DPO ochrání firmu i její klienty
Které firmy a instituce budou muset nově jmenovat pověřence pro ochranu osobních údajů a co bude jeho úkolem? Po které pracovní pozici bude mezi evropskými zaměstnavateli v následujících měsících největší sháňka? Její český název zní pověřenec pro ochranu osobních údajů, anglický pak Data Protection Officer nebo též zkráceně DPO (dále jen pověřenec nebo DPO).
Podle odhadu respektované organizace IAPP sdružující profesionály zaměřené na ochranu osobních údajů bude v roce 2018 nutné celosvětově obsadit 75 000 takových míst, z toho zhruba třetinu přímo v EU. Jedná se totiž o jeden z klíčových požadavků nového Nařízení na ochranu osobních údajů (anglicky zkráceně GDPR), které začíná platit od 25. května 2018 jednotně v celé EU.
Pověřenec bude mít ve firmě zvláštní nezávislé postavení. V určitých případech budou muset správci a zpracovatelé osobních údajů tuto pozici obsadit, ať se jim to líbí, či nikoli. Jindy bude jmenování dobrovolné jakožto součást dobré praxe.
Základním posláním pověřence je být nezávislým garantem správného nakládání s osobními údaji uvnitř organizace a také prostředníkem mezi organizací, dozorovým orgánem a veřejností. V tomto textu se pokouším odpovědět na otázku, koho se povinnost pověřence jmenovat týká a co budou jeho hlavní úkoly.
Kdo bude mít povinnost DPO jmenovat
Povinnost pověřence jmenovat nastává v jedné z následujících situací:
- Zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů (v jakémkoli rozsahu).
- Hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování osob.
- Hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v rozsáhlém zpracování zvláštních kategorií údajů, jako jsou genetické nebo biometrické údaje, nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Uvedený výčet je poněkud zjednodušený a ani se teď nemusíme zabývat rozlišováním mezi tzv. správcem a zpracovatelem osobních údajů, což mohou být dva rozdílné subjekty.
První uvedená kategorie se týká pouze subjektů veřejného práva a můžeme předpokládat, že ještě dojde k jejímu zpřesnění. Veřejný sektor bývá více či méně propojen se soukromou sférou, přičemž národní legislativy definují tyto kategorie rozdílně.
Podnikatelů se týkají především zbylé dvě kategorie, které ovšem také nejsou zcela jednoznačně vymezeny. Proto se dá očekávat, že definici ve finále vyjasní až praxe.
Odůvodnění GDPR a související text vytvořený pracovní skupinou WP29, tedy evropským poradním orgánem pověřeným výkladem nařízení, nabízí ale již nyní jasné znaky, které mohou podnikatelům pomoci určit, zda se na ně povinnost jmenovat DPO vztahuje.
Hlavní činnost
Aby byl správce či zpracovatel povinen pozici pověřence vytvořit, musí ke zpracovávání osobních údajů docházet v rámci jeho hlavní činnosti.
Od ní je třeba odlišit činnosti, při nichž sice rovněž dochází ke zpracovávání osobních dat, ale jedná se o činnosti podpůrného charakteru zajišťující samotný chod organizace a přímo nesouvisející s činností hlavní. Pro zjednodušení lze říci, že by se mělo jednat o ty činnosti, které musí vykonávat každá organizace nezávisle na tom, jaká je její hlavní činnost, například vyplácení mzdy zaměstnancům nebo zpracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb.
Rozsáhlost
Aby vznikla povinnost pověřence jmenovat, zpracovávání údajů musí být rozsáhlé.
Pracovní skupina WP29 doporučuje pro určení toho, zdali je prováděno rozsáhlé zpracování osobních údajů, zvážit zejména množství zpracovávaných osobních údajů (jak množství zpracovávaných údajů obecně, tak v poměru k relevantní populaci), různorodost zpracovávaných osobních údajů, dobu trvání zpracovávání osobních údajů či geografický rozsah území, z něhož pocházejí zpracovávané osobní údaje.
Jako příklad rozsáhlého zpracování lze uvést zpracovávání údajů o pacientech v rámci běžné činnosti nemocnice. Zpracování údajů o pacientech jednotlivým lékařem se však za rozsáhlé nepovažuje. Rozsáhlým zpracováním bude např. i zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.
Pravidelné a systematické monitorování
Jedná se o další, nařízením přímo nedefinovaný pojem. Pravidelnost by se měla určovat na základě kombinace jedné nebo více následujících charakteristik:
- průběžný nebo v pravidelných intervalech a po určitou dobu se opakující,
- stále se opakující nebo opakovaný ve stanoveném čase,
- neustále nebo pravidelně se vyskytující.
Zda se jedná o systematické monitorování, by nám měly objasnit tyto kategorie:
- vyskytující se podle určitého systému, přednastavený, organizovaný nebo metodický,
- uskutečňující se jako součást obecného plánu pro sběr dat,
- vykonávaný jako součást strategie.
