Pověřenec pro ochranu osobních údajů je významnou novou rolí v ekosystému, jejž GDPR vytváří. Jeho role je v oblasti komunikace (s fyzickými osobami, o jejichž údaje jde, s vedením organizace i s dozorovým úřadem), v monitorování souladu organizace s GDPR a v poradenství a zvyšování povědomí o GDPR v organizaci. GDPR a doplňující pokyny vydané EU definují jeho postavení v organizaci (přímé podřízení vrcholovým řídícím pracovníkům), jeho ochranu (v souvislosti s plněním svých úkolů nesmí být propuštěn ani sankcionován) i jeho nezbytnou kvalifikaci (hlubokou znalost GDPR a další znalosti v oblastech práva, procesů, informačních technologií, bezpečnosti dat i podnikání organizace). GDPR samozřejmě definuje i úkoly, které má pověřenec plnit. Přitom připouští, že za jednou konkrétní osobou pověřence může stát i tým odborných pracovníků.

 

Koho se požadavek na DPO týká

Povinnost pověřence jmenovat mají organizace, které jsou orgánem veřejné moci či veřejným subjektem (s výjimkou soudů), organizace, jejichž hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování fyzických osob, a organizace, jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů (např. politická nebo zdravotní data) a osobních údajů v trestních věcech. Ostatním je role pověřence doporučena, protože může výrazně usnadnit dosažení a prokazování souladu organizace s GDPR.

 

Možnosti praktické realizace

V principu není příliš možné přiřadit roli pověřence k nějaké stávající roli. Aby nedocházelo ke střetu zájmů, nemůže pověřenec v organizaci zastávat místo, na kterém by musel stanovovat účely a prostředky zpracování osobních údajů. Zároveň musí úzce spolupracovat s managementem. V konfliktním postavení tak budou typicky pozice ve vyšším managementu i pozice na nižším stupni organizační struktury, pokud v takovém postavení dochází k rozhodování o zpracování osobních údajů. Nábor nových kvalifikovaných lidí přitom může být problematický. Vzhledem k tomu, že GDPR není jediná právní úprava, která se v oblasti objevuje, se v odborné komunitě objevují odhady potřeb řádově tisíců nových expertů na kybernetickou a informační bezpečnost a zároveň řádově tisíců nových pověřenců pro ČR. Kromě možnosti interního zaměstnance je možné pověřence také nakoupit jako službu od externího dodavatele (outsourcing). Vzhledem k výše uvedenému požadavku na kvalifikaci této role to může být značně jednodušší i levnější cesta. Kvalita pověřence je rovněž důležitým aspektem ke zvážení. Pověřenec sice není odpovědný v případě nesouladu organizace s GDPR (riziko pokut), ale může tento nesoulad velmi negativně ovlivnit. Pokud například pověřenec dostatečně nepochopí IT aspekty nějakého zpracování osobních údajů, mohou jeho doporučení pro organizaci být neodpovídající.

 

Co lze od DPO jakožto služby očekávat

GDPR definuje poměrně úzký jednoznačný okruh činností, které musí pověřenec vykonávat. Jeho poradní role jej předurčuje k tomu, že například v případě vytváření tzv. posouzení vlivu na ochranu osobních údajů (kde organizace musí zvážit rizika toho, co s údaji dělá, pro fyzické osoby a údaje podle výsledku rozvahy zabezpečit) se pověřenec k posudku pouze vyjadřuje. Organizace ale budou smysluplně chtít, aby pověřenec nejlépe sám celé posouzení zpracoval. Dobrá služba DPO tak bude velice dobře zajišťovat minimální povinný okruh činností pověřence, ale zároveň nabídne širokou paletu činností, které jsou také pro GDPR nezbytné, i když je nemusí vykonávat přímo osoba pověřence. Dobrá služba DPO bude mít také jasné procesy a garantované parametry kvality. GDPR v několika ohledech definuje časové limity pro reakci organizace (např. 72 hodin v případě porušení zabezpečení) a nebude možné čekat například, "až se pověřenec zotaví po nemoci".

 

Čím začít

Především doporučujeme pověřence jmenovat nebo zajistit jako službu co nejdříve. Odhlédneme-li od faktu, že vhodných osob bude pravděpodobně na trhu nedostatek, je zde i skutečnost, že pověřenec by měl být středobodem všech záležitostí týkajících se GDPR. Proto by měl být i u implementace všech organizačních a technických opatření, která bude organizace v souvislosti s GDPR realizovat. Výhodné je, aby při nich i přiložil sám ruku k dílu. I v případě služby je tak výhodné, aby firmy, které vám pomohou s nezbytnými změnami, následně dodávaly i službu pověřence.

Ing. Petr Mojžíš, consultant, ANECT a.s.
RNDr. Ivan Svoboda, CSc., business development manager ICT Security, ANECT a.s.