Povinnost jmenovat pověřence mají tyto subjekty:
Orgány veřejné moci – ministerstva a další ústřední orgány, správní úřady, kraje a obce v přenesené působnosti. Dále školky a školy nebo různé komory (např. advokátní nebo lékařská).
Subjekty jejichž činnost spočívá v operacích zpracování, které kvůli své povaze, rozsahu a účelům žádají pravidelné a systematické monitorování – za příklad je brána např. nemocnice, jejíž hlavním účelem je poskytování zdravotnické péče, kterou není možno poskytovat bez zpracování osobních údajů. K monitorování subjektů dochází také při provozu telekomunikační sítě, poskytování telekomunikačních služeb, emailovém retargetingu, bankovnictví, pojišťovnictví, sledování lokalizačních poloh, behaviorálním marketingu, monitorování údajů o tělesných procesech, monitorování prostor kamerou atd.
Subjekty, které zpracovávají specifické informace – informace o rasovém či etnickém původu, politických názorech, genetických údajích, biometrických, o zdravotním stavu, sexuálních problémech atd.
Pověřenec by měl být jmenován na základě profesních kvalit – odborných znalostí práva a praxe v oblasti ochrany osobních údajů. Potřebná úroveň odbornosti by měla být určena na základě prováděných operací zpracování a podle ochrany, která se pro zpracovávané osobní údaje dle GDPR vyžaduje.
Výčet úkolů pověřence vymezených v GDPR není taxativní, nýbrž jedná se o nutné minimum. Nic nebrání rozšíření těchto povinností (např. vytváření a uchovávání záznamů o zpracování dle čl. 30 nařízení).
Jednotlivé úkoly dle nařízení:
Poskytování informací a poradenství správcům (zpracovatelům) – pověřenec by měl mít hlubokou znalost předpisů a umět je vyložit, vysvětlit a aplikovat. Ostatní zaměstnanci se mohou na pověřence obrátit a on by jim měl dokázat poradit. Pověřenec by měl dopomoci proškolení zaměstnanců, ale nenese odpovědnost za jejich erudici. Měl by být snadno zastižitelný.
Monitorování souladu s nařízením a dalšími předpisy EU v oblasti ochrany údajů a koncepcemi správce v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování. Metodicky doporučuje sbírat informace o zpracování a identifikovat procesy zpracování, analyzovat procesy zpracování a ověřovat jejich soulad, informovat správce, radit mu.
Poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů. Správce má povinnost vyžádat si od pověřence stanovisko k posouzení vlivu na ochranu osobních údajů.
Metodiky uvádí, že pověřenec by měl dát stanovisko především:
- zda vůbec provádět posouzení,
- jakou metodiku pro provádění posouzení zvolit,
- zda provést posouzení interně nebo externě,
- jaká opatření přijmout ke zmírnění rizik právům a svobodám subjektů údajů,
- jestli bylo posouzení provedeno správně (nebo jaké záruky je třeba aplikovat), jestli je třeba žádat dozorový orgán o předběžnou konzultaci dle čl. 36, dále monitorovat uplatnění posouzení vlivu na ochranu osobních údajů (kontrola zavedení opatření ke zmírnění rizik),
Spolupráce s dozorovými úřady
Být kontaktním místem pro dozorový úřad v záležitostech týkajících se zpracování, včetně konzultace dle čl. 36 a další.