Jako praktické příklady „pravidelného a systematického monitorování“ uvádí pracovní skupina WP29 zejména provozování telekomunikačních sítí, poskytování telekomunikačních služeb, ale i tzv. email retargeting, věrnostní programy anebo reklamní sdělení cílená na základě chování osob při používání vyhledávacích nástrojů (angl. behavioural advertising).
Je třeba si uvědomit, že podle toho, kdo splňuje kritéria povinného jmenování, může být povinným subjektem pouze správce či pouze zpracovatel údajů, ale i oba zároveň.
Je také důležité vyzdvihnout, že pokud správce splňuje kritéria povinného jmenování DPO, ještě to neznamená, že ho musí jmenovat i smluvní zpracovatel údajů. A lze si představit i takovou situaci, kdy pověřenec jmenovaný zpracovatelem rovněž dohlíží na činnosti, které zpracovatelská organizace vykonává pro sebe jako správce.
Funkci pověřence může zvláště ve velkých organizacích zastávat více osob. Je však nutné, aby bylo navenek jasné, kdo je z funkce odpovědný a na koho se má případně dozorový orgán či občan obracet a to tak, aby příslušnou osobu bylo možné kontaktovat přímo a důvěrně. Jako vhodné se tak jeví zveřejnění poštovní adresy, telefonního čísla či e-mailové adresy, pro styk s veřejností dále pak například zpřístupnění kontaktního formuláře na webové stránce. Jako součást dobré praxe lze doporučit i zveřejnění jména pověřence, ač to nařízení přímo nevyžaduje.
GDPR umožňuje určit pro skupinu podniků pouze jednoho pověřence, a to za předpokladu, že bude dostupný v každém z podniků tak, aby stále dokázal efektivně plnit svěřené úkoly. To znamená především to, aby byla účinně zajištěna možnost okamžité komunikace s dozorovým orgánem, jednotlivými zaměstnanci každého z podniků a veřejností.
Úkoly pověřence
GDPR stanoví výčet úkolů, které musí každý pověřenec vykonávat s tím, že v konkrétním případě mu mohou být přiděleny i další úkoly, pokud tím nedojde ke střetu zájmů. Mezi hlavní svěřené úkoly řadí sledování souladu vnitřní praxe podniku s právní úpravou ochrany osobních údajů.
Nesmí tedy například zároveň zastávat pracovní pozici, v rámci které by sám osobní údaje zpracovával.
Základním úkolem pověřence je poskytovat poradenství jak správci a zpracovateli, tedy nejvyššímu vedení těchto subjektů, tak i jednotlivým zaměstnancům, kteří osobní údaje zpracovávají.
Pověřenec pro ně organizuje školení a vede interní audity zkoumající funkčnost vnitřních pravidel pro nakládání s osobními údaji. Pověřenec po celou dobu monitoruje, zda je činnost správce či zpracovatele v souladu s nařízením a další legislativou, přičemž musí spolupracovat s dozorovým orgánem. O všech souvisejících aktivitách organizace by měl rovněž vést záznamy, které mohou být úřadem v případě potřeby přezkoumány.
Postavení DPO
Pověřenec pro ochranu osobních údajů může být zaměstnancem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb jako na tuto problematiku specializovaný, mimo společnost stojící subjekt.
Pověřenec odpovídá pouze nejvyššímu orgánu společnosti, nicméně mu nelze v souvislosti s výkonem jeho funkce ukládat žádné pokyny, a jeho postavení je tak na správci či zpracovateli nezávislé. Tuto nezávislost dále podporuje zvláštní ochrana pověřence, který nemůže být propuštěn ani jinak sankcionován z důvodu souvisejícího s výkonem funkce.
Správce nebo zpracovatel je rovněž povinen poskytnout pověřenci veškeré nutné zdroje a nezbytnou součinnost pro plnění jeho úkolů, a zajistit mu tak nerušený výkon jeho funkce.
Jako příklad poskytnutí nutných zdrojů lze uvést především dostatek času pro plnění povinností, neboť především v menších organizacích může být funkce vykonávána na částečný úvazek pracovníkem organizace, což může vést k nedostatkům.
Samozřejmostí by pak měla být odpovídající podpora z hlediska peněžních zdrojů, infrastruktury (prostory, vybavení, zařízení) a personálu. Rovněž musí být umožněn informační tok mezi pověřencem a jinými útvary v organizaci, např. personálním, právním nebo IT oddělením.
K otázce odpovědnosti je třeba říci, že za dodržení souladu s právními předpisy pro ochranu osobních údajů zůstává odpovědný správce nebo zpracovatel a musí být schopen tento soulad doložit. Pověřenci tak nenesou osobní odpovědnost za nedodržování nařízení.
Kvalifikační požadavky
Nařízení stanoví, že pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly.
