Časté otázky k pověřenci pro ochranu osobních údajů (DPO)


Pověřence pro ochranu osobních údajů řeší oddíl 4, články 37-39 GDPR.

Odpovědi částečně převzaty z https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=23799

Pověřenec pro ochranu osobních údajů je jedním ze nových nástrojů ochrany osobních údajů, které obecné nařízení zavádí. Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek. Těmi jsou: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají; jinými slovy, správci provádějící jiná zpracování pověřence pro ochranu osobních údajů jmenovat nemusí.

Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložení samotným obecným nařízením. Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Obecné nařízení ani nedává prostor k tomu, aby formu ověření kvalit nebo nějaké další parametry kvalifikace a osobní způsobilosti stanovily prováděcím předpisem buď Komise (EU) nebo členský stát. Poté, co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí.

Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.

Obecné nařízení ukládá tomu, kdo jmenuje pověřence pro ochranu osobních údajů, nepříliš určitou povinnost - učinit tak na základě profesních kvalit jmenované osoby, jež dále vymezuje jako „zejména na základě [jejích] odborných znalostí práva a praxe v oblasti ochrany osobních údajů a [její] schopnosti plnit úkoly stanovené [tímto nařízením].“ Jak povinnosti spojené se jmenováním pověřence a jeho fungováním u správce nebo zpracovatele chápat, podrobněji vysvětlují mj. vodítka Pracovní skupiny podle čl. 29 směrnice 95/46/ES k funkci pověřence pro ochranu osobních údajů, zpřístupněná v originálním anglickém znění a neoficiálním českém překladu jinde na této webové stránce v aktuální verzi.

Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů.

Výklad nároků je tak výhradním úkolem jmenujícího správce nebo zpracovatele, stejně tak jako trvalá podpora činnosti pověřence poskytováním zdrojů a prostředků nutných k výkonu jeho funkce.

Správce a zpracovatel jsou povinni zajistit, aby pověřenec nedostával žádné pokyny týkající se výkonu úkolů, které mu ukládá obecné nařízení, a není v souvislosti s plněním těchto svých úkolů propuštěn nebo sankcionován.

Úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že žádné z nich nesmí vést ke střetu zájmů pověřence.