Ignorujete pozici Pověřence, protože se na vás přímo nevztahuje? Děláte chybu!
- Datum: 05.02.2018
- Autor: František Nonnemann
Nevztahuje se na vás povinnost pověřence, proto se jím nemusíte zabývat? Omyl. Informace a zejména ty, které mají povahu osobních údajů, jsou cenným aktivem každé organizace. A GDPR nařízení se nezbavíte tím, že jej budete ignorovat.
Proč jmenovat Pověřence pro ochranu osobních údajů i tam, kde to povinné není?
Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, GDPR), které bude plně účinné od 25. května 2018, do českého právního řádu zavádí zcela nový institut, funkci Pověřence pro ochranu osobních údajů, anglicky Data Protection Officer, nebo také DPO.
Řada organizací zpracovávajících osobní údaje (o klientech, zaměstnancích či dalších osobách) bude muset tuto pozici vytvořit a obsadit. Těm ostatním, na které se GDPR také vztahuje je to minimálně doporučeno.
DPO jako konkurenční výhoda
Informace jsou dnes ty nejcennější aktiva. Pokud je chcete zhodnocovat i nadále, musíte být GDPR Compliance
Kvalifikovaný Pověřenec pro ochranu osobních údajů vám z pozice "interního auditora" dokáže pomoci upravit směrnice, postupy, souhlasy se zpracováním a další agendu, které je a bude povinná pro všechny, v celém životním cyklu zpracování osobních údajů.
Společnosti, které nemají přímou povinnost pozici DPO zřídit, přesto musí realizovat řadu interních změn. Namísto externích služeb tak můžete investovat do vlastních řad.
To znamená v prvním kroku zajistit internímu manažerovi potřebnou kvalifikaci. A právě ta je součástí kurzu, který je navíc akreditovaný dle e-CF pro pozici:
Pověřenec ochrany osobních údajů >
Dokonce i Evropský Úřad pro ochranu osobních údajů a pracovní skupina WP 29 doporučuje zřídit alespoň neformální funkci "pověřence" těm organizacím, kde to povinné není, ale dochází zde ke zpracování osobních údajů. Celý článek si můžete přečíst zde: Kdo a proč by měl být Pověřenec pro ochranu osobních údajů
Konkrétní osoba, která bude tuto funkci zastávat, potom musí mít dostatečnou znalost práva i praxe v oblasti zpracování osobních údajů.
Přitom pověřenec pro ochranu osobních údajů bude muset být při výkonu svých úkolů nezávislý a nesmí zároveň zastávat další roli, která by s pozicí pověřence mohla být ve střetu (například vedoucí IT), bude muset být včas zapojen do všech důležitých byznysových rozhodnutí a mít dostatek zdrojů pro výkon svých úkolů.
3 fatální chyby v kontextu GPDR, které mohou poškodit reputaci, ale i pohřbít vaši firmu
Důvody, proč využít ve vaší organizaci Pověřence jsme shrnuli a dále opakovat nebudeme. Ačkoliv vytvoření a obsazení funkce pověřence pro ochranu osobních údajů může představovat jistou zátěž, můžeme najít alespoň tři hlavní důvody, proč by to organizace měla udělat
1 Právo
Právní povinnost
GDPR ukládá povinnost jmenovat pověřence pro ochranu osobních údajů širokému okruhu organizací.
Ať už se tedy jedná o orgán veřejné správy, samosprávy či veřejnou instituci (ministerstvo, úřad, kraj, obec, škola), organizaci, která provádí rozsáhlé a komplexní zpracování osobních údajů (banka, pojišťovna, operátor, nebankovní poskytovatel finančních služeb, provozovatel větších kamerových či jiných bezpečnostních systémů, provozovatel cloudových služeb).
Povinnost se vztahuje i na subjekt, který zpracovává citlivé osobní údaje (poskytovatel zdravotních služeb, provozovatel služby využívající biometrické či genetické údaje), všechny tyto subjekty jsou povinny pověřence jmenovat.
Samotné nevytvoření pozice pověřence či obsazení této pozice osobou bez dostatečných znalostí a kvalifikace přitom představuje porušení GDPR, které může být sankcionováno až do výše 10 milionů EUR nebo 2 % ročního obratu celé skupiny, podle toho, která částka bude vyšší.
2 Compliance
DPO jako součást compliance programu
Vytvoření pozice pověřence pro ochranu osobních údajů a její plné zapojení do systému pro zpracování osobních údajů je důležitou součástí compliance programu, kterým může organizace doložit, že vynaložila veškeré rozumně očekávatelné úsilí na to, aby její činnost byla v souladu s GDPR.
To může být důležité při dozoru ze strany Úřadu pro ochranu osobních údajů či při soudním sporu, protože právě dostatečně zavedený complinace program v oblasti zpracování osobních dat, a to včetně vytvoření pozice pověřence a jejího obsazení dostatečně kvalifikovanou osobou, může přispět vyvinění organizace v konkrétním řízení či sporu.
Totéž platí i pro případnou trestněprávní odpovědnost. Právnické osoby mohou být rovněž trestně stíhány pro neoprávněné nakládání s osobními údaji, přičemž potrestány mohou být i finanční sankcí nebo dokonce zrušením.
I při trestním stíhání právnických osob platí, že faktické zavedení dostatečného compliance programu může vést k zastavení stíhání.
3 Důvěra
Závazek zpracovávat osobní údaje férově a transparentně
Pokud organizace vytvoří pozici pověřence pro ochranu osobních údajů, vybaví pověřence dostatečnými zdroji a prostředky pro výkon jeho úkolů a obsadí tuto pozici osobou, která profesně i lidsky garantuje dostatečnou kontrolu zpracování osobních údajů, může to být vnímáno jako veřejný závazek organizace zpracovávat osobní údaje férově, transparentně a respektovat práva všech dotčených osob.
Tuto skutečnost mohou pozitivně vnímat jak zaměstnanci a klienti organizace, kteří budou vědět, na koho se v případě nejasností či dotazů týkajících se zpracování jejich osobních údajů obrátit, ale i obchodní partneři.
Ti mohou veřejný závazek k dodržování GDPR a dalších pravidel pro zpracování osobních dat chápat jako jeden z možných důvodů, proč právě s takovouto organizací spolupracovat. Vytvoření, správné nastavení a obsazení funkce pověřence pro ochranu osobních údajů tak může být i konkurenční výhodou.
Závěr - jak nastartovat projekt GDPR Compliance?
Jak pověřence pro ochranu osobních údajů organizačně začlenit, jaké kompetence a úkoly pověřenci uložit, jak nastavit principy, pravidla a procesy se dozvíte v kurzu Pověřenec pro ochranu osobních údajů.
Nicméně pro usnadnění implementace můžete využít dokumentační základnu vzorových dokumentů, metodik a formulářů, kterou najdete v knihovně jako
V jakých oblastech (ne)jste Compliance? Ukáže GDPR Audit Tool
Jak je na tom vaše organizace a zda splňuje "GDPR Compliance" můžete zjistit pomocí auditu. TAYLLORCOX pro tyto účely zpřístupnit GDPR Self Assesment Tool, který byl vypracován GDPR Lead Auditory. Obsahuje všechny klíčové části požadavků na zpracování osobních údajů.
Všechny otázky mají i nápovědu a zároveň připravené odpovědi. Vaším cílem je identifikovat se s některou z připravených odpovědí. Na konci získáte grafické výstupy auditu shody s GDPR a také cenné doporučení pro implementaci.