Doporučení Spolku pro ochranu osobních údajů č. 1/2017 POVINNOSTI POVĚŘENCE PRO OCHRANU OSOBNÍCH ÚDAJŮ USTANOVENÉHO V RÁMCI SOUKROMÉ SFÉRY A ORGANIZAČNÍ OPATŘENÍ SPRÁVCE (ZPRACOVATELE) ÚDAJŮ, KTERÉ JSOU PŘEDPOKLADEM EFEKTIVNÍHO PLNĚNÍ ÚKOLŮ POVĚŘENCE
Toto doporučení shrnuje názor Spolku pro ochranu osobních údajů na postavení Pověřence pro ochranu osobních údajů ustanoveného podle čl. 37 a násl. nařízení (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Zahrnuje doporučení, jak mají pověřenci a osoby, jež pověřence ustanovily, které nejsou orgány veřejné správy, postupovat pro to, aby jednaly v souladu s výše uvedeným nařízením. Z tohoto pohledu se zabývá těmito okruhy otázek:
Organizačním zařazením pověřence v org. struktuře správce/zpracovatele
Konflikt zájmů pověřence
Vztahem pověřence a správce/zpracovatele
Povinnostmi pověřence
Povinnostmi správce/zpracovatele vůči pověřenci
Požadavky na odbornost pověřence.
Toto doporučení vychází z právního stavu ke dni 31. 5. 2017.
Upozorňujeme, že podle stanoviska pracovní skupiny podle článku 29 (WP29) dopadají zákonné povinnosti týkající se pověřenců v celém rozsahu i na ty případy, kdy je pověřenec jmenován dobrovolně.
Úvodní poznámky
Nařízení přináší koncept pověřence pro ochranu osobních údajů do českého právního řádu zcela nově, na rozdíl od některých jiných evropských jurisdikcí, které již s konceptem pověřence pro ochranu osobních údajů nějaký způsobem pracují. Tento fakt vzbuzuje možná zbytečnou paniku a obavy z naplnění požadavků na implementaci tohoto fenoménu do každodenní činnosti organizace správce/zpracovatele, který má povinnost pověřence jmenovat. Smyslem a úlohou pověřence je usnadnit dosažení naplnění požadavků Nařízení v praxi. Aby mohl pověřenec efektivně vykonávat své úkoly, musí se především jednat o osobu s vysokým morálním a znalostním kreditem, která má přímý přístup k vrcholovému vedení organizace správce/zpracovatele a zároveň je znalý v oblasti fungování procesů, systémů a činností zpracování. Pověřenec bude fungovat jak směrem dovnitř organizace, tak i navenek, a to jak vůči subjektům údajů, tak i dozorovému orgánu. Je tak klíčové, aby se jednalo o osobu v rámci dané organizace známou a respektovanou.
Pověřenec musí být schopen plnit úkoly a povinnosti bez ohledu na to zda je zaměstnancem správce/zpracovatele nebo nezávislým podnikatelem. Za každých okolností je třeba velmi důsledně dbát o vyloučení konfliktu zájmů pověřence, přičemž okolnosti, které by mohly vést k takovému konfliktu, je třeba po celou dobu plnění úkolů pověřence průběžně hodnotit a vyloučit.
Činnost pověřence lze stručně charakterizovat jako činnost poradce, konzultanta či datového stratéga, který svou činností systematicky vytváří předpoklady pro plnění požadavků Nařízení v praxi organizace správce/zpracovatele.
Připomínáme, že pověřenec nenese osobní odpovědnost za nedodržování Nařízení. Za plnění povinností z nařízení plynoucích je odpovědný správce/zpracovatel.
Organizační zařazení pověřence v org. struktuře správce/zpracovatele (dále jen „zaměstnavatel“)
Činnost pověřence pro ochranu osobních údajů (dále jen „pověřenec“) je upravena primárně Obecným nařízením o ochraně osobních údajů (dále jen „Nařízení“)
Pověřenec pro ochranu osobních údajů musí mít přímý přístup k vrcholovým řídícím pracovníkům organizace zaměstnavatele
Výkon činnosti pověřence by měl mít stabilní a kontinuální povahu. Pověřenec by měl být jmenován minimálně na dobu jednoho roku, ideálně na dobu delší, aby byl v organizace správce/zpracovatele dobře znám a požíval vysokého morálního a odborného kreditu směrem dovnitř i vně organizace.
