Pověřenec by měl správcům (zpracovatelům) mimo jiné usnadnit dodržování souladu jejich činnosti s GDPR, avšak nový institut s sebou přináší řadu nezodpovězených otázek týkajících se jmenování, certifikace či odpovědnosti DPO, které správce tíží v návaznosti na blížící se účinnost nařízení (25. 5. 2018).
Pohled do historie a evropská vodítka
Někteří správci usazení v EU jsou s institutem pověřence víceméně již sžiti, jak uvádíme níže, ale pro velkou část z nich bude tento institut něčím novým, s čím doposud zkušenost nemají. Funkce pověřence byla v zemích EU zavedena směrnicí 95/46/ES[4] („směrnice“). česká republika se vydala především cestou oznamovací/registrační povinnosti a nevyužila možnost spočívající v zakotvení v právním řádu osoby pověřené ochranou osobních údajů. Pověřenec ustanovený na základě směrnice měl, obdobně jako ten dle GDPR, nezávislým způsobem zajistit interní uplatňování vnitrostátních předpisů přijatých k provedení směrnice, a také vést seznam zpracování prováděných správcem. Dle informací z roku 2005 obsažených ve stanovisku[5] pracovní skupiny zřízené podle článku 29 směrnice („WP29“) pouze pět členských států EU využilo výjimku z notifkace, a zavedlo tak předpoklady pro výkon funkce pověřence.[6] Některé státy jako Německo podmínky výkonu funkce DPO upravily detailněji a stanovily v národní legislativě kupříkladu rozdílné podmínky povinného jmenování pro subjekty veřejného práva a pro subjekty soukromoprávní.[7] Ze států nám právní tradicí bližších zavedlo v roce 2013 funkci pověřence např. také Slovensko, které na rozdíl od jiných států umožnilo výkon této funkce svěřit pouze fyzickým osobám.[8]
Současná právní úprava DPO vychází z dosavadních zkušeností jednotlivých členských států EU, které popisuje výše zmíněné stanovisko pracovní skupiny WP29. Nicméně i přes veškeré dosavadní zkušenosti s tímto institutem nařízení ne zcela jasně a zřetelně upravuje některé podmínky, resp. požadavky pro výkon této funkce. Proto vydala pracovní skupina WP29 dne 13. 12. 2016 (revize ze dne 5. 4. 2017) pokyny/vodítka („pokyny“), které mají zejména ujasnit podmínky jmenování, postavení a plnění úkolů pověřenců. Postavení DPO, požadavkům na ně či plnění jejich úkolů se podrobněji věnujeme v našich posledních Právních novinkách v článku Pověřenec pro osobní údaje dle GDPR: koho a jak pověřit?
Jmenování DPO
Povinnost jmenovat pověřence se sice od května 2018 nebude vztahovat na všechny správce a zpracovatele, ale samotná pracovní skupina WP29 i v případě subjektů, na které povinnost jmenování nedopadá, doporučuje též dobrovolné jmenování, jelikož existence pověřence může snížit riziko porušení pravidel stanovených nařízením.
Funkci pověřence může vykonávat interní zaměstnanec správce či zpracovatele nebo externí subjekt na základě smlouvy o poskytování služeb. V obou případech musí pověřenec splňovat všechny požadavky na něho kladené a zároveň musí být chráněn proti nezákonnému ukončení smlouvy o poskytování služeb nebo nezákonnému propuštění. DPO se zejména nesmí v souvislosti se svou činností dostat do střetu zájmů. Pověřenec smí pro správce, resp. zpracovatele plnit i jiné úkoly za podmínky, že nepovedou ke střetu zájmů. Kvůli hrozbě střetu zájmů nesmí pověřenec v organizaci určovat účely a prostředky zpracování osobních údajů. Ke střetu zájmů může dojít i v případě, kdy by měl pověřenec zastupovat správce nebo zpracovatele v soudním či obdobném řízení v případech týkajících se ochrany osobních údajů. S touto podmínkou úzce souvisí ustanovení článku 38 odst. 3 GDPR, dle kterého pověřenec vykonává svou činnost nezávisle a s dostatečnou mírou samostatnosti. Za tímto účelem zejména nesmí dostávat pokyny týkající se výkonu svých úkolů bez ohledu na to, zda se jedná o zaměstnance, či externí osobu. Správce nebo zpracovatel jsou povinni zveřejnit kontaktní údaje pověřence a tím zajistit, aby měly subjekty údajů a dozorové orgány možnost přímo kontaktovat pověřence bez potřeby dalšího zprostředkování.
