Omyl první: pověřenec nesmí od vedení dostávat žádné instrukce, aby byla zachována jeho nezávislost

Firmy si často stěžují na to, že pověřenec je pro ně jakýsi „nad-zaměstnanec“, protože pokud by jej jmenovaly, nesmí podle GDPR dostávat od vedení své firmy žádné úkoly, prý aby byl ve své pověřenecké činnosti nezávislý. Obecné nařízení k této tematice ve svém článku 38 přesně stanovuje:

Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Důležité zde je povšimnout si formulace „těchto úkolů“ nebo „svých úkolů“. Těmi totiž obecné nařízení rozumí úkoly pověřence vyplývající z nařízení a nikoli obecně všechny úkoly pověřence jako zaměstnance nebo i mandatáře či příkazníka firmy. Bylo by skutečně absurdní si představovat, že pro všechny zaměstnance platí např. zákaz vstupu do rizikových nebo vyhrazených prostor, pracovní doba, povinnosti jako zpracovávat pravidelné reporty či pracovní výkazy, předkládat zaměstnavateli doklady k pracovním cestám apod., jen pověřenci jsou těchto povinností zproštěni kvůli privilegovanosti svého postavení oproti ostatním zaměstnancům.

Opak je pravdou – běžné povinnosti platí pro pověřence úplně stejně jako pro všechny ostatní zaměstnance organizace správce a za jejich neplnění či nesplnění mohou být stejně jako všichni ostatní sankcionováni. Zákaz udílení pokynů a zákaz propuštění i sankcionování platí tedy výlučně na činnosti související s odborným výkonem funkce pověřence a nevztahuje se na jeho běžné zaměstnanecké povinnosti. Současně je třeba pamatovat na to, že pověřence nelze sankcionovat v souvislosti s plněním jeho povinností – v případě jejich neplnění to však neplatí a liknavý či nečinný pověřenec může být svým zaměstnavatelem nebo správcem, který jej do funkce jmenoval, samozřejmě sankcionován za zanedbání jeho povinností.

Omyl druhý: pověřenec vůbec nesmí sám pracovat s osobními údaji, aby nebyl ve střetu zájmů

GDPR ke střetu zájmů uvádí lakonicky pouze to, že pověřenec může vykonávat i jiné úkoly, při jejichž plnění by však každopádně nemělo dojít ke střetu zájmů. Širší kontext výkladu střetu zájmů však uvádí ve svých vodítkách bývalá tzv. WP29 (Pracovní skupina podle čl. 29 směrnice 95/46/ES), která praví, že

…pověřenec pro ochranu osobních údajů nemůže v rámci organizace zastávat pozici, ve které by měl určovat účely a prostředky zpracování osobních údajů.

přičemž situaci pověřence nelze paušalizovat vzhledem k rozdílným poměrům v každé organizaci správce. Současně WP29 uvádí důležitou informaci, že

… může ke střetu zájmů dojít rovněž například tehdy, je-li externí pověřenec pro ochranu osobních údajů požádán, aby správce nebo zpracovatele zastupoval před soudy v případech týkajících se otázek ochrany osobních údajů.

Z uvedeného vyplývá, že každý správce by si měl identifikovat pozice, které jsou vyloučeny z kumulace s funkcí pověřence, a naopak i ty, které jsou s touto pozicí kompatibilní. Pověřencem zcela jistě nemůže být CEO firmy ani manažer rozhodující o nastavení procesů, vývoji služeb zaměřených na zákazníka nebo práci s osobními daty zaměstnanců. Nemůže jím být ani advokát, který poskytuje firmě právní služby v záležitostech, které se mohou týkat i osobních údajů a hrozí tedy, že by měl zájmy organizace správce hájit u soudu.

Naopak pověřencem se stát mohou běžní zaměstnanci – např. pracovník HR oddělení, účetní, ale i poradce šéfa firmy, ovšem vždy jen za předpokladu, že současně plní další požadavek nařízení, kterým je, že:

Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Další častá nepochopení institutu pověřenců nebo nesprávný výklad jejich postavení:

  • Pověřence mohu bez omezení sdílet s ostatními firmami/organizacemi – I v těchto případech je třeba myslet na střet zájmů. A ten praví, že pověřenec by neměl být ve střetu zájmů ani v externím slova smyslu, neměl by tedy poskytovat své služby správcům údajů, kteří jsou v potenciálně konkurenčním postavení na trhu.
  • Je obecně lepší mít interního/externího pověřence – Není možné doporučení paušalizovat. Nejprve je třeba, aby si organizace, resp. vedení organizace správce identifikovalo, zda má daná organizace povinnost jmenovat pověřence pro ochranu osobních údajů. A pokud už je tato povinnost dána, jaký je odhad kapacity potřebné pro výkon funkce pověřence a nakolik komplikované úkony pověřenec pravděpodobně bude plnit. V návaznosti na tento odhad je možné zvážit obě možnosti – jak jmenování interního zaměstnance, tak i najmutí externího odborníka. Obojí je aplikovatelné a obojí může být právě tím nejvhodnějším řešením pro některé typy organizací.
  • Pro výkon funkce pověřence je nutná certifikace nebo zápis do seznamu pověřenců – Nikoliv. V Česku nemáme a nebudeme mít žádný veřejnoprávní seznam pověřenců obdobný seznamu znalců a tlumočníků – je tedy zcela na soukromém sektoru, resp. na trhu, aby zvolil možné cesty k publikaci nabídky služeb pověřenců a je na každém pověřenci, jak se bude snažit stát se na trhu co nejviditelnější. Existují různé seznamy pověřenců vedené soukromoprávními organizacemi, existují různé soukromoprávní certifikáty, které mohou určitému pověřenci dát jistou konkurenční nebo kvalifikační výhodu před pověřenci jinými. Ve výsledku je však vždy na organizaci správce, jakou osobu právě svým pověřencem jmenuje.
  • Pověřenec musí být jmenován pro každý typ veřejnoprávní organizace – Ne všechny veřejnoprávní organizace musejí mít svého pověřence – jsou to pouze ty, které spadají pod definici „veřejného subjektu“, o které hovoří ve svém čl. 37 GDPR. Výklad tohoto pojmu poskytuje moudře a v českých podmínkách srozumitelně český zákonodárce, který v aktuálně platném návrhu zákona uvádí, že takovými subjekty jsou orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu. Z dosavadní výkladové činnosti ÚOOÚ přitom vyplývá, že za takové subjekty se mj. nepovažují veřejné knihovny, poskytovatelé sociálních služeb, organizace poskytující volnočasové aktivity jako domy dětí a mládeže nebo jiná volnočasová centra či základní umělecké školy. Naopak pověřence mít musejí všechny typy veřejnoprávních škol včetně škol mateřských, samozřejmě úřady státní správy i samosprávy, mezi jimi zřizovanými organizacemi je však třeba pečlivě filtrovat ty, které do definice „veřejných organizací“ spadají a které již nikoli.

Jak tyto omyly řešit v praxi

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce www.uoou.cz nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Buďte u vědomí toho, že v ČR aktuálně neexistuje ani se nepřipravuje žádný systém veřejnoprávní certifikace pověřenců nebo veřejnoprávní seznam pověřenců a všechny certifikace i seznamy tedy pocházejí výlučně ze soukromých iniciativ.

K tematice pověřenců pro Vás mohou být užitečné následující odkazy:

Svaz průmyslu a dopravy ČR se přípravě českých firem na GDPR věnuje soustavně již od počátku roku 2017. V prvním pololetí 2017 připravil sérii regionálních diskuzních fór pro firmy. Od června 2017 do dubna 2018 pak zorganizoval projekt Akademie GDPR. Spolu s partnery Svaz připravil celkem 22 tematických seminářů a workshopů věnovaných 17 tématům určených k praktické přípravě českých firem na účinnost GDPR. V roce 2018 také spustil e-learningovou platformu Vyškoleno CZ (www.vyskoleno.cz), kde mohou firmy absolvovat zevrubnou i základní verzi e-learningových kurzů k GDPR určeným jak pro vrcholový management firem a jejich pověřence nebo manažery pro ochranu osobních údajů, tak i pro běžné zaměstnance. Všechny tyto projekty Svaz realizuje v úzké partnerské spolupráci s Úřadem pro ochranu osobních údajů, který je také jejich odborným garantem.

Nyní Svaz připravuje sérii populárně-naučných článků, jejichž cílem je rozptýlit nejčastější dezinformace a dezinterpretace, které se ohledně GDPR na českém trhu vyskytují. Postupně se tak bude věnovat tématům:

  1. Kontext a souvislosti GDPR
  2. Souhlasy se zpracováním osobních údajů
  3. Pověřenci pro zpracování osobních údajů
  4. Přeshraniční přenosy osobních údajů
  5. Procesy implementace GDPR ve firmách

K 25. květnu letošního roku nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Firmy jsou vystaveny extrémnímu tlaku, aby zajistily, že se v jejich podniku budou uchovávat data a nakládat s nimi v souladu s tímto nařízením. Ne vždy k tomu však mají přesné a úplné informace. Výsledkem je obrovský chaos, který na trhu panuje. Podniky zavádí opatření, která je často stojí spoustu prostředků, aniž by vedla k zamýšlenému výsledku. Tím je slovy nařízení přijetí „takových technických a organizačních opatření firem jako správců údajů, která povedou k zabezpečení nakládání s osobními údaji a splnění povinností správců údajů i naplňování práv subjektů údajů“. Svaz průmyslu a dopravy ČR proto na svých stránkách postupně zveřejní sérii populárně-naučných článků, kterými vysvětlí nejčastější mýty a omyly o GDPR a dá firmám praktické návody, jak případné omyly napravit.

Autorka článku: Mgr. Tereza Šamanová, tsamanova@spcr.cz