2. 1. 2025
Evropská unie přijala nová pravidla v oblasti ESG ratingů
ESG a compliance
Pověřenec pro ochranu osobních údajů: Minimalizujte rizika v oblasti GDPR
20. 2. 2025
Věděli jste, že jako správce nebo zpracovatel osobních údajů můžete mít zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (Data Protection Officer - DPO)?
Správcem osobních údajů jste tehdy, pokud shromažďujete osobní údaje fyzických osob a rozhodujete, proč a jak budou osobní údaje zpracovány. Příkladem zde může být e-shop, který shromažďuje údaje o svých zákaznících pro marketingové účely. Zpracovatel pak osobní údaje zpracovává jménem správce. V tomto ohledu se může jednat například o IT firmu spravující databázi správce nebo účetní firmu.
Nejste si jistí, zda se povinnost jmenovat pověřence pro ochranu osobních údajů týká i vaší organizace? A může vám pověřenec pro ochranu osobních údajů přinést výhody i tehdy, pokud na vás povinnost ho jmenovat nedopadá? Čtěte dál!
Kdy musím jmenovat DPO?
Pověřenec pro ochranu osobních údajů hraje zásadní roli v oblasti ochrany osobních údajů. V dnešním světě, kde jsou data cennější než kdy dříve, je klíčové zajistit jejich bezpečnost a správu v souladu s právními předpisy.
Pověřenec pro ochranu osobních údajů je klíčovou osobou v systému ochrany osobních údajů, kterou zavádí Nařízení Evropského parlamentu a Rady (EU) 2016/679, známé jako Obecné nařízení o ochraně osobních údajů (GDPR). Podle článku 37 GDPR je správce nebo zpracovatel povinen jmenovat pověřence v několika konkrétních případech, a to pokud:
- zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (s výjimkou soudů),
- hlavní činnost správce nebo zpracovatele zahrnuje rozsáhlé monitorování subjektů údajů (fyzických osob) – jde například o případy sledování chování uživatelů na internetu,
- hlavní činnost správce nebo zpracovatele spočívá ve zpracování tzv. citlivých osobních údajů (například údajů o zdravotním stavu).
Mohu jmenovat DPO dobrovolně?
I když jmenování pověřence pro ochranu osobních údajů není pro organizaci povinností, lze k němu přistoupit i dobrovolně.
Tento krok je vhodný pro správce nebo zpracovatele, kteří chtějí prokázat odpovědný přístup k ochraně osobních údajů a minimalizovat potenciální rizika spojená s jejich zpracováním. Pověřenec pro ochranu osobních údajů totiž může významně přispět ke zlepšení procesů nakládání s osobními údaji uvnitř organizace. Dobrovolné jmenování pověřence pro ochranu osobních údajů může být navíc vnímáno jako jedno z opatření k posílení bezpečnosti při nakládání s osobními údaji.
Náplň činnosti DPO a jeho kvalifikace
Funkce pověřence zahrnuje výkon několika důležitých činností. Pověřenec poskytuje rady správci, zpracovateli i zaměstnancům, kteří se podílejí na zpracování osobních údajů, aby zajistil soulad s GDPR a dalšími právními předpisy. Sleduje, zda organizace postupuje v souladu s předpisy, a to například prostřednictvím auditů, školení a osvěty. Funguje také jako kontaktní osoba mezi organizací a Úřadem pro ochranu osobních údajů. Mezi jeho povinnosti patří i poradenství při provádění posouzení vlivu na ochranu osobních údajů (DPIA) a sledování jeho realizace. Pověřenec také pomáhá při řešení žádostí subjektů údajů, například při žádostech o přístup k údajům nebo jejich vymazání.
Funkci pověřence pro ochranu osobních údajů nemusí vykonávat pouze zaměstnanec organizace, ale také externí subjekt. To přináší výhodu, že interní pracovníci nejsou zatíženi agendou spojenou s ochranou osobních údajů vedle svých běžných pracovních povinností. Tato agenda je tak svěřena odborníkovi, který se této problematice věnuje profesionálně a komplexně. Pověřenec průběžně sleduje nejnovější praxi v oblasti ochrany osobních údajů, informuje o ní správce nebo zpracovatele a aktivně se podílí na implementaci změn uvnitř organizace. Kromě toho poskytuje podporu při vyřizování podnětů, stížností či námitek subjektů údajů, tedy jednotlivců, jejichž osobní údaje jsou zpracovávány.
GDPR sice nestanoví konkrétní kvalifikaci pověřence, ale klade důraz na jeho odborné znalosti právních předpisů a postupů v oblasti ochrany osobních údajů. Klíčovým aspektem jeho role je nezávislost, kterou musí organizace respektovat. Organizace mu tak nesmí udílet pokyny týkající se jeho činnosti a nemůže jej odvolat nebo sankcionovat za plnění jeho povinností v souladu s GDPR. To zajišťuje, že pověřenec může svou funkci vykonávat objektivně a bez vnějších vlivů.
Závěr
Ochrana osobních údajů bude i do budoucna zcela jistě klíčovým tématem nejen z pohledu legislativy, ale také z hlediska důvěry zákazníků a obchodních partnerů.
S rostoucím tlakem na odpovědné nakládání s daty lze očekávat, že význam pověřence pro ochranu osobních údajů bude dále narůstat. Implementace správných postupů v oblasti ochrany dat je proto nejen zákonnou povinností, ale i nezbytnou podmínkou pro dlouhodobý úspěch na trhu.
Naše služby
V rámci našich služeb poskytujeme výkon funkce pověřence pro ochranu osobních údajů jak pro veřejný, tak pro soukromý sektor. Odměna za poskytování této služby se odvíjí od velikosti organizace a šíře zpracování osobních údajů, a to od 5 000 Kč bez DPH do 25 000 Kč bez DPH (za měsíc).
V oblasti GDPR vám dále můžeme poskytnout následující služby:
- Zajištění souladu s předpisy na ochranu osobních údajů.
- Implementace opatření na ochranu citlivých informací.
- Audit nastavených interních procesů.
Autor: Jana Bednářová, Legal Assistant
