Archive for Srpen, 2017

Informace k obecnému nařízení o ochraně osobních údajů (GDPR), část 2

Komentáře nejsou povolené u textu s názvem Informace k obecnému nařízení o ochraně osobních údajů (GDPR), část 2

Pověřenec pro ochranu osobních údajů

Pracovní skupina pro ochranu osobních údajů (angl. The Article 29 Data Protection Working Party; dále jen „pracovní skupina WP29“) vydala 13. prosince minulého roku první výkladová stanoviska k některým významným otázkám nařízení GDPR; jedno z nich se podrobněji zabývá právě pověřencem pro ochranu osobních údajů, níže uvádíme nejdůležitější části tohoto výkladu.

Zřizovatelé školských zařízení by měli v první fázi implementace obecného nařízení GDPR jmenovat pověřence pro ochranu osobních údajů, který bude na proces implementace GDPR u organizace dohlížet. Jak jsme již v předešlém článku uváděli, je možné pověřence jmenovat pro víc organizací, takové  jmenování by měl realizovat zřizovatel školy.

Jmenování pověřence pro ochranu osobních údajů

Povinné jmenování pověřence pro ochranu osobních údajů předepisuje nařízení GDPR v článku 37 pro následující případy:

  • zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (nehledě na to, jaké kategorie osobních údajů a v jaké míře zpracovává);
  • hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů[5] nebo údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo
  • vyžaduje-li tak právo Evropské unie nebo členského státu.

 

Postavení pověřence pro ochranu osobních údajů

Pozici pověřence pro ochranu osobních údajů může správce nebo zpracovatel obsadit jak svým pracovníkem (zaměstnancem), tak externě spolupracující osobou nebo organizací, která bude své úkoly plnit na základě smlouvy o poskytování služeb. Nařízení nestanovuje konkrétní kvalifikační požadavky na pověřence, pouze ve svém článku 37 odst. 5 v obecnosti konstatuje, že pověřenec by měl být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené Nařízením.

Pověřenec pro ochranu osobních údajů má být podle článku 38 odst. 1 nařízení GDPR náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Pracovní skupina WP29 doporučuje, aby správce nebo zpracovatel zajistil odpovídající míru kompetence a pravomocí na straně pověřence, například tím, že pověřence přizve k pravidelným schůzkám vyššího a středního managementu, zajistí účast a stanovisko pověřence v situacích, kdy jsou přijímána rozhodnutí, která se mohou dotknout ochrany osobních údajů, poskytne pověřenci všechny relevantní informace v dostatečné lhůtě, aby k nim mohl vyjádřit své stanovisko, zajistí, aby názoru pověřence na situaci, která se dotýká oblasti ochrany osobních údajů, byla vždy přikládána váha (pokud s názorem pověřence vedení společnosti nesouhlasí, doporučuje pracovní skupina WP29 zdokumentovat důvody, které vedly k nevyslyšení stanoviska pověřence), zajistí okamžité informování pověřence po porušení zabezpečení osobních údajů nebo jiném bezpečnostním incidentu atp.

Nařízení dále v článku 38 odst. 2 ukládá správci či zpracovateli povinnost podporovat pověřence pro ochranu osobních údajů při plnění jeho úkolů tím, že mu poskytne zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí. Za tyto zdroje Pracovní skupina WP29 považuje zejména:

  • oficiální jmenování pověřence a oznámení tohoto jmenování všem zaměstnancům a pracovníkům podniku;
  • nezbytný přístup a komunikaci s jinými odděleními (HR, právní, bezpečnostní, IT oddělení aj.);
  • poskytnutí dostatečného času, vybavení a případně personálního zázemí, aby mohl pověřenec vykonávat své povinnosti;
  • odpovídající finanční ohodnocení;
  • aktivní podporu pověřence ze strany vyššího managementu v ostatních otázkách souvisejících s ochranou osobních údajů (např. možnost vzdělávání v oblasti ochrany osobních údajů).

 

Úkoly pověřence pro ochranu osobních údajů

Nařízení předepisuje pověřenci několik úkolů a povinností. Mezi ty hlavní řadí sledování souladu vnitřní praxe podniku s právní úpravou ochrany osobních údajů. Podle pracovní skupiny WP29 je zejména vhodné, aby pověřenec sbíral informace k preciznímu rozpoznání a vymezení zpracovávání osobních údajů, analyzoval a kontroloval shodu vnitřní praxe zpracovávání s právní úpravou, či informoval, radil a vydával doporučení pro správce nebo zpracovatele osobních údajů.

Mezi další úkoly pověřence řadí nařízení GDPR v článku 35 odst. 1 poradní funkci v průběhu nově upraveného procesu, kterým je provádění posouzení vlivu na ochranu osobních údajů (angl. Data Protection Impact Assessment – DPIA). K tomuto Pracovní skupina WP29 doporučuje v první řadě provést analýzu, zda je posouzení vlivu na ochranu osobních údajů v daném případě nezbytné, vybrat vhodnou metodu pro provedení posouzení vlivu na ochranu osobních údajů a posoudit, jaké záruky (včetně technických a organizačních opatření) se mají aplikovat k tomu, aby se snížilo riziko pro práva a zájmy subjektů údajů.