Pověřenec pro ochranu osobních údajů dle GDPR Nařízení o ochraně osobních údajů

Pověřenec pro ochranu osobních údajů dle GDPR Nařízení o ochraně osobních údajů

Od května 2018 bude zaveden tzv. pověřenec pro ochranu osobních údajů. Článek se zabývá povinností jmenovat pověřence, jakož i funkcemi a činností této osoby při zpracování osobních údajů.

Jmenování pověřence

Pověřence pro ochranu osobních údajů musí správce nebo zpracovatel jmenovat v každém z těchto případů:

  • zpracování provádí orgán veřejné moci či veřejný subjekt (s určitými výjimkami)
  • hlavní činnosti spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a určitých trestných činů.
  • v dalších případech stanovených právními předpisy.

Pověřenec a GDPRPověřenec pro ochranu osobních údajů musí být jmenován u orgánů veřejné moci, které zpracovávají osobní údaje. Jestliže správce nebo zpracovatel bude v rámci svých hlavních činností provádět zpracování údajů, které vyžaduje rozsáhlé a pravidelné monitorování subjektů údajů nebo které spočívá v rozsáhlém zpracování zvláštních kategorií údajů, tak mu vznikne povinnost pověřence jmenovat.

Směrnice dále zavádí další případy, při kterých zpracovatelé osobních údajů jsou povinni pověřence jmenovat.

Pověřenec pro ochranu osobních údajů má zejména na starosti tyto úkoly

Pověřenec pro ochranu osobních údajů má různorodé úkoly, přičemž dle GDPR nařízení vykonává alespoň tyto úkoly:

Poradenství

poskytuje informace a poradenství správcům nebo zpracovatelům a zaměstnancům v oblasti ochrany osobních údajů;

Monitoring

Monitoruje právní předpisy a dohlíží na rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů.

Pověřenec dále poskytuje poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování.

Spolupráce s dozorovým úřadem

Pověřenec dále je styčným bodem a v rámci své činnosti spolupracuje s dozorovým úřadem, kterým je v daném případě Úřad pro ochranu osobních údajů.

Konzultace se subjekty údajů

Dle GDPR nařízení pověřenec také působí jako kontaktní pracovník pro dozorový úřad v záležitostech týkajících se zpracování a vedení konzultací.

Koordinace správce a pověřence pro ochranu osobních údajů

Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů, to znamená zejména přijímání takových vnitrokorporátních předpisů a opatření, které regulují aktivity korporace mající vliv na zpracování osobních údajů.

„GDPR (General Data Protection Regulation)“

Správce a zpracovatel poskytují pověřenci pro ochranu osobních údajů zdroje nezbytné k plnění jeho úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

Správce a zpracovatel nesmí pověřenci pro ochranu osobních údajů dávat jakékoliv pokyny týkající se výkonu jeho úkolů a pověřenec není povinen se jejich pokyny řídit.

Pověřenec nesmí být v souvislosti s plněním svých úkolů správcem nebo zpracovatelem propuštěn ani sankcionován.

Na rozdíl od jiných zaměstnanců, pověřenec pro ochranu osobních údajů pracuje přímo s managementem a dle GDPR nařízení musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Správce nebo zpracovatel mohou pověřenci uložit i povinnost k plnění jiných úkolů, přičemž jsou povinni mu zajistit, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.

Pověřenec jako zaměstnanec nebo externista?

Pověřenec pro ochranu osobních údajů smí být dle GDPR nařízení ve vztahu ke správci nebo zpracovateli údajů buď zaměstnancem, anebo může plnit své úkoly jako externista. GDPR nařízení tedy umožňuje, aby pověřenec pro ochranu osobních údajů působil pro skupinu korporací anebo orgánů veřejné moci.

Tato skutečnost má zejména za cíl zajistit a zefektivnit případy tzv. holdingových struktur, kdy není nutné, aby každá společnost musela zaměstnat jednoho pověřence. Z tohoto důvodu je také efektivní i pro korporace a orgány veřejné moci výhodné, aby pověřencem byla ustavena externí osoba, vykonávající tuto činnost, a to i pro několik korporací zároveň.

Sankce za porušení GDPR nařízení

Za porušení GDPR nařízení, respektive povinnosti jmenovat pověřence pro správu osobních údajů může dozorový orgán uložit pokutu v řádech miliónů EUR nebo procent celosvětového celkového ročního obratu za předchozí finanční rok.