Vyloučení konfliktu zájmu pověřence
Pověřenec může v souladu s čl. 38 odst. 6 „plnit o jiné úkoly a povinnosti“ v rámci organizace. Podle názoru Spolku může být pověřenec býka určitých okolností také přímo členem vrcholového orgánu zaměstnavatele. V takovém případě je však třeba vždy jednotlivě velmi pečlivě posoudit a vyloučit možnost vzniku konfliktu zájmů pověřence. V případě kumulace funkce činnosti pověřence a člena vrcholového orgánu organizace doporučujeme upravit práva a povinnosti při výkonu funkce pověřence zvláštním ujednáním schváleným nejvyšším orgánem dané právnické osoby při dostatečném zohlednění specifik funkce pověřence.
Ustanovení o konfliktu zájmů a povinnost oznámení skutečností, které by k takovému konfliktu mohly vést, by mělo být integrální součástí smlouvy uzavřené s pověřencem.
Dále doporučujeme aby organizace přijala formalizované rozhodnutí, v rámci kterého deklaruje jmenování pověřence a případně jeho zástupce po dobu jeho nepřítomnosti, aby byla funkce pověřence vykonávána kontinuálně.
Správce či zpracovatel průběžně kontroluje plnění požadavků na vyloučení konfliktu zájmu pověřence.
Podle názoru Spolku je možné, aby pověřenec stál zcela mimo řídící strukturu zaměstnavatele, pokud to nebude na závadu z hlediska plnění jeho úkolů. Pověřenec tak může být zvláštním orgánem zaměstnavatele zřízeným za účelem výkonu činnosti pověřence (členem zvláštního orgánu), nebo může být členem dozorčí rady či jiného kontrolního orgánu či jim přímo podřízen. Tím ovšem nesmí být omezen přístup pověřence k nejvyšším řídícím pracovníkům zaměstnavatele. Pokud je pověřenec členem kontrolního orgánu, jeho činnost pověřence je vykonávána nezávisle na jeho povinnostech člena takového orgánu.
Vztah pověřence a zaměstnavatele
Vztah mezi pověřencem a zaměstnavatelem může být založen jako vztah:
pracovněprávní
smluvní
jiný v případě „Společného pověřence“ pro skupinu podniků podle čl. 37 odst. 2 Nařízení nebo vícero orgánů veřejné moci podle čl. 37 odst. 3 Nařízení. I v takovém případě lze doporučit upravit bližší podmínky činnosti pověřence pro ostatní subjekty, než je subjekt, s nímž má pověřenec uzavřenou smlouvu, zvláštní dohodou
podle názoru Spolku i jako vztah člena orgánu právnické osoby a takové právnické osoby. V takovém případě však zakladatelské jednání příslušné právnické osoby a jiné její vnitřní předpisy a ujednání musí zajišťovat takové postavení pověřence, aby mohl plnit své úkoly a jeho postavení odpovídalo Nařízení.
Povinnosti pověřence
Pověřenec provádí monitorování souladu aktivit zaměstnavatele s Nařízením a dalšími národními předpisy pro oblast ochrany údajů a s koncepcemi správce/zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů.
Pověřenec zajišťuje komunikaci mezi zaměstnavatelem a interesovanými stranami uvnitř i vně organizace (typicky např. orgány dozoru, subjekty údajů a osobami působícími v rámci organizace, včetně zpracovatelů a jiných příjemců osobních údajů)
Pověřenec je kontaktním bodem pro subjekty údajů a to jak vně (zákazníci apod.) tak rovněž uvnitř organizace (zaměstnanci), kde poskytuje informace a poradenství subjektům údajů a zaměstnancům pověřeným zpracováním osobních údajů. Při poskytování takového poradenství postupuje čestně a poctivě, a zohledňuje i zájmy zaměstnavatele.
Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států , to mu však nebrání, aby kontaktoval a požádal o radu orgán dozoru. Při kontaktu s orgánem dozoru dbá pověřenec na to, aby bezdůvodně nezavdal příčinu k uložení sankce zaměstnavateli a takovému uložení se pokud možno vyhnul, bude-li to možné v mezích jeho povinností stanovených právními předpisy.
Pověřenec hraje klíčovou roli při rozvoji kultury ochrany dat uvnitř zaměstnavatele a pomáhá zavádět základní prvky Nařízení. Při tom zejména zohledňuje vedle textu Nařízení základní zásady zpracování osobních údajů ve smyslu čl. 5 Nařízení a dbá o to, aby každé zpracování osobních údajů, které bude u zaměstnavatele probíhat, bylo prováděno na základě zákonného důvodu podle čl. 6 Nařízení či dalších ustanovení Nařízení a jiných právních předpisů.
Pověřenec spolupracuje při stanovování zásad zpracování osobních údajů, stanovení podmínek ochrany práv subjektů údajů a vede záznamy o své činnosti.
Pověřenec může být pověřen vedením všech záznamů zaměstnavatele týkajících se zpracování osobních údajů, zejména o činnostech zpracování, zabezpečení zpracování a ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů. Pověřenec dále při své činnosti může vytvářet nezávislé přehledy a vést registr operací zpracování na základě informací od různých oddělení zaměstnavatele, zodpovědných za zpracování osobních údajů.
Pokud si pověřenec vede interní záznamy o své činnosti pověřence, měly by tyto být jasně odděleny od záznamů podle předchozího bodu a podle názoru Spolku není nikdo oprávněn bez závažného důvodu do těchto záznamů nahlížet, nahlédnutí do nich by v každém případě mělo být s pověřencem konzultováno (ledaže by existovalo závažné podezření na protiprávní činnost pověřence v souvislosti s těmito záznamy) a takové nahlédnutí bez souhlasu pověřence by mělo být podle názoru Spolku schváleno statutárním orgánem zaměstnavatele. Tím není dotčeno právo zaměstnavatele požadovat, aby pověřenec takové záznamy zálohoval. Pověřenec by podle názoru Spolku neměl být nucen takovéto interní záznamy předkládat dozorovému úřadu, pokud by zvýšily riziko uložení sankce zaměstnavateli (zákaz sebeobviňování).
Pověřenec dále shromažďuje informace za účelem zjišťování zpracovatelských činností, analyzuje a prověřuje právní soulad zpracovatelských činností s právními předpisy.
Pověřenec smí v rámci organizace plnit i jiné funkce, mohou mu však být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů (typicky např. pověřenec v organizaci nemůže zastávat pracovní místo, na kterém by stanovoval účely a prostředky zpracování osobních údajů). Podle názoru Spolku tak pověřenec obvykle bude moci vykonávat činnost v rámci právního oddělení, oddělení kybernetické bezpečnosti, vnitřního auditu, compliance officera apod. anebo může být advokátem zaměstnavatele. Vždy je však nutné zohlednit skutečnou náplň činnosti v rámci dané pozice tak, aby byl skutečně a účinně vyloučen střet zájmů, samotný název pozice není z tohoto pohledu relevantním kritériem. Z tohoto hlediska by naopak neměl pověřenec vykonávat činnost v rámci oddělení informační techniky, neměl by být pověřen provozními činnostmi v rámci zpracování údajů apod. Pověřenec nemůže v žádném případě zastupovat zaměstnavatele v právních sporech se subjekty údajů.
Pověřenec přiřazuje svým činnostem priority a zaměřuje úsilí primárně na záležitosti představující vyšší riziko pro ochranu osobních údajů (přístup založený na riziku). Tím není dotčena povinnost pověřence upozornit zaměstnavatele na to, že není schopen v přiměřených lhůtách zajistit plnění všech svých úkolů, pokud by toho nebyl např. z kapacitních důvodů schopen. Při své činnosti dbá pověřenec toho, aby byly dodrženy principy záměrné a standardní ochrany osobních údajů (čl. 25 Nařízení).