Je nutné si uvědomit, že osoba interního pověřence není obyčejným zaměstnancem správce či zpracovatele. V praxi je již nyní běžné, že organizace mají v rámci své vnitřní struktury určené osoby, které dohlíží na zákonnost zpracování osobních údajů a poskytují rady a pokyny ostatním subjektům v rámci této organizace. Pověřenec má však zcela specifické postavení, jelikož není vázán pokyny správce či zpracovatele, ani nehledí na zájem organizace. V určitých případech dokonce proti zájmu správce či zpracovatele upozorňuje na porušování nařízení. V českém právním prostředí se sice jedná o institut zcela nový, za dodržení podmínek nařízení ale lze např. zaměstnance, který doposud dohlížel na agendu osobních údajů, od května 2018 nominovat do funkce pověřence dle nařízení.
Odpovědnost DPO, jedná-li se o zaměstnance správce či zpracovatele
Pověřenec není přímo z nařízení odpovědný za nesoulad zpracování subjektu, který jej pověřil s nařízením. GDPR jednoznačně stanoví, že uvedení a udržení činností zpracování v souladu s nařízením je odpovědností správce, resp. zpracovatele, který musí být také schopný tento soulad doložit. V případě, že správce nebo zpracovatel přijímají rozhodnutí v rozporu s nařízením a posudkem pověřence, měl by mít pověřenec možnost vysvětlit své odlišné stanovisko vrcholovému managementu. V tomto ohledu je pověřenec vrcholovým řídícím pracovníkům přímo podřízen, a proto GDPR předpokládá, že pověřenci by „v souvislosti s plněním svých úkolů neměli být správcem nebo zpracovatelem propuštěni ani sankcionováni“. Toto ustanovení zajišťuje, že pověřenec bude schopen plnit své úkoly nezávisle a současně bude chráněn před sankcemi, kterým by mohl být vystaven v důsledku plnění svých povinností. Pověřenec však může být v souladu s vnitrostátním právem oprávněně propuštěn z jiných důvodů, které nesouvisí s prováděním úkolů podle nařízení. WP29 ale uvádí, že čím stabilnější bude smluvní vztah mezi správcem, resp. zpracovatelem a pověřencem, tím spíše bude umožněn nezávislý výkon činnosti pověřencem.
Lze funkci DPO vykonávat pouze na základě certifikátu?
Nařízení podmínku certifikace pro výkon funkce DPO nestanovuje, byť se zavedením této pozice a s nástupem GDPR se záhy začaly certifikáty/osvědčení pro DPO nabízet. K výkonu funkce však pověřenec nemusí disponovat certifikátem[9] a správce si může vybrat i tzv. „necertifikovanou“ osobu.
Povinností, kterou správci nařízení ukládá, je jmenovat pověřence na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Nařízení ani nedává prostor k tomu, aby formu ověření kvalit nebo nějakých dalších parametrů kvalifikace a osobní způsobilosti stanovila prováděcím předpisem Evropská komise nebo členský stát. Poté co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí. Odbornost nebude možné dovozovat pouze z „odborné“ certifikace DPO,[10] neboť problematika ochrany osobních údajů je provázána s řadou právních předpisů, ve světle kterých jsou ustanovení nařízení použitelná. Samotná znalost předpisu GDPR není bez dalšího předpokladem zaručujícím řádný výkon funkce DPO.
