Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation) je největší revolucí v oblasti ochrany osobních údajů za posledních 20 let, které zásadně zpřísňuje pravidla pro ochranu osobních údajů.
Nařízení GDPR představuje nejkomplexnější úpravu a regulaci práce s osobními údaji. Zavádí řadu nových pojmů a kategorií. Vedle tradičních údajů, které jsou obecně chápány jako osobní, sem patří i údaje technického rázu (IP adresa nebo cookies), a jako kategorie údajů hodné zvláštního zřetele definuje osobní údaje vypovídající o původu, politických názorech, náboženském či filozofickém vyznání, zdravotním stavu apod., genetické a biometrické údaje, osobní údaje dětí apod.
GDPR obecně reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů (včetně povinnosti hlásit jakékoliv incidenty v oblasti práce s osobními daty a jejich ochrany), definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv – včetně práva „být zapomenut“. Zavádí také roli pověřence pro ochranu osobních údajů (DPO, Data Protection Officer).
Data Protection Officer neboli DPO (česky Pověřenec pro ochranu osobních údajů) je nově vytvořenou pracovní pozicí podle GDPR. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.
Povinnost pověřence jmenovat nastává ve třech případech, pokud:
- zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Ve všech třech případech by měla být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci, bez ohledu na to, zda se jedná o zaměstnance správce, nebo externě poskytovanou službu, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.
Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom státním orgánem, ale také jinými fyzickými nebo právnickými osobami, kterým je tato pravomoc svěřena na základě národních předpisů. Může jít například o oblast veřejné dopravy, zásobování vodou a energiemi, silniční infrastrukturu nebo veřejnoprávní vysílání.
Podle nařízení může být jediný pověřenec jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou organizační strukturu. V odpovědnosti pověřence jsou rozmanité úkoly, proto musí správce zajistit, aby je jediný pověřenec zvládl plnit efektivně i přesto, že má odpovědnost za několik orgánů veřejné moci nebo veřejných subjektů. Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.
Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.
Ačkoliv nařízení výslovně neupřesňuje, jaké profesní kvality by při jmenování pověřence měly být zváženy, podstatné by měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost GDPR. Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů a technického zabezpečení dat.
Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou než organizace správce nebo zpracovatele). V posledně jmenovaném případě je důležité, aby každý pracovník organizace vykonávající funkci DPO splňoval všechny příslušné požadavky GDPR, a tedy např. nebyl ve střetu zájmů.
Cena za práce spojené s implementací požadavků Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů je stanovena individuálně a je závislá na velikosti a druhu organizace a na rozsahu zpracovávaných osobních dat. Cena za měsíční služby pověřence pro ochranu osobních údajů se pohybuje v rozsahu od 1.000 – 50.000 Kč.