Obce, orgány státní správy a jiné veřejnoprávní subjekty musí nejpozději do 25.5.2018 jmenovat pověřence pro ochranu osobních údajů podle GDPR
Mgr. Tomáš Vavro
04.10.2017
Přehled informací o tom, kdo všechno může vykonávat funkci pověřence pro ochranu osobních údajů podle GDPR a jak by měly obce a jiné veřejnoprávní subjekty postupovat při jeho jmenování.
Povinnost jmenovat pověřence pro ochranu osobních údajů podle GDPR
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – zkráceně GDPR) je evropské nařízení, které přináší zcela nová pravidla a povinnosti v oblasti ochrany osobních údajů zákazníků, občanů a dalších skupin fyzických osob.
Jednou z nich je i povinnost jmenovat tzv. pověřence pro ochranu osobních údajů (Data Protection Officer – zkráceně DPO), která se dotkne jednak některých podnikatelů a taky všech orgánů státní správy a jiných veřejnoprávních subjektů.
Každá obec, úřad nebo veřejnoprávní instituce bude povinna nejpozději do 25. května 2018, kdy GDPR nabude účinnost, jmenovat osobu, která bude dohlížet nad postupy zpracování osobních údajů občanů.
V této souvislosti je potřeba zmínit, že funkci pověřence pro ochranu osobních údajů nemůže vykonávat kdokoliv. Jmenování pověřence jenom „pro forma“, tj. přidělení příslušných kompetencí nedostatečně kvalifikovanému zaměstnanci, může vést k uložení pokuty až do výše 10.000.000 EUR, a to bez ohledu na to, zda se tato povinnost týká podnikatele nebo obce.
Kdo může vykonávat funkci pověřence pro ochranu osobních údajů podle GDPR?
Funkci pověřence pro ochranu osobních údajů podle GDPR může vykonávat zaměstnanec zpracovatele nebo i externí specialista, například advokát. Současně však platí, že tato osoba musí být v oblasti ochrany osobních údajů dostatečně kvalifikovaná.
V případě vlastních zaměstnanců je tedy potřeba zabezpečit odborné zaškolení a následné kvalifikační kurzy či testování znalostí, v případě externího dodavatele je nezbytné uzavření smlouvy o poskytování služeb pověřence pro ochranu osobních údajů.
Zatímco celková cena práce zaměstnance je poměrně vysoká a jeho odpovědnost za případnou způsobenou škodu je podle zákoníku práce omezená, v případě externího dodavatele služeb může byť cena služeb pověřence pro ochranu osobních údajů podstatně nižší při současném zachování plné míry odpovědnosti.
Vzhledem k tomu, že cena služeb externě jmenovaného pověřence pro ochranu osobních údajů není příliš vysoká, obce a další veřejní zadavatelé budou moci vybrat a jmenovat pověřence pro ochranu osobních údaj zjednodušeným postupem.
Společný pověřenec pro ochranu osobních údajů pro vícero obcí či veřejnoprávních institucí
Jelikož povinnost jmenovat pověřence pro ochranu osobních údajů se týká každé obce či jiného veřejnoprávního subjektu, bez ohledu na jeho velikost, GDPR počítá s možností jmenovat společného pověřence, tedy i s určitými úsporami.
Sdružující se či jinak spolupracující obce a další veřejnoprávní subjekty tak mohou určit společného pověřence pro ochranu osobních údajů a dohodnout se na přerozdělení nákladů na jeho činnost. Pověřenec pro ochranu osobních údajů by v takovém případě měl být lehce dostupný pro každou obec či jiný veřejnoprávní subjekt.
V čem spočívá výkon funkce pověřence pro ochranu osobních údajů?
Podle GDPR patří k základným úlohám pověřence pro ochranu osobních údajů zejména následující činnosti:
• poskytování informací a poradenství zpracovateli, správci a jejich zaměstnancům podílejícím se na zpracování osobních údajů;
• dohled nad tím, zda zpracovatel nebo správce vykonává svou činnost v souladu s GDPR;
• komunikace a spolupráce s Úřadem pro ochranu osobních údajů.
Pokud jde o odpovědnost pověřence pro ochranu osobních údajů, GDPR v souvislosti s porušením výše uvedených povinností nestanovuje žádné sankce. Pověřenec pro ochranu osobních údajů tak bude odpovídat za případnou škodu podle ustanovení o náhradě škody obsažených v zákoníku práce nebo v občanském zákoníku.
Jaké jsou povinnosti obcí a dalších veřejnoprávních subjektů vůči pověřenci pro ochranu osobních údajů?
Pokud jde o úlohy obce či jiného veřejnoprávního subjektu, který pověřence pro ochranu osobních údajů jmenoval, GDPR mezi ně zařazuje povinnost:
• zajistit, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do všech záležitostí souvisejících s ochranou osobních údajů;
• poskytnout pověřenci pro ochranu osobních údajů potřebné zdroje na plnění jeho úkolů, přístup k osobním údajům a k operacím zpracování údajů;
• udržovat potřebnou úroveň odborných znalostí pověřence pro ochranu osobních údajů, pokud má být touto osobou vlastní zaměstnanec;
• zajistit, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu jeho úkolů, přičemž v souvislosti s řádným plněním svých úkolů nesmí být propuštěn ani jinak sankcionován;
• zajistit, aby byl pověřenec podřízen přímo vrcholovým řídícím pracovníkům, např. starostovi, vedoucímu či řediteli příslušné instituce;
• zajistit, aby měli subjekty údajů (občané) možnost obrátit se na pověřence se svými podněty, které souvisí se zpracováním jejich osobních údajů.
Za porušení výše uvedených povinností hrozí uložení stejné pokuty, jakou by obec či jiný veřejnoprávní subjekt dostal za určení pověřence pro ochranu osobních údajů jenom „pro forma“, tedy pokuty až do výše 10.000.000 EUR.