DPO v číslech
Vzhledem k tomu, že GDPR budou podléhat i společnosti mající sídlo mimo EU při existenci evropského prvku zpracování, zejména za předpokladu, že zpracovávají data o občanech EU,[11] je nutné, aby i tyto entity plnily povinnosti vyplývající z nařízení. Dle studie asociace International Association of Privacy Professionals[12] bude s nástupem GDPR nezbytné přijmout až 28 000 pověřenců,[13] přičemž průměrná roční mzda DPO by se měla např. ve Spojeném království pohybovat na hranici 47 500 liber.[14]
Odpovídající mzda bude vyžadovat odpovídající znalosti a plnění požadavků, které na pověřence klade nařízení. Kromě odborných znalostí právních předpisů a postupů v oblasti ochrany dat by měl DPO mít též vynikající manažerské dovednosti a schopnost snadno komunikovat nejen s interními zaměstnanci napříč společností, ale být oporou a „prodlouženou rukou“ dozorových úřadů ve vztahu ke správci. Úkoly DPO nebudou snadné, neboť na jedné straně musí být schopen zajistit vnitřní shodu a upozornit orgány dozoru na nedodržování předpisů (např. data breaches), přičemž na straně druhé si bude vědom skutečnosti, že společnost může být vystavena vysokým pokutám za nedodržení předpisů, jejichž soulad s praxí společnosti by měl zajišťovat právě pověřenec.
Závěr
Správci či zpracovatelé budou mít nelehký úkol při volbě pověřence a v případě volby interního pověřence též při jeho zařazení do organizační struktury společnosti. Poměřování organizačních aspektů, odborné kvality, vytíženosti a odměny za výkon funkce můžou hrát zásadní roli při volbě mezi koncepty nastavení DPO. Správce nemusí přijmout pověřence do vlastních řad a spoléhat tak na odbornost jedné či dvou osob. Určitou alternativou, kterou se zabýváme v článku Pověřenec pro osobní údaje dle GDPR: koho a jak pověřit?, je alternativa spočívající ve volbě externího subjektu poskytujícího služby na základě smlouvy. Tato možnost může být vhodným řešením, jak docílit soulad zpracování s novou právní úpravou, jejíž účinnost se nezadržitelně blíží. Byť je zřejmé, že kvalitních pověřenců bude s ohledem na počet správců a zpracovatelů aspoň z počátku nedostatek, záleží na strategicky dobře zvoleném postupu správce či zpracovatele při volbě pověřence, a to zejména s ohledem na konkrétní povahu prováděného zpracování osobních údajů.
[1] Nařízení Evropského parlamentu a Rady č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] General Data Protection Regulation.
[3] Data Protection Oficer.
[4] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[5] Stanovisko pracovní skupiny zřízené podle článku 29 směrnice o povinnosti informovat národní dozorové orgány, nejlepší použití výjimek a zjednodušení a o roli inspektorů ochrany osobních údajů v Evropské unii. 10211/05/EN, WP 106.
[6] Německo, Nizozemí, Švédsko, Lucembursko a Francie.
[7] V Německu je každý subjekt s vice než čtyřmi osobami zapojenými do automatizovaného zpracování údajů povinen jmenovat inspektora ochrany osobních údajů. Každý veřejný subjekt má bez výjimky povinnost jmenovat inspektora ochrany osobních údajů.
[8] § 27 odst. 3 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov; Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
[9] Úřad pro ochranu osobních údajů v Pověřenec pro ochranu osobních údajů [cit. 28. 11. 2017]. Dostupné z https://www.uoou.cz/poverenec-pro-nbsp-ochranu-osobnich-udaju/d-27307/p1=3938.
[10] Úřad pro ochranu osobních údajů. Desatero omylů o GDPR. [cit. 28. 11. 2017]. Dostupné z https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/ p1=4720.
[11] Nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí i) s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo ii) s monitorováním jejich chování, pokud k němu dochází v rámci Unie.
[12] Mezinárodní asociace odborníků v oblasti ochrany soukromí je nezisková organizace založená v roce 2000. Poskytuje fórum pro odborníky v oblasti ochrany soukromí pro sdílení osvědčených postupů, sledování trendů, předcházení problémům s ochranou soukromí, standardizaci označování odborníků v oblasti ochrany soukromí a vzdělávání a poradenství v oblasti ochrany soukromí.
[13] https://iapp.org/news/a/study-at-least-28000-dpos-needed-to-meet-gdpr-requirements/.
[14] https://www.itjobswatch.co.uk/jobs/uk/data%20protection%20act.do.
Diskuze k článku ()