Pověřenec pro ochranu osobních údajů

Nejprve je třeba zmínit, že je to správce nebo zpracovatel, kdo nese odpovědnost za dodržování nařízení. Ti musí zajistit a musí být také schopni doložit, že zpracování dat je prováděno v souladu s jeho ustanoveními. Správce je ve zkratce osoba nebo orgán, který určuje účely a prostředky zpracování. Zpracovatel je ve zkratce osoba nebo orgán, který zpracovává osobní údaje pro správce. Povinnost správce a zpracovatele jmenovat pověřence nastává ve třech konkrétních případech:

• Pokud zpracování dat provádí orgán veřejné moci či veřejný subjekt (bez ohledu na typ zpracovávaných dat);
• Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
• Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů (např. členství v odborové organizaci) a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Jmenování pověřence může být vyžadováno v dalších situacích, které stanoví právo Unie nebo právo členských států. I v ostatních případech, kde tato povinnost nevzniká, může být ustavení pověřence velmi užitečné. Doporučeno je provedení interní analýzy, která zohlední důležité faktory. Pověřence může ustanovit jen správce nebo jen zpracovatel, nebo jej musí jmenovat zároveň správce i zpracovatel (ti by pak měli spolupracovat).
Ve vymezení výše uvedených případů je důležitý výklad některých pojmů, který ale v nařízení chybí. Jejich výkladu se však věnovala pracovní skupina podle článku 29. Ten je shrnut na následujících řádcích. 

Ve výše uvedeném jsou důležité pojmy, jež Obecné nařízení přímo nedefinuje. Za „hlavní činnosti“ považovat klíčové operace, které směřují k dosažení cílů správce nebo zpracovatele a aktivity, kde je zpracování dat jejich nedílnou součástí. Příkladem je zpracování zdravotních záznamů pacienta. Naproti tomu vyplácení zaměstnanců je činností podpůrnou. Pro porozumění pojmu „rozsáhlý“ je třeba vzít v úvahu především počet dotčených subjektů údajů, objem zpracovávaných dat či rozsah datových položek, dobu trvání nebo nepřetržitost zpracovatelské činnosti a územní rozsah zpracovatelské činnosti. Rozdíl nalezneme v tom, zda půjde o zpracování údajů o pacientech v rámci běžné činnosti nemocnice či zpracování údajů o pacientech jednotlivým lékařem.
Slovo „pravidelný“ je vykládáno jednou nebo kombinací následujících charakteristik: průběžný nebo v pravidelných intervalech a po určitou dobu se opakující, stále se opakující nebo opakovaný ve stanoveném čase, neustále nebo pravidelně se vyskytující. Pro slovo „systematický“: vyskytující se podle určitého systému, přednastavený, organizovaný nebo metodický, uskutečňující se jako součást obecného plánu pro sběr dat, vykonávaný jako součást strategie. Příkladem „pravidelného a systematického monitorování“ je provozování telekomunikační sítě. Skupině podnikatelů je dovoleno jmenovat jediného pověřence za podmínky, že bude „snadno dosažitelný z každého podniku“. Pro účinnou komunikaci se subjekty údajů a spolupráci s příslušným dozorovým úřadem musí být kontaktní údaje pověřence zveřejněny. Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb; ta může být uzavřena mezi jednotlivcem (pracovníkem správce nebo zpracovatele) nebo externí organizací. Je nutné dbát, aby nenastal střet zájmů. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států, tím mu však není bráněno požádat o radu orgán dozoru. Pověřencův zájem je především soulad zpracování s nařízením, jehož základní prvky pomáhá zavádět. Úroveň odborných znalostí pověřence by měla být úměrná citlivosti, složitosti a množství osobních údajů. Jeho vědomosti by měly dosahovat do oblasti národní a evropské legislativy, podstatná je praxe v oboru ochrany osobních údajů a samozřejmě znalost GDPR. Pověřenec by měl znát prováděné operace zpracování, informační systémy, bezpečnost dat atp. Nařízení se rovněž věnuje podmínkám efektivního výkonu pověřencovy funkce. Správce a zpracovatel mají ústřední roli při vytváření podmínek pro účinné plnění pověřencových úkolů. Pověřenec musí mít nezbytné zdroje, jako např. dostatečný čas pro plnění povinností, příležitosti k udržování svých znalostí v souladu s rozvojem v oblasti ochrany dat a samozřejmě i odpovídající podporu z hlediska peněžních zdrojů a infrastruktury. Stěžejní je také dostatečná samostatnost, která spočívá v tom, že nebude dostávat žádné pokyny týkající se výkonu jeho úkolů a nebude mu například nařizováno přijímat určitý výklad práva týkající se ochrany osobních údajů. Pověřenec nemůže být propuštěn ani sankcionován v souvislosti s plněním svých úkolů. 

GDPR dále stanoví minimální rozsah pověřencových úkolů:

1. poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
2. monitorování souladu s GDPR, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
3. poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
4. spolupráce s dozorovým úřadem a
5. působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.

Zásadní je zapojení pověřence do všech záležitostí týkajících se ochrany osobních údajů. Správce si například již při posuzování vlivu na ochranu osobních údajů vyžádá od pověřence posudek. Měl by být vnímán jako diskuzní partner uvnitř organizace a součást příslušných pracovních skupin zabývajících se v organizaci zpracováním dat. Proto je vhodná jeho přítomnost všude tam, kde se dělají rozhodnutí dopadající do ochrany osobních údajů a jeho stanovisku by měla být přiznána patřičná závažnost. A to třeba tak, že pokud pověřencovo stanovisko nebude následováno, zadokumentují se důvody, které k tomuto vedly.
Úlohou pověřence je monitorování souladu s Obecným nařízením o ochraně osobních údajů, ale jak již bylo výše zmíněno, je to správce nebo zpracovatel, kteří jsou odpovědní za dodržování povinností dle GDPR. Obecně se od pověřence požaduje přiřazovat priority svým činnostem a zaměřit úsilí na záležitosti představující vyšší riziko pro ochranu osobních údajů, to však neznamená zanedbávání operací s rizikem srovnatelně menším.

Až příští rok ukáže, co tato funkce přinese v praxi. Koncept pověřence ale není úplně nový. Přestože směrnice 95/46/ES jmenování pověřence po organizacích nevyžadovala, během let se už tato praxe rozvinula v několika členských státech.