Pověřenec DPO – Úkoly a znalosti pověřence

Úkoly pověřence

Monitorování souladu s Obecným nařízením

Článek 39, odst. 1, písm. b) svěřuje pověřencům, kromě jiných povinností, úlohu monitorovat soulad s Obecným nařízením. Recitál 97 dále ve vztahu k pověřencům upřesňuje, že „měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto [Obecným] nařízením nápomocna osoba s odbornými znalostmi“.

Pověřenec, v rámci svých povinností, může zejména:

  • shromažďovat informace za účelem zjišťování zpracovatelských činností
  • analyzovat a prověřovat právní soulad zpracovatelských činností
  • informovat, radit a vydávat doporučení správci nebo zpracovateli

Monitorování souladu neznamená, že pověřenec je osobně odpovědný za případy nesouladu. Obecné nařízení jasně stanoví, že je to správce, a nikoliv pověřenec, kdo má povinnost, že „zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto [Obecným] nařízením“. (Článek 24, odst. 1). Soulad s předpisy o ochraně dat je podniková odpovědnost správce, ne pověřence.

Role pověřence při posuzování vlivu na ochranu osobních údajů

Podle článku 35, odst. 1 je povinností správce, nikoliv pověřence, provést, pokud je nutné, posouzení vlivu na ochranu osobních údajů (dále jen „posouzení vlivu“). Pověřenec však může sehrát velmi důležitou a užitečnou roli při pomoci správci. Vycházeje z principu záměrné ochrany osobních údajů, obsahuje článek 35, odst. 2 konkrétní požadavek, aby správce „si vyžádal posudek“ pověřence při provádění posouzení vlivu. Naopak článek 39, odst. 1, písm. c) zadává pověřenci úkol „poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho uplatňování podle článku 35“.

WP29 doporučuje správcům, aby vyžadovali posudek pověřence mimo jiné k následujícím otázkám35:

  • zda je nebo není nutné provést posouzení vlivu
  • jakou metodiku při zpracování posouzení vlivu použít
  • zda posouzení vlivu vypracovat vlastními silami nebo jeho zpracování zadat externě
  • jaká ochranná opatření (včetně technických a organizačních) uplatnit pro zmírnění rizik vůči právům a zájmům subjektů údajů
  • zda posouzení vlivu bylo zpracováno správně a zda jeho závěry (ať už vedou či ne k pokračování zpracovatelské operace a bez ohledu na to, jaká ochranná opatření určují uplatnit) jsou v souladu s Obecným nařízením

Nesouhlasí-li správce s posudkem dodaným pověřencem, mělo by v dokumentaci posouzení vlivu být konkrétně odůvodněno, proč posudek nebyl vzat v úvahu36.

WP29 dále doporučuje, aby správce jasně vymezil, například ve smlouvě s pověřencem, ale také v informaci pro zaměstnance i vedení (a pro další zainteresované strany, pokud existují), přesné úkoly pověřence a jejich rozsah, zejména s ohledem na provádění posouzení vlivu.

Spolupráce s dozorovým úřadem a působení jako kontaktní místo

Podle článku 39, odst. 1, písm. d) a e) je úkolem pověřence „spolupráce s dozorovým úřadem“ a „působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci“.

Tyto úkoly se týkají role pověřence coby nápomocné osoby, jak je zmíněno v úvodu těchto vodítek. Pověřenec jedná jako kontaktní osoba usnadňující dozorovému úřadu přístup k dokumentům a informacím pro výkon úkolů podle článku 57, jakož i pro uplatňování jeho vyšetřovacích, nápravných, povolovacích a poradních pravomocí podle článku 58. Jak již bylo zmíněno, pověřenec je v souvislosti s výkonem svých úkolů vázán tajemstvím a důvěrností v souladu s právem Unie nebo členského státu (Článek 38, odst. 5). Závazek tajemství, resp. důvěrnosti však pověřenci nebrání kontaktovat dozorový orgán se žádostí o radu. Článek 39, odst. 1, písm. e) stanoví, že pověřenec může případně vést konzultace s dozorovým úřadem v jakékoli věci.

Přístup založený na riziku

Článek 39, odst. 2 říká, že správce „bere patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.“

Tento článek se odvolává na obecnou zásadu organizace práce a na selský rozum, tedy principy, které mohou být důležité v mnoha aspektech každodenní práce pověřence. V podstatě od pověřenců vyžaduje přiřazovat priority svým činnostem a zaměřit úsilí na záležitosti představující zvýšené riziko z hlediska ochrany osobních údajů. To neznamená, že by měli zanedbávat monitorování souladu u operací zpracování, u kterých je srovnatelně menší riziko, pouze upozorňuje, že prvotně by se měli zaměřovat na oblasti s rizikem vyšším.

