Směrnice GDPR – otázky – 9. Pověřenec pro ochranu osobních údajů
9. Pověřenec pro ochranu osobních údajů
Kdo musí jmenovat pověřence pro ochranu osobních údajů?
Pověřence musí jmenovat správce a zpracovatel pokud:
- zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí,
- hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
- hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobích údajů a osobních údajů týkajících se rozsudků v trestních věcech.
Skupina podniků může jmenovat jediného pověřence, avšak musí být pro každý podnik snadno dosažitelný.
Musí mít svého pověřence každá obec?
Vzhledem k tomu, že obec lze považovat za orgán veřejné moci, resp. veřejný subjekt ve smyslu článku 37 odst. 1 písm. a) Obecného nařízení, formálně na ní dopadá povinnost jmenovat pověřence. Úřad však není toho názoru, že by každá obec musela mít svého vlastního samostatného pověřence, ale je možné, aby pro určitý počet obcí vykonával činnost pověřence např. pověřenec vyššího územně samosprávného celku či se několik obcí dohodlo a najaly si vlastního pověřence. S tímto ostatně počítá i Obecné nařízení, které umožňuje pro více správců, kteří jsou orgánem veřejné moci či veřejným subjektem, jmenovat jednoho pověřence.
Musí být pověřenec organizačně podřízen přímo vedení organizace?
Pověřenec pro ochranu osobních údajů musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Nejde však o podmínku organizační, tj. že pověřence musí řídit přímo vedení organizace, ale jde o podmínku, aby pověřenec měl přímý přístup k vedení organizace, tj. aby při předávání informací vedení organizace nebyl mezi pověřencem a vedením další mezičlánek a pověřenec se tak na vedení organizace mohl kdykoli obrátit v záležitostech ochrany osobních údajů.
Jaké jsou úkoly pověřence pro ochranu osobních údajů?
Především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnancům, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s Obecným nařízením a dalšími předpisy. Pověřenec poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s Úřadem pro ochranu osobních údajů a působení jako kontaktní místo.
Jaké má mít pověřenec pro ochranu osobních údajů vzdělání?
Obecné nařízení nestanovuje přesné požadavky na vzdělání pověřence ve smyslu akademických titulů. Pověřenec musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat Obecné nařízení. Každému správci může vyhovovat pověřenec s jiným vzděláním (např. právní vzdělání versus technické).
Musí být pověřenec pro ochranu osobních údajů certifikován?
Obecné nařízení nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i necertifikovanou osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů a Obecném nařízení. Do budoucna není vyloučen vznik subjektů, které se „certifikace“ pověřenců chopí, nicméně využití certifikace pověřence bude na dobrovolné bázi, a to jak ze strany pověřence, tak ze strany správce, který nemá povinnost vybírat certifikovaného pověřence.
Může poskytnout pověřence i právnická osoba? Např. jako službu?
Obecné nařízení tuto možnost nevylučuje, resp. umožňuje i jeho fungování na základě smlouvy o poskytování služeb. Vždy však musí být, v případě, že pověřence jako službu poskytuje právnická osoba, určena konkrétní fyzická osoba, která pověřence bude vykonávat. Při uvažování o využití služby pověřence by měl správce vzít v úvahu i to, že pověřencem by měla být osoba, která zpracování osobních údajů u správce detailně pozná a pouze tak dokáže identifikovat případná riziková místa či slabiny, což u najatého pověřence být nemusí. Také je vhodné zvážit konkurenční hledisko, kdy jeden poskytovatel pověřence může poskytovat stejného pověřence i pro konkurenta a hrozí tak i vyzrazení know-how.
Mohlo by vás zajímat
zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017