GDPR v praxi: Jakou roli plní ve společnosti pověřenec pro ochranu osobních údajů?

Jak je to vlastně s GDPR? Na koho se požadavky při ochraně osobních údajů vztahují především?

GDPR znamená především zodpovědné zacházení s osobními údaji všech fyzických osob. Musí se jím řídit každý, kdo je při zpracování osobních údajů v pozici správce nebo zpracovatele konkrétních osobních údajů. Nejedná se však o žádné speciální právo, které by se vztahovalo výhradně na firmy, které se zabývají zpracováním, poskytováním nebo prodejem informací. Týká se všech, kteří přicházejí do styku se zpracováním osobních údajů fyzických osob a dále s nimi nějak pracují, od orgánů veřejné moci, přes marketingové agentury až po jednotlivé společnosti, které si vedou nejrůznější databáze za účelem realizace jejich obchodních strategií.

Co znamená funkce pověřence pro ochranu osobních údajů a kdo ji může zastávat?

DPO by měl být velice universální odborník, který v sobě bude schopen zkombinovat právní znalosti, technickou oblast IT a zároveň znalost prostředí a procesů v dané firmě. Měl by to být respektovaný partner pro pravidelný dialog se členy vrcholového vedení společnosti správce. Ve firmě by měl dohlížet na to, aby veškeré operace, při kterých jsou zpracovávány osobní údaje, byly vždy prováděny s náležitým respektem k soukromí jednotlivců a byly v souladu se zákonem. V neposlední řadě musí mít dobré komunikační schopnosti, protože bude působit napříč celou firmou. Měl by také zajistit, aby u správce byla vedena veškerá související povinná dokumentace. DPO je rovněž kontaktní osobou pro dozorový orgán, kterým je Úřad pro ochranu osobních údajů. Nicméně jmenovat DPO a očekávat, že tím je vše vyřešeno, je nebezpečný omyl. Společnost správce totiž musí bdít nad dodržováním GDPR jako celek a osoba pověřence funguje spíše jako mediátor a garant souladu s plněním povinností správce napříč firmou nebo při kontaktu správce s vnějším světem.

Které typy společností musí pozici DPO zavést?

Zákonnou povinnost jmenovat pověřence mají organizace veřejné správy, veřejnoprávní společnosti a všechny firmy, jejichž hlavní činností je systematické a dlouhodobé sledování informací o jednotlivcích. Zvláštní kategorii pak tvoří citlivé údaje, jako jsou přestupky nebo trestné činy.

Ostatní společnosti vlastního pověřence mít nemusí, nicméně to neznamená, že by se nemusely GDPR řídit. Osobně doporučuji, aby v každé firmě, kde systematicky probíhá zpracování osobních údajů, a to je dnes téměř ve všech oblastech podnikání, byla určena osoba zodpovědná za problematiku týkající se ochrany osobních údajů. Někdy to může být řešeno formou externí spolupráci, jindy půjde o dílčí náplň činnosti stávajícího pracovníka. Rozsah pracovního úvazku přitom bude záviset nejen na velikosti firmy, ale především na množství osobních údajů, které zpracovává a na způsobech jejich dalšího využití.

Pokud firma uvažuje o tom, že by zavedla pozici pověřence, jaké má možnosti?

Pověřence může vykonávat buď vlastní zaměstnanec, nebo také externista, formou smluvní dodávky služeb. Rozhodně musí vždy rozumět záležitostem, jež se týkají ochrany osobních údajů, ale také by měl mít přehled o konkrétní firmě jako celku a oboru, ve kterém společnost podniká. U vlastních zaměstnanců správce je důležité zajistit, aby pro výkon funkce pověřence měli dostatečně garantovanou nezávislost na společnosti a aby u nich nevznikal případný konflikt zájmů. Pověřence proto nemůže zajišťovat jako souběh vlastní náplně práce například ředitel IT, který je za ochranu dat ve firmě profesně zodpovědný.

Jaké povinnosti jsou nyní v souvislosti s GDPR pro firmy klíčové?

Každý správce by již měl mít zmapováno, které osobní údaje zpracovává, o jaké kategorie údajů se jedná a jaký je účel jejich zpracování. Nikdo není oprávněn zpracovávat osobní údaje bez stanovení odpovídajícího účelu a právního titulu, na základě kterého ke zpracování dochází. Jedná se o kompletní a aktualizovaný přehled o veškerých firemních procesech, při kterých dochází ke zpracování údajů. Dále musí být splněna informační povinnost a zajištěn výkon práv dotčených osob. Je potřeba dodržovat preventivní opatření na ochranu osobních údajů. A kromě toho musí firma kontrolovat také své dodavatele a ujistit se, že i jimi zpracovávané údaje jsou svěřeny do spolehlivých rukou.

Můžete shrnout, jaké jsou nejčastější omyly o GDPR?

Stručně řečeno panují mýty o nepřenositelnosti údajů, o poskytování opakovaných souhlasů se zpracováním údajů při každém kontaktu a také o zákazu uchovávání osobních informací. Problematika však je o něco širší a složitější. Například společnosti správce mohou v případě potřeby některé osobní údaje uchovávat a tedy zpracovávat i bez souhlasu subjektu údajů. Musí však prokázat, že pro to existují u nich odpovídající právní důvody. Zároveň nesmí uchovávat více údajů, než kolik skutečně potřebují a po dobu delší, než po jakou je skutečně aktivně využívají.

Jaké příležitosti má nyní po zavedení GDPR společnost jako je Bisnode?

Z velké části se oblast legislativy nezměnila a některé povinnosti jsou stejné jako dřív. Přibyla však některá nová práva na ochranu práv subjektů údajů. S poskytováním dat je to podobné jako s výdejem léků na předpis. Nelze je poskytnout komukoliv a kdykoliv. Příjemce by měl být vždy řádně poučen, jak se k datům jako správce chovat v souladu s GDPR. Aktuálně se proto vždy snažíme pomoci našim zákazníkům, aby měli správné a aktualizované údaje, které budou v souladu s GDPR. Také chceme, aby si nemuseli dělat zbytečné starosti s hrozbou nedodržení legislativních požadavků a případných sankcí. Naší snahou proto je nabídnout jim pouze takové produkty, které jim umožní se plně věnovat jejich podnikání a využívat k tomu veškeré dostupné informační zdroje v souladu s předpisy.

Více informací:

www.ochranaudaju.cz

www.bisnode.cz/privacy