Pevné kvalifikační předpoklady tedy neexistují, a proto se dá očekávat, že požadovaná úroveň odbornosti každého pověřence se bude lišit podle konkrétní organizace. Nemocnice nakládající s velkým množstvím citlivých údajů bude potřebovat pověřence s větší odborností než malá společnost zabývající se cílenou internetovou reklamou.
Je třeba v předstihu myslet i na to, že osoba zastávající funkci pověřence bude muset disponovat poměrně vzácnou kombinací znalostí a odbornosti.
Vaší firmě či organizaci se tak zcela jistě vyplatí najít takovou osobu co nejdříve, jelikož s blížícím se datem účinnosti nařízení vzroste po DPO poptávka. V případě, že budete chtít do funkce dosadit osobu, která se již osobními údaji ve vaší organizaci zabývá, lze předpokládat, že se začnou objevovat speciální školení, jimiž si bude moci zvýšit svou kvalifikaci v souladu s nařízením.
Nařízení nevyžaduje, aby osoba vykonávající funkci DPO měla vysokoškolské právnické vzdělání, v případech rozsáhlého nakládání s osobními údaji ve velkých společnostech či korporacích to bude ale její nesporná výhoda. Požaduje se pouze faktická znalost práva a praxe v oblasti ochrany údajů, zejména pak právních předpisů národních a evropských. Roli bude hrát i to, zda je organizace aktivní pouze v jednom státě Unie, nebo ve více, neboť pak by se vyžadovala znalost i těchto dalších jurisdikcí.
Vedle toho by se nemělo zapomínat ani na nutnost určitých technických a technologických znalostí především z oblasti neustále se vyvíjejících informačních technologií. Těmito znalostmi by měl pověřenec disponovat, aby dokázal zhodnotit postupy uvnitř organizace z hlediska souladu s nařízením a včas odhalil případná rizika.
Pověřenec by měl být schopný účinně komunikovat jak s vedením společnosti, tak s jednotlivými zaměstnanci, od právníků po techniky, kterým by měl být schopný předávat své know-how a školit je. V neposlední řadě by měl být schopný rozumět dotazům veřejnosti a příslušnou problematiku jim srozumitelně vysvětlit.
Co můžete udělat už teď
Vzhledem k tomu, že poptávka po kvalifikovaných kandidátech na pozici DPO bude narůstat úměrně s blížícím se datem účinnosti GDPR, doporučuji, aby všechny společnosti a státní instituce, kterých se povinnost jmenovat svého pověřence týká, tento krok rozhodně neodkládaly. Nové nařízení s sebou přináší významné sankce, které povinným subjektům hrozí v případě selhání jmenovat DPO.
Za porušení povinnosti jmenovat pověřence může dozorový orgán uložit pokutu až do výše 10.000.000 eur anebo u podniků až do výše 2 % celosvětového celkového ročního obratu za předchozí finanční rok, podle toho, která hodnota je vyšší.
Správci a zpracovatelé osobních údajů by měli i s ohledem na výkladová stanoviska pracovní skupiny WP29 v první řadě zvážit, zda se na ně vztahuje povinné jmenování pověřence, a v opačném případě rozhodnout, zda není vhodné zřídit tuto funkci dobrovolně. Jmenováním pověřence se sice instituce nezbavují odpovědnosti za zajištění ochrany osobních údajů v souladu s nařízením, jeho jmenováním si však mohou usnadnit zajištění plnění povinností v oblasti ochrany osobních údajů.
V každém případě správcům a zpracovatelům doporučuji, aby bedlivě sledovali vývoj v oblasti ochrany osobních údajů i z pohledu povinnosti jmenovat pověřence pro ochranu osobních údajů, a to jak z hlediska prováděcích národních předpisů, tak z pohledu výkladu GDPR, který se může s ohledem na praxi v průběhu času měnit.
Pakliže si společnost není jistá, zda se na ni tato povinnost vztahuje, doporučuji konzultovat situaci s odborníkem nežli se stát exemplárním příkladem potrestání. Osoba pověřence by měla být vybrána svědomitě a podnik by se měl přesvědčit, že disponuje výše zmíněnými dovednostmi v oblasti práva, ochrany osobních údajů, IT a komunikace.
Rozhodně doporučuji vybrat pověřence ještě před samotnou fází implementace technických a organizačních opatření, která zajistí uvedení chodu společnosti do souladu s pravidly nařízení. Bude to právě DPO, kdo bude kontrolovat funkčnost takto nastavených procesů a jejich dopad na efektivní ochranu osobních údajů.
Celý text včetně Pokynů k funkci pověřence pro ochranu osobních údajů v českém překladu je umístěn na blogu paní Mgr. Evy Škorničkové: https://www.gdpr.cz/blog/dpo-ochrani-firmu/.
S laskavým svolením paní Mgr. Evy Škorničkové zpracoval
Petr Smolník šéfredaktor platformy KYBEZ