podřízenosti je příprava výroční zprávy o činnosti pověřence pro nejvyšší úroveň řízení.

3.4. Propuštění nebo sankcionování pověřence v souvislosti s plněním jeho úkolů

Článek 38, odst. 3 stanoví, že pověřenec „není správcem nebo zpracovatelem propuštěn ani sankcionován v souvislosti s plněním svých úkolů“.

Tento požadavek posiluje samostatné postavení pověřenců a napomáhá zajistit, aby jednali nezávisle a požívali dostatečnou ochranu při plnění svých úkolů v oblasti ochrany dat.

Tresty podle Obecného nařízení jsou zapovězeny, jen pokud jsou uloženy jako následek výkonu povinností pověřence. Například, pověřenec může být názoru, že konkrétní zpracování by mohlo mít za následek vysoké riziko a doporučí správci nebo zpracovateli vypracovat posouzení vlivu na ochranu osobních údajů, ovšem správce nebo zpracovatel nesouhlasí s pověřencovým posudkem. V takové situaci nemůže být pověřenec za své doporučení propuštěn.

Tresty mohou nabývat řady forem a mohou být přímé nebo nepřímé. Mohou kupříkladu spočívat v zaražení nebo odkladu povýšení, bránění v kariérním postupu či odmítnutí výhod, které jiní zaměstnanci požívají. Není nutné tyto tresty skutečně dokonat, pouhá jejich hrozba je dostatečná, pokud je užita k potrestání pověřence z důvodů souvisejících s jeho činností.

Podle běžné zásady řízení a jak by se stalo i v případě jiných zaměstnanců nebo smluvních partnerů podléhajících národnímu obchodnímu nebo pracovnímu a trestnímu právu, mohl by pověřenec být legitimně propuštěn z důvodů jiných, než v souvislosti s jeho úkoly pověřence (například v případě krádeže, fyzického, psychického nebo sexuálního obtěžování nebo podobně silně nevhodného chování).

V této souvislosti budiž řečeno, že Obecné nařízení neupřesňuje, jak a kdy může být pověřenec propuštěn nebo nahrazen jinou osobou. Nicméně, čím stabilnější bude pověřencova smlouva a čím více záruk bude mít proti nespravedlivému propuštění, tím je pravděpodobnější, že bude jednat nezávislým způsobem. WP29 proto uvítá ze strany organizací jakékoli snahy v tomto směru.

3.5. Střet zájmů

Článek 38, odst. 6 dovoluje pověřencům „plnit i jiné úkoly a povinnosti“. Od organizace to ovšem vyžaduje zabezpečit, aby „žádné z těchto úkolů a povinností nevedly ke střetu zájmů“.

Nepřítomnost konfliktu zájmů úzce souvisí s požadavkem nezávislého jednání. Byť pověřenci smějí mít i jiné funkce, mohou jim být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů. Především z toho plyne, že pověřenec v organizaci nemůže zastávat pracovní místo, na kterém by stanovoval účely a prostředky zpracování osobních údajů. Vzhledem k organizační struktuře specifické pro každou organizaci, je potřeba tuto otázku řešit případ od případu.

V konfliktním postavení mohou typicky být pozice ve vyšším managementu (výkonný ředitel, provozní ředitel, finanční ředitel, zdravotní ředitel, vedoucí marketingového oddělení, vedoucí personálního oddělení nebo vedoucí oddělení IT), ale i pozice na nižším stupni organizační struktury, pokud v takovém postavení dochází k rozhodování o účelech a prostředcích zpracování. Konflikt zájmů může také kupříkladu vzniknout, pokud externí pověřenec bude požádán o zastupování správce nebo zpracovatele před soudem v případě týkajícím se ochrany osobních údajů.

V závislosti na činnostech, velikosti a struktuře organizace může správcům a zpracovatelům posloužit jako příklad osvědčeného postupu následující:

  • určit pracovní místa neslučitelná s výkonem funkce pověřence
  • sestavit vnitřní pravidla k zamezení střetu zájmů
  • začlenit do pravidel obecnější vysvětlení střetu zájmů
  • prohlásit, že pověřenec není ve střetu zájmů ve vztahu ke své funkci pověřence jako způsob zvyšování povědomí o tomto požadavku
  • začlenit do vnitřních pravidel záruky a zajistit, aby oznámení volného místa pověřence nebo smlouvy o poskytování služeb bylo dostatečně přesné a podrobné a tím se zamezilo střetu zájmů. V této souvislosti je dobré mít na paměti, že konflikty zájmů mohou nabývat různých forem podle toho, je-li pověřenec získáván interně nebo externě.

Mohlo by vás zajímat

33 Článek 35, odst. 2.
34 Článek 5, odst. 2.

zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 4.7.2017

Košík