Hledá se DPO aneb jak je to s tím certifikátem?

Lze hovořit s jistou nadsázkou (ale ne zas tak moc), že od 25. 5. 2018, kdy se nařízení GDPR stane účinným, bude jen málo lidí, kteří nebudou tzv. pověřencem pro ochranu osobních údajů (DPO – Data protection officer).

Nařízení GDPR požaduje, aby správce (ale i zpracovatel) v určitých případech jmenoval DPO, který bude mít pevně dané úkoly na poli zpracování osobních údajů v dané společnosti. Takový DPO bude mít minimálně tyto úkoly:

  • bude poskytovat správcům (či zpracovatelům) informace a poradenství ohledně povinností dle GDPR a dalších předpisů týkajících se ochrany osobních údajů;bude poskytovat správcům (či zpracovatelům) informace a poradenství ohledně povinností dle GDPR a dalších předpisů týkajících se ochrany osobních údajů;
  • bude uvnitř organizace monitorovat soulad (tzv. compliance) s GDPR a dalšími předpisy a zároveň s koncepcemi ochrany osobních údajů správců, a to včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
  • na požádání bude poskytovat poradenství v souvislosti s posouzením vlivu na ochranu osobních údajů a zajišťovat monitorování jeho uplatňování;
  • bude spolupracovat s Úřadem pro ochranu osobních údajů a působit jako jeho kontaktní místo v záležitostech týkajících se zpracování, a to včetně předchozích konzultací.

Výše uvedený výčet je uveden přímo v čl. 39 nařízení GDPR, leč tímto výčtem to nekončí. Dle stanoviska Pracovní skupiny podle článku 29 (tzv. WP29) by měl správce osobních údajů také požadovat po DPO různé posudky a vyjádření, a to zejména k tomu:

  • zda je nebo není nutné provést posouzení vlivu;
  • jakou metodiku při zpracování posouzení vlivu použít;
  • zda posouzení vlivu vypracovat vlastními silami nebo jeho zpracování zadat externě;
  • jaká ochranná opatření (včetně technických a organizačních) uplatnit pro zmírnění rizik vůči právům a zájmům subjektů údajů;
  • zda posouzení vlivu bylo zpracováno správně a zda jsou jeho závěry (ať už vedou či nikoliv k pokračování zpracovatelské operace a bez ohledu na to, jaká ochranná opatření určují uplatnit) v souladu s nařízením GDPR.

Není potřeba dále rozvádět, že plnění výše uvedených povinností DPO (nejen těch výše uvedených) si žádá poměrně vysoké nároky na kvalitu takového DPO. Samo nařízení GDPR ve svém čl. 37 odst. 5 stanovuje tyto požadavky: „Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.“

WP29 výše uvedené opět rozvádí a stanovuje tyto dovednosti a zkušenosti:

  • znalost národního a unijního práva v oblasti ochrany dat a praktické zkušenosti včetně hluboké znalosti Obecného nařízení;
  • znalost prováděných zpracovatelských operací;
  • znalost informačních technologií a bezpečnosti dat;
  • znalost dané oblasti podnikání a organizace;
  • schopnost propagovat kulturu ochrany dat v organizaci.

Asi by bylo na místě si teď říci, kdo může být takovým DPO. Předně je nutno si uvědomit, že v případě, kdy na nás dopadne povinnost jmenovat DPO, neměli bychom si DPO „pořídit“ jako rohlík v obchodě. Rozhodnutí, kdo bude DPO, ve velké míře rozhodne o tom, jak budeme schopni plnit povinnosti dle GDPR a jak moc snížíme riziko případné kontroly od Úřadu pro ochranu osobních údajů, či snad sankci.

Zjednodušeně řečeno, čím kvalitnější DPO bude, tím jednodušeji budeme plnit povinnosti dle GDPR.

Výkon funkce pověřence lze zajistit interně vlastními zaměstnanci nebo externě prostřednictvím služeb externího pověřence. Pokud se rozhodnete funkci pověřence zajistit externě, je potřeba vzít v úvahu následující skutečnosti.

V současné chvíli existuje několik rychlokurzů završených certifikátem, které by měly osvědčovat profesní kvality DPO. Tyto certifikované rychlokurzy jsou dostupné v podstatě každému bez ohledu na vzdělání či zkušenosti. Je však otázkou, zda každý, kdo si tento certifikát obstará, má automaticky znalost národního a unijního práva v oblasti ochrany dat a rozumí našemu businessu a informačním technologiím.

Je opravdu dlužno dodat, že GDPR žádný certifikát nepožaduje. Co však požaduje, jsou odborné znalosti práva a praxe v oblasti ochrany osobních údajů. Platí tak pravidlo, že odborník na ochranu osobních údajů může být jmenovaným DPO i bez certifikátu, a že ne každý certifikovaný „odborník“ může být DPO.

Bylo by velmi krátkozraké tvrdit, že pouze advokát může být kvalifikovaným DPO, neboť i v České republice jsou opravdoví IT specialisté na zabezpečení osobních údajů, kteří svými znalostmi a zkušenostmi mnohdy převyšují letité právníky specializující se na ochranu osobních údajů. A to už jen z toho důvodu, že dokáží lépe pochopit náš business a navrhnout ta nejlepší řešení.

O čem se však málo mluví, je vlastní role DPO a jeho pravomoc v rámci společnosti správce či zpracovatele. Dle WP29 by měl mít DPO přístup do všech útvarů v organizaci, aby měl pověřenec nezbytnou podporu a informace z těchto útvarů. Zjednodušeně řečeno, proto, aby DPO mohl správně provádět svoji práci, musí mít přístup i do těch nejtemnějších koutů, kde jsou uloženy a zpracovávány osobní údaje. Co však na to ochrana našeho know-how? Co když DPO skutečně nebude tak kvalifikovaný a budeme muset po měsíci, kdy se takový „DPO“ vrtal v našem obchodním tajemství, najít nového DPO?

Vztahy s DPO lze jistě upravit prostřednictvím dohod o mlčenlivosti, je však jen jeden z mála případů, kdy je mlčenlivost uložena zákonem, která je pečlivě střežena a vymáhána – advokátní tajemství.

Co z výše uvedeného vyplývá? Buďme obezřetní při výběru externího DPO, zejména pak dbejme na to, aby vybraný DPO měl skutečně odborné znalosti nejen v právní úpravě, ale také v zabezpečení osobních údajů, a nehleďme pouze na počet certifikátů.

Chcete se o DPO dozvědět více? Dejte nám vědět nebo se informujte o našich službách.