POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ
Povinné jmenování pověřence pro ochranu osobních údajů předepisuje nařízení GDPR v článku 37 pro následující případy:
zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (nehledě na to, jaké kategorie osobních údajů a v jaké míře zpracovává); hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo vyžaduje-li tak právo Evropské unie nebo členského státu.
Jak je patrné, Nařízení operuje s poměrně vágními pojmy jako „hlavní činnost“, „rozsáhlý“ nebo „pravidelný a systematický“ a nechává tak prostor pro více možných výkladů. Pro odstranění výkladových pochybností pracovní skupina WP29 podává v Pokynech bližší výklad těchto pojmových znaků, jejichž naplnění zakládá povinnost správce nebo zpracovatele osobních údajů jmenovat pověřence, a zároveň uvádí některé případy, které je podle jejího názoru možné pod tyto pojmy podřadit.
Pověřenec pro osobní údaje je ve větších firmám či organizacích užitečná funkce a když ji budete mít, nic nezkazíte. Ulehčíte si situaci, protože budete mít osobu či firmu, která Vám poradí, na kterou se může kdokoli obrátit a bude kontrolovat ve Vaši firmě, zda je vše v pořádku.
Co dělat v případě, že není dána povinnost jmenovat pověřence?
Z výše uvedeného vyplývá, že povinnost ustavit funkci pověřence pro ochranu osobních údajů, jmenovat jej a vybavit příslušnými kompetencemi není dána vždy. V každém případě bude záležet na posouzení, zda spadá zpracování osobních údajů subjektů mezi hlavní činnosti správce anebo zpracovatele.
Doporučujeme, aby každý správce anebo zpracovatel, který pověřence nejmenuje, disponoval stanoviskem, či odůvodněním, proč nepovažuje podmínky nařízení GDPR pro povinné jmenování pověřence v rámci své obchodní a provozní činnosti za naplněné. Jinak řečeno, je doporučenou praxí provést vnitřní analýzu a připravit dokument obecné povahy, v němž bude doloženo, že (a proč) není hlavní činností správce nebo zpracovatele rozsáhlé pravidelné a systematické monitorování subjektů údajů anebo zpracování zvláštních kategorií osobních údajů.
V případě, že se správce nebo zpracovatel, který není k jmenování pověřence povinen, rozhodne jmenovat pověřence dobrovolně, uplatní se na jeho jmenování, postavení a úkoly stejné zákonné požadavky, jakoby se jednalo o povinně jmenovaného pověřence.
Postavení pověřence pro ochranu osobních údajů
Pozici pověřence pro ochranu osobních údajů může správce nebo zpracovatel obsadit jak svým pracovníkem (zaměstnancem), tak externě spolupracující osobou nebo organizací, která bude své úkoly plnit na základě smlouvy o poskytování služeb.
Pověřenec pro ochranu osobních údajů má být podle článku 38 odst. 1 nařízení GDPR náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
Doporučujeme, aby správce nebo zpracovatel zajistil odpovídající míru kompetence a pravomocí na straně pověřence, například tím, že pověřence přizve k pravidelným schůzkám vyššího a středního managementu, zajistí účast a stanovisko pověřence v situacích, kdy jsou přijímána rozhodnutí, která se mohou dotknout ochrany osobních údajů, poskytne pověřenci všechny relevantní informace v dostatečné lhůtě, aby k nim mohl vyjádřit své stanovisko, zajistí, aby názoru pověřence na situaci, která se dotýká oblasti ochrany osobních údajů, byla vždy přikládána váha (pokud s názorem pověřence vedení společnosti nesouhlasí, doporučujeme zdokumentovat důvody, které vedly k nevyslyšení stanoviska pověřence), zajistí okamžité informování pověřence po porušení zabezpečení osobních údajů nebo jiném bezpečnostním incidentu atp.
Úkoly pověřence pro ochranu osobních údajů
Nařízení předepisuje pověřenci několik úkolů a povinností. Mezi ty hlavní řadí sledování souladu vnitřní praxe podniku s Ukončit Visual Builderprávní úpravou ochrany osobních údajů. Zejména je vhodné, aby pověřenec sbíral informace k preciznímu rozpoznání a vymezení zpracovávání osobních údajů, analyzoval a kontroloval shodu vnitřní praxe zpracovávání s právní úpravou, či informoval, radil a vydával doporučení pro správce nebo zpracovatele osobních údajů.
Nařízení GDPR povoluje správci pověřit pověřence i jinými úkoly a povinnostmi. Dle Pokynů je však správce povinen zajistit, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů na straně pověřence; neexistence konfliktu zájmů je úzce spojena s požadavkem na jeho nezávislé chování. Přestože je pověřencům umožněno vykonávat i jiné funkce a úkoly, ty jim však mohou být svěřeny pouze tehdy, pokud nejsou v pozici konfliktu zájmů s výkonem funkce pověřence (např. pověřenec nemůže zároveň působit na pozici, ve které by určoval účely a důvody zpracovávání osobních údajů).
Pověřence Vám rádi poskytneme, který bude plně nezávislý, odborně vzdělaný a bude pravidelně školen ve vývoji problematiky GDPR. Pro bližší informace nás kontaktujte. Cena za hodinu práce námi poskytnutého pověřence je 1500 Kč. Paušální cena za poskytnutí pověřence je 1500 Kč měsíčně.
S pozdravem
Ing. Jaroslav Rada – jednatel
Nabízíme komplexní řešení pro:
Telefonický kontakt
Odešlete nám Vaše telefonní číslo a my Vás budeme kontaktovat.
