Rozhovor: Magda Kohoutková - Transparentnost a odpovědnost se u mnoha českých správců osobních údajů zlepšila

Mgr. Magda Kohoutková, právnička a specialistka na právo ochrany osobních údajů a oblast kybernetické bezpečnosti, nám v rozhovoru přiblíží jak osobu pověřence pro ochranu osobních údajů, tak například i současný stav implementace GDPR ve společnostech.

Foto: Fotolia

V listopadu vystoupíte na konferenci Právo ve veřejné správě, kde budete přednášet na téma GDPR. Na co konkrétně se mohou účastníci těšit?

Ráda bych se s účastníky konference podělila především o moje zkušenosti z praxe činnosti Pověřence pro ochranu osobních údajů, kterého momentálně vykonávám ve třech společnostech a dále s hlavními úskalími a podmínkami úspěšných projektů implementace GDPR.

Jaké jsou dle nařízení povinnosti pověřence pro ochranu osobních údajů?

GDPR stanoví výčet úkolů, které musí každý pověřenec vykonávat s tím, že v konkrétním případě mu mohou být přiděleny i další úkoly, pokud tím nedojde ke střetu zájmů. Mezi hlavní svěřené úkoly řadí sledování souladu vnitřní praxe podniku s právní úpravou ochrany osobních údajů.

V praxi to znamená, že základním úkolem pověřence je poskytovat poradenství jak správci a zpracovateli, tedy nejvyššímu vedení těchto subjektů, tak i jednotlivým zaměstnancům, kteří osobní údaje zpracovávají. Pověřenec pro ně organizuje školení a vede interní audity zkoumající funkčnost vnitřních pravidel pro nakládání s osobními údaji, dále po celou dobu monitoruje, zda je činnost správce či zpracovatele v souladu s nařízením a další legislativou, přičemž musí spolupracovat s dozorovým orgánem. O všech souvisejících aktivitách organizace by měl rovněž vést záznamy, které mohou být úřadem v případě potřeby přezkoumány.

Kdo má povinnost jmenovat pověřence?

Velmi stručně řečeno nastává povinnost jmenovat pověřence v jedné z následujících situací:

  1. Zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů (v jakémkoli rozsahu).
  2. Hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování osob.
  3. Hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v rozsáhlém zpracování zvláštních kategorií údajů, jako jsou genetické nebo biometrické údaje, nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Jsou pro výkon funkce pověřence vyžadovány nějaké speciální vlastnosti či vzdělání?

Nařízení stanoví, že pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly.

Pevné kvalifikační předpoklady tedy neexistují, a proto se dá očekávat, že požadovaná úroveň odbornosti každého pověřence se bude lišit podle konkrétní organizace. Nemocnice nakládající s velkým množstvím citlivých údajů bude potřebovat pověřence s větší odborností než malá společnost zabývající se cílenou internetovou reklamou.

Je třeba v předstihu myslet i na to, že osoba zastávající funkci pověřence bude muset disponovat poměrně vzácnou kombinací znalostí a odbornosti.

Nařízení nevyžaduje, aby osoba vykonávající funkci DPO měla vysokoškolské právnické vzdělání (v případech rozsáhlého nakládání s osobními údaji ve velkých společnostech či korporacích to bude ale její nesporná výhoda). Požaduje se pouze faktická znalost práva a praxe v oblasti ochrany údajů, zejména pak právních předpisů národních a evropských. S ohledem na můj dosavadní výkon činností DPO si troufám říci, že ve větší společnosti, s rozsáhlejším zpracováním to ale „neprávník“ bude mít o dost těžší.

Vedle toho by se nemělo zapomínat ani na nutnost určitých technických a technologických znalostí především z oblasti neustále se vyvíjejících informačních technologií. Těmito znalostmi by měl pověřenec disponovat, aby dokázal zhodnotit postupy uvnitř organizace z hlediska souladu s nařízením a včas odhalil případná rizika.

