Kdo má povinnost ustanovit pověřence pro ochranu osobních údajů a jaká JE náplň práce POVĚŘENCE?

Povinnost jmenovat pověřence mají tyto subjekty:

Orgány veřejné moci – ministerstva a další ústřední orgány, správní úřady, kraje a obce v přenesené působnosti. Dále školky a školy nebo různé komory (např. advokátní nebo lékařská).

Subjekty jejichž činnost spočívá v operacích zpracování, které kvůli své povaze, rozsahu a účelům žádají pravidelné a systematické monitorování – za příklad je brána např. nemocnice, jejíž hlavním účelem je poskytování zdravotnické péče, kterou není možno poskytovat bez zpracování osobních údajů. K monitorování subjektů dochází také při provozu telekomunikační sítě, poskytování telekomunikačních služeb, emailovém retargetingu, bankovnictví, pojišťovnictví, sledování lokalizačních poloh, behaviorálním marketingu, monitorování údajů o tělesných procesech, monitorování prostor kamerou atd.

Subjekty, které zpracovávají specifické informace – informace o rasovém či etnickém původu, politických názorech, genetických údajích, biometrických, o zdravotním stavu, sexuálních problémech atd.

Pověřenec by měl být jmenován na základě profesních kvalit – odborných znalostí práva a praxe v oblasti ochrany osobních údajů. Potřebná úroveň odbornosti by měla být určena na základě prováděných operací zpracování a podle ochrany, která se pro zpracovávané osobní údaje dle GDPR vyžaduje.

Výčet úkolů pověřence vymezených v GDPR není taxativní, nýbrž jedná se o nutné minimum. Nic nebrání rozšíření těchto povinností (např. vytváření a uchovávání záznamů o zpracování dle čl. 30 nařízení).

Jednotlivé úkoly dle nařízení:

  • Poskytování informací a poradenství správcům (zpracovatelům) – pověřenec by měl mít hlubokou znalost předpisů a umět je vyložit, vysvětlit a aplikovat. Ostatní zaměstnanci se mohou na pověřence obrátit a on by jim měl dokázat poradit. Pověřenec by měl dopomoci proškolení zaměstnanců, ale nenese odpovědnost za jejich erudici. Měl by být snadno zastižitelný.

  • Monitorování souladu s nařízením a dalšími předpisy EU v oblasti ochrany údajů a koncepcemi správce v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování. Metodicky doporučuje sbírat informace o zpracování a identifikovat procesy zpracování, analyzovat procesy zpracování a ověřovat jejich soulad, informovat správce, radit mu.

  • Poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů. Správce má povinnost vyžádat si od pověřence stanovisko k posouzení vlivu na ochranu osobních údajů.

Metodiky uvádí, že pověřenec by měl dát stanovisko především:

  1.  zda vůbec provádět posouzení,
  2.  jakou metodiku pro provádění posouzení zvolit,
  3.  zda provést posouzení interně nebo externě,
  4.  jaká opatření přijmout ke zmírnění rizik právům a svobodám subjektů údajů,
  5.  jestli bylo posouzení provedeno správně (nebo jaké záruky je třeba aplikovat), jestli je třeba žádat dozorový orgán o předběžnou konzultaci dle čl. 36, dále monitorovat uplatnění posouzení vlivu na ochranu osobních údajů (kontrola zavedení opatření ke zmírnění rizik),
  • Spolupráce s dozorovými úřady

  • Být kontaktním místem pro dozorový úřad v záležitostech týkajících se zpracování, včetně konzultace dle čl. 36 a další.

Využijte naši e-mailovou adresu pro Vaše dotazy