DPO

Máte už svého Pověřence pro ochranu osobních údajů (DPO)?

Zavedení Obecného nařízení o ochraně osobních údajů (GDPR) přináší řadu nových povinností správcům a zpracovatelům osobních údajů jak v soukromém, tak veřejném sektoru. Jednou z novinek je povinnost jmenovat pověřence pro ochranu osobních údajů (DPO). Koho se tato povinnost týká? A co vlastně takový pověřenec pro vaši organizaci zajistí?

Kdo musí jmenovat DPO?

Povinnost jmenovat pověřence pro ochranu osobních údajů neboli Data Protection Officer (DPO) nastává ve třech případech:

1. Vykonáváte-li zpracování osobních údajů a jste orgánem veřejné moci nebo veřejným subjektem. Jedinou výjimku tvoří soudy.

2. Jste-li správcem či zpracovatelem osobních údajů, jehož hlavní činnosti spočívají ve zpracování údajů vyžadujících rozsáhlé pravidelné a systematické monitorování osob.

3. Pokud jako správce či zpracovatel osobních údajů vykonáváte hlavní činnost spočívají v rozsáhlém zpracování citlivých údajů. Konkrétně se jedná o takové údaje jako jsou třeba genetické a biometrické údaje nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů.

Kromě uvedených případů si mohou jednotlivé státy stanovit ještě další situace na národní úrovni, kdy bude nutné pověřence jmenovat. Samozřejmě můžete pověřence jmenovat i dobrovolně, abyste měli jistotu, že vaše společnost splňuje veškeré povinnosti plynoucí z GDPR.

Jaké úkony bude DPO provádět?

Činnost pověřence pro ochranu osobních údajů (DPO) sestává z řady úkonů. Patří sem třeba kontakt se subjekty, jejichž údaje zpracováváte. Pověřenec má za úkol spolupracovat s ÚOOÚ a slouží pro tento úřad jako kontaktní místo. Rovněž provádí monitoring souladu zpracování údajů s nařízením GDPR a dalšími předpisy EU i ČR v oblasti ochrany osobních údajů. Dále pověřenec poskytuje informace, školení a poradenství vám a vašim zaměstnancům ohledně povinností plynoucích s GDPR a jiných předpisů spojených s ochranou osobních údajů. V případě potřeby poskytne pověřenec poradenství v oblasti posouzení vlivu na ochranu osobních údajů neboli DPIA (Data Protection Impact Assessment).

Kdo může a kdo nesmí být jmenován pověřencem?

Pověřenec pro ochranu osobních údajů se má orientovat v národní a evropské legislativě, má disponovat důkladnou znalostí GDPR a mít zkušenosti v oblasti ochrany osobních údajů, zpracování dat a jejich technického zabezpečení. Nezbytná je i znalost informačních systémů.

Pověřencem nesmí být jmenována osoba, která by byla ve střetu zájmů. Za pověřence tedy nemůžete jmenovat např. zaměstnance, který v rámci náplně práce stanovuje určuje způsob zacházení se zpracovávanými osobními údaji a určuje účel jejich zpracování.

Funkci pověřence pro ochranu osobních údajů může vykonávat váš zaměstnanec, ale hrozí, že se dostane do střetu zájmů nebo nebude zvládat výkon své dosavadní pozice současně s funkcí DPO. Vhodnější je proto využít služeb externího pověřence, který bude nezávislý a bude se věnovat výhradně oblasti spojené s GDPR.

Chcete mít za pověřence pro ochranu osobních údajů (DPO) skutečného odborníka? Neváhejte se obrátit na nás! V Calyxu vám poskytneme veškeré služby spojené se zavedením Obecného nařízení o ochraně osobních údajů (GDPR) do praxe včetně pověřence pro ochranu osobních údajů (DPO).