Pověřenec by měl být schopný účinně komunikovat jak s vedením společnosti, tak s jednotlivými zaměstnanci, od právníků po techniky, kterým by měl být schopný předávat své know-how a školit je. V neposlední řadě by měl být schopný rozumět dotazům veřejnosti a příslušnou problematiku jim srozumitelně vysvětlit.

Vyvstaly od účinnosti GDPR již nějaké nejasnosti ve výkladu nařízení, např. ve výkladu některých institutů?

GDPR obsahuje řadu velmi obecných ustanovení, která vyžadují další upřesnění či výklad, takže nelze očekávat, že veškeré nejasnosti budou objasněny hned nebo ve velmi krátké době. Až rozhodovací praxe dozorových úřadů a soudů bude výklad těchto ustanovení upřesňovat.

Obecně chybí návod na stanovení výše pokut. Pracovní skupina se sice snažila vyprodukovat různé materiály, jako je metodika provádění DPIA, ale všeobecně pořád chybí například prováděcí vyhláška, to znamená, že každá země to bude dělat „po svém“. Dokonce i formáty reportu budou pro každou zemi jiné, což může být problematické v případě mezinárodních sporů.

Nejasnosti v praxi vznikají například při povinném informování třetích osob při zpracování údajů, které však nebyly společnosti poskytnuty přímo touto osobou. Typickým příkladem jsou údaje jiných osob uvedených na daňovém přiznání nebo v pojišťovnictví při likvidaci pojistné události.

Jak si na tom stojí v současnosti společnosti z hlediska implementace GDPR? Jak je na tom z toho hlediska veřejná správa?

Situace ve společnostech je velmi rozdílná. Jsou společnosti, které začaly s implementací před rokem a půl, přičemž ke dni účinnosti Obecného nařízení byly připraveny velmi dobře, jsou některé další, které ještě nezačaly…

Velké společnosti, které jsou zvyklé na regulace, například pojišťovny, banky, telekomunikační operátoři nebo distributoři energií, patří mezi ty, kteří se na regulaci velmi intenzivně připravovali již mnoho měsíců před účinností Obecného nařízení. Stejně tak podniky, které se již v minulosti vypořádávaly s požadavky zákona o ochraně osobních údajů nebo zákona o kybernetické bezpečnosti, resp. s normami řady ISO 27000, ty měli určitě výrazně lepší výchozí pozici a předchozí zkušenosti a úsilí s výhodou zužitkovali.

Oproti tomu menší podniky a veřejná správa se podle mého názoru potýkají s většími  problémy, ale jsou samozřejmě i výjimky potvrzující pravidlo.

Někteří říkají, že GDPR přinese, resp. přineslo více transparentnosti a odpovědnosti. Je tomu opravdu tak?

Ano, věřím, ba jsem o tom pevně přesvědčena, že obojí – tj. jak transparentnost, tak odpovědnost, se již dnes u mnoha českých správců osobních údajů zlepšila. Přispělo k tomu již jen to, že se o daném tématu více mluví.

GDPR má přinést lidem mnohem větší možnosti kontroly nad osobními údaji, otázkou je, zda se spolu s možnostmi zvýší i zájem lidí. Doposud byli Češi k této problematice poměrně laxní.

Je GDPR revolucí, nebo ne?

Obsahově ne příliš, věřím ale, že revoluci bude znamenat v myšlení lidí i firem… kulturní změna chování, větší zájem lidí o to, co se děje s jejich daty. Legislativa o ochraně osobních údajů nebyla bohužel v minulosti v České republice zatím velmi dodržována, věřím, že GDPR přineslo, a ještě přinese, v tomto zlepšení.

Věřím, že díky GDPR se změní chování organizací, které disponují osobními údaji. Jde o to, aby začaly přemýšlet, jakým způsobem s osobními údaji zacházejí a jak je zabezpečují proti možnému zneužití a důvodem k tomu by neměla být jen výše hrozící pokuty.


Konference Právo ve veřejné správě proběhne 13. 11. 2018 v Brně a 27. 11. 2018 v Praze. Podrobné informace naleznete na www.pvvs.cz.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články