Pověřenec je při výkonu své činnosti nezávislý a nesmí být vázán pokyny zaměstnavatele. To však nezbavuje pověřence základní povinnosti loajality k zaměstnavateli. Své činnosti tak bude vykonávat s přihlédnutím k této své povinnosti loajality.
Povinnost loajality nesmí bránit pověřenci v případě, kdy se bude domnívat, že je nutné konzultovat s dozorovým úřadem porušení zabezpečení osobních údajů či jiné nedostatky v rámci zpracování osobních údajů, aby takovou konzultaci provedl nezávisle na zaměstnavateli. Zaměstnavatel však může podle názoru Spolku požadovat, aby mu pověřenec v dostatečném předstihu předem oznámil jakýkoliv zamýšlený kontakt s dozorovým úřadem, subjekty údajů či jinými dotčenými osobami. Pověřenec je podle názoru Spolku povinen takto učinit, ledaže by existovalo riziko, že takové oznámení zmaří účel kontaktu či hrozilo nebezpečí z prodlení. Stejné platí pro případ:
a) ohlášení případů porušení zabezpečení dozorovému úřadu či subjektům údajů podle čl. 33 anebo 34 Nařízení anebo
b)ohlášení porušení zabezpečení osobních údajů u zpracovatele, u něhož je pověřenec činný, správci.
Za takovou svoji činnost nesmí být pověřenec nijak sankcionován či znevýhodněn.
Pokud pověřenec zjistí, že se zřetelem na jeho poměr k věci, k subjektům údajů, ostatním dotčeným osobám nebo k jejich zástupcům je tu důvod pochybovat o jeho nepodjatosti, oznámí tuto skutečnost zaměstnavateli a zároveň doporučí řešení této situace, např. určení dočasného pověřence pro určitou činnost či na určitou dobu. I v takovém případě musí být pověřenec podle názoru Spolku přiměřeným způsobem seznámen s výsledky činnosti takového dočasného pověřence.
Pověřenec zachovává mlčenlivost o záležitostech zaměstnavatele, o nichž se dozvěděl v souvislosti s výkonem funkce pověřence a dalších informacích a to i po zániku funkce pověřence.
Povinnosti zaměstnavatele vůči pověřenci
Zaměstnavatel jmenuje pověřence, případně určí, zda je či není společným pověřencem pro skupinu podniků; v tomto případě doporučuje Spolek upravit základní otázku vztahu pověřence k těmto dalším subjektům smlouvou.
Pokud zaměstnavatel jmenuje pověřence na dobu určitou, měla by tato doba určitá umožňovat pověřenci se seznámit s činností zaměstnavatele a neměla by být stanovena tak, aby obcházela zákaz propouštění pověřence. Z tohoto pohledu by doba určitá pro jmenování pověřence neměla být obvykle kratší, než 1 rok. Tím není podle názoru Spolku dotčena možnost sjednat u pověřenců v pracovním poměru zkušební dobu či u jiných pověřenců možnost ukončení v obdobných lhůtách. Časové omezení neplatí pro pověřence, který zastupuje stálého pověřence v případě, kdy tento je vyloučen pro konflikt zájmů.
Zaměstnavatel je povinen zveřejnit kontaktní údaje pověřence a sdělit je dozorovému úřadu. Je doporučeno, aby takto bylo zveřejněno i jméno a příjmení pověřence.
Zaměstnavatel je povinen oficiálně oznámit jmenování pověřence všem zaměstnancům a pokud možno i zpracovatelům osobních údajů (či naopak správcům, pokud je zaměstnavatel zpracovatelem), aby bylo zajištěno, že jeho existence a funkce jsou v organizaci a dotčeným osobám známy. Kontaktní údaje musí být vhodným způsobem nepřetržitě přístupné (např. umístěním informace na intranetu či nástěnce používané k informování zaměstnanců).
Zaměstnavatel je povinen sdělit subjektům údajům vhodným způsobem kontaktní údaje pověřence. Kontaktní údaje musí být vhodným způsobem nepřetržitě přístupné.
