Vliv pověřence na průběh procesů (realizaci agend)

O pověřenci pro ochranu osobních údajů[1] (dále jen "pověřenec") hovoří kapitola IV, oddíl 4, zejména články 37, 38 a 39 GDPR[2] a dále recitál 97 této právní normy. A rovněž materiál pracovní skupiny WP29[3] nesoucí název "Pokyny týkající se pověřenců pro ochranu osobních údajů[4]".

Mám za to, že by bylo nadbytečné - a vzhledem k avizovanému rozsahu práce - i prakticky nemožné čtenáři připomínat kdo to pověřenec je a jeho postavení.

Jaký tedy může (a měl by) mít pověřenec (kladný, pozitivní) vliv na realizaci agend v samostatné a přenesené působnosti?

Předně je třeba poznamenat, že každá agenda je svázána více či méně rigidními normami práva, ať už se jedná o normy zákonné či normy podzákonné a pověřenci náleží "pouze toliko" průřezová[5] ochrana soukromí a zajištění souladu s právem (compliance) v této oblasti[6] (jinými slovy: pověřenci náleží dohled a zajišťování souladu zpracování).

Vliv pověřence[7] tedy koresponduje s jeho rolí a účelem (s jeho úkoly[8]) - především vlastní činností přispět správci k dosažení a udržení souladu zpracování s GDPR. K úkolům pověřence, mimo jiné, patří sledovat dodržování GDPR[9] (měl by být nápomocen správci při monitorování toho, zda je zajištěn vnitřní soulad s GDPR[10]).

Pověřenec by se měl - z důvodu nutnosti provádění zásady záměrné ochrany osobní údajů (čl. 25, R78) - již od počátku vyjadřovat (dávat stanovisko) k zamyšleným realizacím v samostatné působnosti[11], v přenesené působnosti tak již činí (učinil) zákonodárce.

Pověřenec by měl mít svoji roli i v edukačním procesu zaměstnanců - měl by zvyšovat povědomí a pečovat o odbornou přípravu pracovníků zapojených do zpracování a poskytovat informace a poradenství (provádět školení nebo jednorázově upozorňovat na určitou změnu v právní úpravě, a doručit či osvěžit kolegům základní zásady objektové, personální a technologické bezpečnosti).

Poskytovat poradenství na požádání, pokud se jedná o posouzení vlivu na ochranu osobních údajů[12], a monitorovat jeho uplatňování podle čl. 35[13].

Proklientsky spolupracovat s dozorovým úřadem[14] a se subjekty údajů při výkonu jejich práv, působit jako kontaktní místo pro dozorový úřad a subjekty údajů.

Korektně postupovat při prošetřování stížností[15], které správce obdržel od subjektů údajů. A následně poskytovat zpětnou vazbu zaměstnancům a tím zvyšovat jejich povědomí o ochraně osobních údajů. Čímž, domnívám se, lze dosáhnout toho, aby se případné nesrovnalosti vyřešily na domácí půdě bez toho, aby se subjekt údajů obracel na další osoby (dozorový úřad či soud[16]).

6. června 2018

-------------------------

[1] V anglické mutaci: Data Protection Officer (zkratka DPO), ve slovenské mutaci: zodpovedná osoba.

[2] Dne 25. května 2018 vstoupilo v účinnost (v terminologii EU "použitelnost") nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů) - toto nařízení je známé spíše pod zkratkou GDPR (z anglického General Data Protection Regulation).

[3] Dnes Evropský sbor pro ochranu osobních údajů, https://edpb.europa.eu/edpb_cs

[4] WP 243, poslední revize 5.4.2017 (WP 243 rev. 01).

[5] Oblast ochrany osobních údajů má znatelný přesah do jiných právních oblastí (od pracovního práva, přes IT oblast, až po různé správní předpisy).

[6] Správce však zůstává odpovědný a musí být schopen prokázat shodu - čl. 5, odst. 2 GDPR.

[7] Pověřenec pro ochranu osobních údajů hraje klíčovou roli při prosazování kultury ochrany osobních údajů
v rámci organizace a pomáhá provádět základní prvky GDPR, jako například zásady zpracování údajů, práva subjektů údajů, záměrné a standardní ochrany osobních údajů, záznamy o činnostech zpracování, zabezpečení zpracování a ohlašování a oznamování případů porušení zabezpečení osobních údajů
- WP 243, str. 14.

[8] Vzorová pracovní náplň pověřence - https://www.mvcr.cz/gdpr/clanek/vzorove-dokumenty.aspx

[9] Čl. 39, odst. 1, písm. b).

[10] Recitál 97.

[11] Srov. zejm. § 84, § 85 a § 102 zákona č. 128/2000 Sb., zákon o obcích (obecní zřízení), ve znění p.p.

[12] DPIA - Data Protection Impact Assessment.

[13] V čl. 35 odst. 2 je stanoveno, že při provádění DPIA si správce vyžádá posudek pověřence, byl-li jmenován.

[14] Úřad pro ochranu osobních údajů, https://www.uoou.cz

[15] Srov. čl. 38 odst. 4 a bod 3.3 WP 243. Úkolem pověřence je i prošetřování stížností, které správce obdržel od subjektů údajů, a jeho role je samozřejmě nezastupitelná při výkonu práv subjektů údajů: ŽŮREK, Jiří. Praktický průvodce GDPR. Olomouc: ANAG, 2017. Právo (ANAG). ISBN 978-80-7554-097-3, str. 111. Pověřenec bude kromě plnění svých úkolů sloužit pro správce také jako kontaktní místo pro subjekty údajů. Ty se na něj budou moci obracet ve všech záležitostech spojených se zpracováním osobních údajů. Subjekty údajů se mohou obracet na pověřence také v záležitostech týkající se výkonu jejich práv. To by však nemělo znamenat, že kontakt na pověřence bude jediným způsobem, jak budou subjekty údajů moci svá práva uplatnit. Subjekty by se na něj měly mít možnost obrátit zejména tehdy, jsou-li nespokojeny s průběhem výkonu svého práva: NULÍČEK, Michal. GDPR - obecné nařízení o ochraně osobních údajů. Praha: Wolters Kluwer, 2017. Praktický komentář. ISBN 978-80-7552-765-3, str. 346 a 347.

[16] Srov. zejm. čl. 12.