GDPR: Kdo je a co má na starost pověřenec pro ochranu osobních údajů

30. 1. 2018 Martin Kornel Právo pro podnikání Právo pro veřejnou správu GDPR

Zřízení funkce pověřence pro ochranu osobních údajů je jednou z hlavních novinek, kterou přináší nařízení GDPR. Pro některé typy správců a zpracovatelů osobních údajů (OÚ) bude zřízení této funkce povinné, ostatní ji mohou zřídit dobrovolně, usoudí-li, že u nich má své opodstatnění. V tomto textu shrnujeme, kde bude zřízení funkce pověřence nutné a jaké úkoly by měl zastávat. (Pozn: vysvětlení používaných pojmů najdete v článku Co je, co není a co bude osobní údaj podle GDPR.)

Co je úkolem pověřence pro ochranu osobních údajů

Prací pověřence je dohled nad zpracováním OÚ, informační a poradenská činnost. Na pověřence se mohou s dotazy a žádostí o radu obracet správci/zpracovatelé OÚ, subjekty OÚ (tedy fyzické osoby, jejichž osobní údaje se zpracovávají), a také dohledový úřad - Úřad pro ochranu osobních údajů (ÚOOÚ). Pověřenec monitoruje, zda zpracování OÚ probíhá v souladu s právními předpisy, ale nenese za ně odpovědnost, ta zůstává na bedrech správce/zpracovatele.

V situacích, kdy správce/zpracovatel musí vypracovat posouzení vlivu určité činnosti na ochranu OÚ, dává k němu pověřenec svůj posudek. Tento posudek sice není pro správce/zpracovatele závazný, musí se s ním však argumentačně vypořádat v dokumentaci k posouzení. Nařízení GDPR stanovuje jen minimální rozsah pravomocí pověřence, avšak úkolů ve věci ochrany OÚ může vykonávat daleko více.

Kdo musí mít pověřence

Podle čl. 37 GDPR musí funkci pověřence zřídit správci/zpracovatelé z řad veřejných subjektů a orgánů veřejné moci od správních a samosprávních úřadů po organizace zřizované ministerstvy a veřejné vysoké školy. Pověřence budou muset mít také organizace, jejichž primární činnost spočívá v operacích zpracování osobních údajů, které kvůli své povaze, svému rozsahu nebo svému účelu vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo rozsáhlé zpracování zvláštních kategorií údajů.

V praxi jde o případy, kdy dochází ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a při nichž hrozí vysoké riziko zneužití. Toto vymezení je poměrně vágní, pro hrubou představu do něj spadá například činnost pojišťoven nebo nemocnic. Naopak vedení kartotéky pacientů jedné ordinace pověřence nevyžaduje. Na toto téma se lze dočíst více na webu ÚOOÚ, ale jasné vodítko pro rozlišení operací vyžadujících a nevyžadujících pověřence, zatím neexistuje.

Společný pověřenec pro vícero správců

Pro soukromé i veřejné subjekty existuje možnost zřídit funkci pověřence společného pro několik správců/zpracovatelů – například pro obce sdružené ve svazku obcí, členské společnosti jednoho oborového sdružení a podobně. Ministerstvo vnitra ve své metodice pro obce doporučuje jednoho pověřence pro deset obcí. Pověřenec musí být dosažitelný všem správcům (a fyzickým osobám, jejichž údaje zpracovávají), ne však nutně fyzicky – stačí, když bude například na e-mailu a telefonu.

Postavení pověřence v organizaci

Pověřenec může být zaměstnancem správce/zpracovatele nebo externistou, podstatné je, aby byl v této funkci nezávislý, nevykonával ji podle pokynů svých nadřízených nebo smluvního partnera a aby mu byl umožněn přístup k OÚ a operacím s nimi, případně další podpora. Práci pověřence nemusí vykonávat na plný úvazek. Z pohledu subjektů OÚ je podstatné hlavně to, aby se na pověřence mohly kdykoliv obrátit se svými podněty.

Pověřenec z řad Frank Bold Advokátů

Jestliže potřebujete pověřence, obraťte se na nás. Rádi vám pomůžeme nastavit a udržet v chodu systém ochrany osobních údajů ve vaší organizaci.

  1. Pohlídáme soulad vaší praxe s právními předpisy
  2. Pomáháme vyřídit dotazy a žádosti v případech, kdy si vaši zákazníci, zaměstnanci či bývalí zaměstnanci stěžují na zpracování osobních údajů, požadují výmaz, opravu či přístup ke svým údajům. 
  3. Připravíme vás a provedeme kontrolou Úřadu pro ochranu osobních údajů. 
 
 
Martin Kornel

Advokát a vedoucí týmu generálního práva

Potřebujete radu právníka se zpracováním osobních údajů nebo přímo s adptací na GDPR?

Posoudíme aktuální stav práce s osobními údaji ve vaší organizaci, upozorníme na rizika a doporučíme opatření, pokud možno bez složité implementace nových softwarových nástrojů.

Obraťte se na nás

Ozvěte se nám