Zaměstnavatel by měl pokud možno vytvořit pro subjekty údajů a další příslušné osoby možnost kontaktovat pověřence anonymně, tedy tak, aby nikdo jiný v rámci zaměstnavatele neměl možnost k takové komunikaci získat přístup nebo identifikovat zdroj takové komunikace.
Zaměstnavatel vytvoří pověřenci podmínky pro účinné plnění jeho úkolů, v této souvislosti zajistí zaměstnavatel pověřenci v rámci organizace dostatečnou samostatnost a zdroje pro efektivní výkon jeho funkce, včetně odpovídající podpory z hlediska peněžních zdrojů infrastruktury (prostory, vybavení, zařízení) a personálu. Pověřenci musí být umožněno zajistit vysoký stupeň důvěrnosti jím uchovávaných záznamů.
Zaměstnavatel zapojí pověřence náležitě do veškerých aktivit souvisejících s ochranou osobních údajů, typicky např. v souvislosti s posouzením vlivu na ochranu osobních údajů, kdy si správce vždy vyžádá posudek pověřence.
Zaměstnavatel zajistí, aby pověřenec byl pravidelně zván na schůze vyššího a středního managementu organizace. V případě, že bude pověřenec požadovat možnost přednést svoje stanovisko na zasedání statutárního či jiného orgánu zaměstnavatele, zaměstnavatel mu to umožní.
Zaměstnavatel umožní přítomnost pověřence vždy tam, kde se dělají rozhodnutí s dopadem do ochrany osobních údajů. V této souvislosti zaměstnavatel zajistí, aby pověřenec obdržel včas všechny podstatné informace, aby mohl poskytnout odpovídající radu.
Zaměstnavatel zajistí, aby stanovisku pověřence vždy přiznána patřičná závažnost, pro případ nesouhlasu zaměstnavatel zadokumentuje důvody, proč pověřencova rada nebyla následována. O tom, že se neřídil jeho radou, bude zaměstnavatel pověřence informovat.
Zaměstnavatel zajistí, aby pověřenec byl bezodkladně informován o jakémkoliv podezření na porušení zabezpečení ochrany osobních údajů nebo jiné události, která by mohla mít vliv na zásah do práv subjektů údajů. U zpracovatele musí být takto pověřenec informován také o porušení zabezpečení ochrany osobních údajů nebo jiné události, která by mohla mít vliv na zásah do práv správce údajů.
Zaměstnavatel je podle názoru Spolku povinen vyžádat si od pověřence posudek mimo jiné k následujícím otázkám:
- zda je nebo není nutné provést posouzení vlivu
- jakou metodiku při zpracování posouzení vlivu uplatnit
- zda posouzení vlivu vypracovat vlastními silami nebo jeho zpracování zadat externě
- jaká ochranná opatření (včetně technických a organizačních) uplatnit pro zmírnění rizik vůči právům a zájmům subjektů údajů
- zda posouzení vlivu bylo zpracováno správně a zda jeho závěry (ať už vedou či ne k pokračování zpracovatelské operace a určují jaká ochranná opatření nutno uplatnit) jsou v souladu s Nařízením
- v jakých lhůtách bude zaměstnavatel revidovat výše uvedenou dokumentaci,
- při všech podstatných změnách v procesech zpracování osobních údajů.
Zaměstnavatel pověřenci zajistí nezbytný přístup do jiných útvarů v organizaci, např. personální, právní, IT, bezpečnost atd., aby měl pověřenec nezbytnou podporu a informace z těchto útvarů a to včetně dokumentace těmito útvary zajišťované. Při tom se podle názoru Spolku zaměstnavatel nemůže odvolávat na ochranu obchodního tajemství, pokud se jedná o zpracování osobních údajů.
Zaměstnavatel pověřenci zajistí přístup ke všem uzavřeným smlouvám o zpracování osobních údajů. Zaměstnavatel by měl konzultovat s pověřencem takové smlouvy již ve stádiu jejich přípravy.
