Lze hovořit s jistou nadsázkou (ale ne zas tak moc), že od 25. 5. 2018, kdy se nařízení GDPR stane účinným, bude jen málo lidí, kteří nebudou tzv. pověřencem pro ochranu osobních údajů (DPO – Data protection officer).
Nařízení GDPR požaduje, aby správce (ale i zpracovatel) v určitých případech jmenoval DPO, který bude mít pevně dané úkoly na poli zpracování osobních údajů v dané společnosti. Takový DPO bude mít minimálně tyto úkoly:
Výše uvedený výčet je uveden přímo v čl. 39 nařízení GDPR, leč tímto výčtem to nekončí. Dle stanoviska Pracovní skupiny podle článku 29 (tzv. WP29) by měl správce osobních údajů také požadovat po DPO různé posudky a vyjádření, a to zejména k tomu:
Není potřeba dále rozvádět, že plnění výše uvedených povinností DPO (nejen těch výše uvedených) si žádá poměrně vysoké nároky na kvalitu takového DPO. Samo nařízení GDPR ve svém čl. 37 odst. 5 stanovuje tyto požadavky: „Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.“
WP29 výše uvedené opět rozvádí a stanovuje tyto dovednosti a zkušenosti:
Asi by bylo na místě si teď říci, kdo může být takovým DPO. Předně je nutno si uvědomit, že v případě, kdy na nás dopadne povinnost jmenovat DPO, neměli bychom si DPO „pořídit“ jako rohlík v obchodě. Rozhodnutí, kdo bude DPO, ve velké míře rozhodne o tom, jak budeme schopni plnit povinnosti dle GDPR a jak moc snížíme riziko případné kontroly od Úřadu pro ochranu osobních údajů, či snad sankci.
Zjednodušeně řečeno, čím kvalitnější DPO bude, tím jednodušeji budeme plnit povinnosti dle GDPR.
Výkon funkce pověřence lze zajistit interně vlastními zaměstnanci nebo externě prostřednictvím služeb externího pověřence. Pokud se rozhodnete funkci pověřence zajistit externě, je potřeba vzít v úvahu následující skutečnosti.
V současné chvíli existuje několik rychlokurzů završených certifikátem, které by měly osvědčovat profesní kvality DPO. Tyto certifikované rychlokurzy jsou dostupné v podstatě každému bez ohledu na vzdělání či zkušenosti. Je však otázkou, zda každý, kdo si tento certifikát obstará, má automaticky znalost národního a unijního práva v oblasti ochrany dat a rozumí našemu businessu a informačním technologiím.
Je opravdu dlužno dodat, že GDPR žádný certifikát nepožaduje. Co však požaduje, jsou odborné znalosti práva a praxe v oblasti ochrany osobních údajů. Platí tak pravidlo, že odborník na ochranu osobních údajů může být jmenovaným DPO i bez certifikátu, a že ne každý certifikovaný „odborník“ může být DPO.
Bylo by velmi krátkozraké tvrdit, že pouze advokát může být kvalifikovaným DPO, neboť i v České republice jsou opravdoví IT specialisté na zabezpečení osobních údajů, kteří svými znalostmi a zkušenostmi mnohdy převyšují letité právníky specializující se na ochranu osobních údajů. A to už jen z toho důvodu, že dokáží lépe pochopit náš business a navrhnout ta nejlepší řešení.
O čem se však málo mluví, je vlastní role DPO a jeho pravomoc v rámci společnosti správce či zpracovatele. Dle WP29 by měl mít DPO přístup do všech útvarů v organizaci, aby měl pověřenec nezbytnou podporu a informace z těchto útvarů. Zjednodušeně řečeno, proto, aby DPO mohl správně provádět svoji práci, musí mít přístup i do těch nejtemnějších koutů, kde jsou uloženy a zpracovávány osobní údaje. Co však na to ochrana našeho know-how? Co když DPO skutečně nebude tak kvalifikovaný a budeme muset po měsíci, kdy se takový „DPO“ vrtal v našem obchodním tajemství, najít nového DPO?
Vztahy s DPO lze jistě upravit prostřednictvím dohod o mlčenlivosti, je však jen jeden z mála případů, kdy je mlčenlivost uložena zákonem, která je pečlivě střežena a vymáhána – advokátní tajemství.
Co z výše uvedeného vyplývá? Buďme obezřetní při výběru externího DPO, zejména pak dbejme na to, aby vybraný DPO měl skutečně odborné znalosti nejen v právní úpravě, ale také v zabezpečení osobních údajů, a nehleďme pouze na počet certifikátů.
Chcete se o DPO dozvědět více? Dejte nám vědět nebo se informujte o našich službách.
KROUPALIDÉ advokátní kancelář s.r.o.
IČO: 29310571, DIČ: CZ29310571
Společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn.
C 73338
Subjektem mimosoudního řešení sporu
se spotřebiteli je Česká advokátní komora