Tento výběrový a pragmatický přístup by měl pověřencům pomoci při poskytování rad správci ve věci, jakou metodiku použít při provádění posouzení vlivu, které oblasti by měly být předmětem vnitřního nebo externího auditu, jaká interní školení poskytnout zaměstnancům nebo členům vedení zodpovědným za zpracovatelské činnosti a kterým operacím zpracování věnovat více času a zdrojů.

Role pověřence při vedení záznamů

Článek 30, odst. 1 a 2 stanoví, že správce nebo zpracovatel, nikoliv pověřenec, „vede záznamy o činnostech zpracování, za něž zodpovídá“ nebo „vede záznamy o všech kategoriích činností prováděných pro správce“.

Pověřenci ve své praxi často vytváří přehledy a vedou registr operací zpracování na základě informací od různých oddělení jejich organizace, zodpovědných za zpracování osobních údajů. Tato praxe se ustálila podle mnoha současných národních zákonů a podle pravidel ochrany dat, kterými se řídí instituce a subjekty EU.37

Článek 39, odst. 1 obsahuje výčet úkolů pověřence v minimálně požadovaném rozsahu. Nic tedy nebrání správci nebo zpracovateli, aby pověřence zaúkolovali vedením záznamů o činnostech zpracování, za něž odpovídají. Takové záznamy by měly být považovány za jeden z nástrojů umožňující pověřenci plnit úkoly spočívající v monitorování souladu a informování a poskytování poradenství správci nebo zpracovateli.

Záznamy vedené podle článku 30 by také měly být brány jako nástroj umožňující správci nebo dozorovému úřadu získat na vyžádání přehled všech činností zpracování osobních údajů v organizaci prováděných. Jsou tedy předpokladem dosažení právního souladu a jako takové i účinným opatřením směrem k odpovědnosti.

 

Odborné znalosti a schopnosti pověřence

Článek 37, odst. 5 stanoví, že pověřenec „musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů a své schopnosti plnit úkoly stanovené v článku 39“. Recitál 97 říká, že potřebná úroveň odborných znalostí by měla být určena podle prováděných operací zpracování a podle ochrany požadované pro zpracovávané osobní údaje.

 Profesní kvality

Ačkoliv článek 37, odst. 5 neupřesňuje, jaké profesní kvality by při jmenování pověřence měly být zváženy, podstatné musí být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost Obecného nařízení. Prospěšné by bylo, kdyby dozorové úřady propagovaly náležité a pravidelné školení pověřenců.

Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dobrou znalost prováděných operací zpracování, stejně jako informačních systémů, bezpečnosti dat a správcových potřeb v oblasti ochrany osobních údajů. V případě orgánu veřejné moci nebo veřejného subjektu by pověřenec měl dobře znát také administrativní pravidla a postupy dané organizace.

Schopnost plnit úkoly

Schopnost plnit úkoly přináležející pověřenci by měla být vykládána jednak ve vztahu k jeho osobním kvalitám a znalostem, ale také s ohledem na jeho postavení v organizaci. Osobní kvality by měly zahrnovat například integritu a vysokou úroveň profesionální etiky. Pověřencův prvotní zájem by měl být soulad s Obecným nařízením. Pověřenec hraje klíčovou roli při rozvoji kultury ochrany dat uvnitř organizace a pomáhá zavádět základní prvky Obecného nařízení, jako jsou zásady zpracování dat26, práva subjektu údajů27, záměrná a standardní ochrana osobních údajů28, záznamy o činnostech zpracování29, zabezpečení zpracování30 a ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů31.

Podrobněji ke kvalitám pověřence, zveřejňování a sdělování kontaktních údajů pověřence a ustavení pověřenec na smlouvu zde.

Mohlo by vás zajímat


35 Článek 39, odst. 1 zmiňuje úkoly pověřence a uvádí, že pověřenec má vykonávat „alespoň“ tyto úkoly. Nic proto nebrání správci, aby pověřenci přidělil i jiné úkoly, než ty, které jsou výslovně uvedeny v článku 39, odst. 1 nebo tyto úkoly upřesnil do většího detailu.
36 Článek 24, odst. 1 stanoví, že „s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.“
37 Článek 24, odst. 1, písm. d), Nařízení (ES) 45/2001.


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 4.7.2017

Košík