Pokud existuje reálná možnost, že pověřenec bude kontaktován subjekty údajů, jejichž jazykem nehovoří, zajistí mu zaměstnavatel dostatečné kapacity pro překlad.
Zaměstnavatel pověřenci zajistí možnost průběžných školení, aby měl pověřenec možnost udržovat své znalosti v souladu s rozvojem v oblasti ochrany dat a neustále zvyšování úroveň znalostí
Zaměstnavatel podpoří účast pověřence na školeních o ochraně dat a dalších formách profesního rozvoje jako fóra, semináře atp. v rámci organizace
Zaměstnavatel v závislosti na velikosti a struktuře organizace může sestavit celý tým (pověřenec a jeho personál) ochrany osobních údajů; v takovém případě bude vnitřní struktura týmu jasně stanovena zaměstnavatelem po konzultaci s pověřencem. Úkoly a odpovědnosti jednotlivých členů týmu pak stanovuje pověřenec; při tom zohlední pokud možno odůvodněné zájmy či připomínky zaměstnavatele. Pro členy týmu platí pravidla pro pověřence přiměřeně.
Zaměstnavatel nesmí pověřenci dávat konkrétní pokyny jak jednat v dané oblasti, například jakého výsledku se má dosáhnout, jak prošetřovat stížnost nebo zda a kdy konzultovat dozorový úřad. Zaměstnavatel však může požadovat, aby mu pověřenec v dostatečném předstihu předem oznámil jakýkoliv zamýšlený kontakt s dozorovým úřadem, subjekty údajů či jinými dotčenými osobami. Pověřenec je povinen takto učinit, ledaže by existovalo riziko, že takové oznámení zmaří účel kontaktu či hrozilo nebezpečí z prodlení.
Zaměstnavatel nesmí pověřenci nařizovat přijímat určité názory v záležitostech týkajících se ochrany dat, například konkrétní výklad právních předpisů.
Zaměstnavatel nesmí pověřence propustit ani sankcionovat v souvislosti s plněním pověřencových úkolů. Při ukončování spolupráce s pověřencem musí být dána pověřenci možnost, pokud s tímto nesouhlasí, přednést své stanovisko statutárnímu orgánu zaměstnavatele. Odměňování pověřence musí být podle názoru Spolku provedeno tak, aby mu nebránilo ve výkonu jeho činnosti. Odměňování pověřence jej nesmí motivovat k tomu, aby zanedbával své povinnosti (např. je podle názoru Spolku v této souvislosti nevhodná taková konstrukce variabilní složky mzdy pověřence, která by byla vázána na to, že nejde k nahlášení porušení zabezpečení dozorovému úřadu).
Zaměstnavatel zajistí, aby v případě, kdy pověřenec plní i jiné úkoly a povinnosti, žádné z těchto úkolů a povinností nevedly ke střetu zájmů. Za tímto účelem zaměstnavatel začlení do svých vnitřních pravidel následující podmínky:
- určí pracovní místa neslučitelná s výkonem funkce
- sestaví vnitřní pravidla k zamezení střetu zájmů
- začlení do pravidel obecnější vysvětlení střetu zájmů
- prohlásí, že pověřenec není ve střetu zájmů ve vztahu ke své funkci pověřence jako způsob zvyšování povědomí o tomto požadavku.
Požadavky na odbornost pověřence
Pověřenec by měl být vybrán pečlivě, s náležitým zvážením specifických otázek ochrany osobních údajů, které zaměstnavatel řeší.
Pověřenec by měl být vybaven vědomostmi z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů. Důkladná znalost Nařízení musí být u pověřence samozřejmostí.
Pověřenec musí disponovat znalostí oboru podnikání a chodu organizace zaměstnavatele.
Pověřenec by měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů, bezpečnosti dat a potřeb organizace v oblasti ochrany osobních údajů
Osobní kvality pověřence by měly zahrnovat především integritu a vysokou úroveň profesionální etiky
Závěrečné poznámky Více informací k roli a fungování pověřence pro ochranu osobních údajů najdete kromě čl. 37 a souv. Nařízení rovněž v následujících dokumentech: