Hlavní navigace
Už zbývá jen pro podání daňového přiznání. Vyřešte je s našimi chytrými formuláři a tipy na slevy.

Prodáváte? Pak šetřete na ochránce osobních údajů. Budete ho potřebovat

Zdeněk Vesecký

Nové zaměstnance abys pohledal. S pověřenci pro ochranu osobních údajů to bude ještě horší. Specialistů pro tuto činnost je málo.

Obecné nařízení GDPR, které začne platit od příštího roku, zavádí ve firmách novou pozici. Pověřence pro ochranu osobních údajů bude muset najmout řada podnikatelů.

Zpracovatelé osobních údajů se až dosud musí registrovat na Úřadu pro ochranu osobních údajů. Od května příštího roku, kdy začne v praxi fungovat unijní nařízení týkající se těchto dat, to bude jiné. Registrace už nebude zapotřebí. Místo toho bude mít řada firem povinnost zaměstnat nebo si najmout pověřence pro ochranu údajů. Povinnost se nevyhne ani menším podnikatelům, a to zejména z oblasti retailu a e-commerce. Bude to znamenat nejen nové výdaje, ale také poměrně dost práce se sháněním lidí kvalifikovaných pro výkon takové funkce. Z mnoha stran už teď zaznívá, že je jich nedostatek.

S osobou pověřence pro ochranu osobních údajů – někdy se používá anglická zkratka DPO (Data Protection Officer) – počítá článek 37 GDPR. Podle něj musí takovou funkci zřídit každý správce nebo zpracovatel osobních údajů, jehož hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů. Z tohoto vysvětlení nebylo zcela jasné, kdo bude muset DPO zaměstnat nebo najmout. Proto vznikla pracovní skupina, která to vysvětlila.

Psali jsme: Jarní úklid bude letos důležitější než kdy jindy. Usnadní vám přijetí GDPR

E-shopy se DPO v podstatě nevyhnou

Pověřence pro ochranu osobních údajů nebudou muset mít ti správci dat, pro které znamená zpracovávání osobních údajů pomocnou či podpůrnou činnost k dosažení základních cílů hlavní činnosti. Za hlavní činnosti jsou považovány takové, které souvisejí s jeho základními obchodními a provozními činnostmi, jinými slovy s předmětem podnikání. Typickým příkladem, kdy nebude nutné mít pověřence, je firma provádějící jen zpracování osobních dat zaměstnanců, která potřebuje znát a schraňovat za účelem vedení personální a mzdové evidence. Tyto činnosti zpracování citlivých dat není podle pracovní skupiny možné ve většině případů považovat za hlavní činnost správce.

Bez pověřence pro ochranu osobních údajů už se ale neobejdou ti, jejichž hlavní činnosti spočívají ve zpracování vyžadujícím rozsáhlé pravidelné a systematické monitorování. Opět jde o pojmy, které se dají vyložit různě. Proto bylo stanoveno, že rozsáhlé zpracování osobních údajů se bude týkat zejména údajů pacientů v nemocnicích a zákazníků pojišťoven a bankovních domů za účelem personalizování obsahu a cílení reklamy na základě chování při používání vyhledávacích nástrojů. Pracovní skupina doporučila zvážit množství zpracovávaných osobních údajů vzhledem k množství zpracovávaných údajů obecně i k relevantní populaci, dále dobu trvání zpracovávání osobních údajů nebo různorodost zpracovávaných dat.

Pro menší podnikatele, a to zejména z oblasti retailu, je pak důležitý výklad pojmů pravidelné a systematické monitorování. Pravidelně monitorovat znamená, že tento proces probíhá kontinuálně nebo v určitých (rozsáhlejších) intervalech po určitou (delší) dobu, je opakovaný a opakující se ve stanovených časech nebo k němu dochází periodicky. Pojem systematický je pak vykládán jako vyskytující se podle určité systematiky, předem uspořádaný, organizovaný nebo metodický, vyskytující se jako část obecného plánu sběru dat, případně je prováděný jako součást strategie. Z tohoto výkladu je jasné, že sem patří běžné činnosti většiny internetových obchodníků, například reklamní sdělení cílená na základě chování subjektu údajů při používání vyhledávacích nástrojů, e-mail retargeting nebo věrnostní programy.

Osobními údaji jsou podle GDPR veškeré informace o identifikované nebo přímo či nepřímo identifikovatelné fyzické osobě. Přitom je ale potřeba počítat i s lokalizačními údaji a elektronickými identifikátory, jako jsou síťové adresy nebo cookies. Cookies mohou pro další servery či aplikace nasdílet portfolio údajů o uživateli, třeba informace o tom, co si daný uživatel na konkrétní webové stránce zobrazil či nakoupil, jaké má ve vztahu k obsahu čerpané služby osobní preference, jaké jsou jeho přihlašovací údaje. V případech, kdy jsou podle své povahy způsobilé identifikovat konkrétního uživatele, představují osobní údaj, vysvětlil Ján Matejka, ředitel Ú́stavu státu a práva Akademie věd ČR. Úřad pro ochranu osobních údajů proto upozornil, že cookies mohou být považovány za osobní údaje, a v takovém případě musí být dán předchozí souhlas s jejich používáním. Detaily nabízí článek Je souhlas s používáním „cookies“ pro české provozovatele webů skutečně nutný?

Pro ty, kteří by byli na pochybách, zda se jich povinnost zřídit či najmout pověřence pro ochranu osobních údajů týká, nebo ne, bylo vydáno doporučení provést nezávislé odborné posouzení. V případě, že správce osobních údajů nebude funkci DPO zřizovat nebo si osobu či firmu zajišťující nařízený dohled najímat, měl by disponovat stanoviskem s odůvodněním, proč tomu tak není. Ostatní správci nebo zpracovatelé dat mohou pověřence jmenovat dobrovolně.

Dále čtěte: Další výdaje a povinnosti podnikatelů. Povinná ochrana dat

EBF17 tip Šulák

Pověřenec je částečně nedotknutelný, práci mu nepřikážete

Mezi hlavní úkoly DPO bude patřit poskytování informací správcům nebo zpracovatelům a zaměstnancům o jejich povinnostech při zpracovávání osobních údajů nebo kooperace s dozorovým úřadem, v českém případě s Úřadem pro ochranu osobních údajů. Pověřenec by měl mít v rámci výkonu své funkce nezávislé postavení na správci nebo zpracovateli, není mu tedy možné udělovat žádné pokyny týkající se výkonu úkolů pověřence. Osoby pracující na pozici DPO mohou ve firmě souběžně plnit i jiné úkoly a povinnosti, které nesouvisí s ochranou osobních údajů. Žádný z těchto jiných úkolů a povinností ovšem nesmí vést ke střetu zájmů s funkcí pověřence.

Článek 39 obecného nařízení se pak věnuje také tomu, kdo může pověřencem být. Opět to není přesně specifikováno. Je ale dáno to, že musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39. Potřebná úroveň odborných znalostí by měla být určena v závislosti na prováděných zpracovatelských operacích a požadované ochraně zpracovávaných osobních údajů. Pokud je například zpracovatelská činnost zvláště složitá nebo je prováděna s velkým množstvím citlivých údajů, bude pověřenec potřebovat znalosti a podporu na vyšší úrovni. Mezi potřebné dovednosti a zkušenosti pověřence patří znalost národního a unijního práva v oblasti ochrany dat a praktické zkušenosti, včetně hluboké znalosti GDPR, znalost prováděných zpracovatelských operací, informačních technologií a bezpečnosti dat, znalost dané oblasti podnikání a organizace i schopnost propagovat kulturu ochrany dat v organizaci.

Našli jste v článku chybu?