Co je úkolem pověřence a kdo to vlastně je?
Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob, známé pod zkratkou GDPR, přineslo mnoho novinek. Jednu z těchto novinek představuje i osoba pověřence pro ochranu osobních údajů. Co je úkolem pověřence a kdo to vlastně je?
Pověřenec pro ochranu osobních údajů (dále jen „pověřenec“), tzv. Data Protection Officer (DPO), je osoba, která byla GDPR zřízena k vykonávaní mnoha úkolů. Pověřenec má za úkol převážně monitoring souladu zpracovávání osobních údajů, školení pracovníků v nejrůznějších společnostech, provádění interních auditů, řízení veškeré agendy týkající se GDPR, poskytování informací v rámci poradenské činnosti, spolupracovat a komunikovat s úřadem pro ochranu osobních údajů a další. Pověřenec funguje taktéž jako kontaktní bod, který nejen informace v rámci GDPR přijímá, ale taktéž je může zákonně předávat dál a účinně je chránit.
Pověřenec osobních údajů musí splňovat mnoho podmínek. Tou základní, jednou z nejdůležitějších, je jeho nezávislost, která musí být zachována v každém případě. Samotná dosažená profesní úroveň pověřence není v nařízení blíže specifikována, mělo by se však jednat o osobu, která se zabývá národní i evropskou legislativou, již získala praxi v oboru ochrany osobních údajů a je znalcem celé problematiky spjaté s GDPR. Pověřenec může být nejen externí osoba (tedy osoba stojící mimo společnost či správní orgán), ale může se jím být sám zaměstnanec. Důležitou úlohu vykonává vedle pověřence pro ochranu osobních údajů také správce či zpracovatel osobních údajů, který by měl svou činnost koordinovat právě ve spolupráci s pověřencem. Pověřenec pro ochranu osobních údajů svou činnost vykonává na základě smlouvy o poskytování služeb. Odpovědnost za kontrolu a soulad s GDPR nenese osoba pověřence, ale osoba zastávající již zmíněnou pozici správce či zpracovatele osobních údajů.
Kdy je nutné kontaktovat a zajistit služby pověřence? Nařízení ve svém článku 37 vymezuje subjekty, které musí v rámci své působnosti povinně správce osobních údajů zajistit k řádnému zpracovávání osobních údajů. V první řadě se jedná o případy, kdy osobní údaje zpracovává orgán veřejné moci či veřejný subjekt. Z této skupiny jsou vyloučeny pouze soudy. Dále pokud činnost správce spočívá v pravidelném a systematickém monitorování občanů a třetím případem, ve kterém je nutné se na pověřence pro ochranu osobních údajů obrátit, je zvláštní kategorie údajů nebo osobních údajů, které se týkají rozsudků v trestních věcech a trestných činů.