Jak dopadly celoevropské kontroly GDPR pověřenců?
- Datum: 18.03.2024
Úřady pro ochranu osobních údajů z celé EU se v roce 2023 zaměřily na fungování pověřenců pro ochranu osobních údajů. V lednu zveřejnily kontrolní závěry. Jak to dopadlo?
Evropský sbor pro ochranu osobních údajů (EDPB) vydal v lednu 2024 zprávu o závěrech koordinované kontrolní akce zaměřené na prověření, jak organizace zajišťují splnění podmínek pro postavení a fungování pověřence podle článků 37 - 39 GDPR .
Akce probíhala během celého roku 2023, přičemž některé aktivity pokračují i v roce 2024. Šetření ve svých členských státech provedly příslušné dozorové orgány, v České republice tedy Úřad pro ochranu osobních údajů.
Výsledná zpráva vzešla z celkem 17.490 odpovědí a reakcí na dotazy dozorových úřadů. Většinou odpovídaly organizace a jen ve 2.382 případech samotní pověřenci. Pro zajímavost, úřady původně obeslaly téměř 62 tisíc respondentů. Relativně nízká míra participace tak svým způsobem naznačuje, že ve vnímání GDPR jako bezprostřední hrozby došlo k určitému posunu a firmy již nemají problém požadavek dozorového úřadu vymlčet.
Co bylo cílem koordinovaných kontrol a jak to dopadlo?
Cílem bylo přispět k vyšší efektivitě a konzistentnějšímu vykonávání role pověřenců napříč EU. Proto také výsledná zpráva přehledně shrnuje hlavní výzvy a problémy, jimž pověřenci často čelí. Zpráva také obsahuje doporučení pro sjednání nápravy.
Samotná zpráva neobsahuje velká překvapení. Kdokoli, kdo se v oblasti ochrany osobních údajů pohybuje, by nejspíše vypíchl podobné hlavní body:
Zdroje přidělené pověřencům jsou v kontextu povinností a činností, které mají vykonávat, nedostatečné
Nedostatečná je expertíza pověřenců, mnoho pověřenců není odborně na výši
Často hrozí riziko střetu zájmů, protože organizace pozici pověřence často slučují s jinou nekompatibilní funkcí
Hlavní problémy pověřenců pro ochranu osobních údajů
Hlavní problémy, které úřady při koordinované akci zjistily, lze shrnout do těchto 7 oblastí:
- Nejmenování pověřence v situaci, kdy je to pro organizaci povinné
- Nedostatečné zdroje pro pověřence
- Nedostatečná odborná úroveň pověřenců v důsledku nedostatečného školení a vzdělávání
- Úkoly, které má podle GDPR zajišťovat pověřenec, jsou vykonávány jinými rolemi (vč. nedostatečné zahrnutí DPO do rozhodování organizace)
- Konflikty zájmů a nedostatečná nezávislost pověřenců
- Chybějící přístup DPO k nejvyššímu vedení a absence reportingu nejvyššímu vedení
- Nedostatečná podpora a jasnost pokynů a stanovisek ze strany dozorových orgánů
Kvalitních pověřenců je málo napříč EU
Průzkum zahrnoval všechny formy DPO přípustné dle GDPR, tedy jak interní a externí, tak i skupinové pověřence. Zde nutno podotknout, že i na pověřence jmenované dobrovolně (tedy bez přímé právní povinnosti dle čl. 37 GDPR) se vztahují povinnosti a práva dle článků 37 až 39 GDPR. Dobrovolnost jmenování pověřence tak není omluvou pro nevhodné nastavení jeho pozice v organizaci.
Podle průzkumu je cca 70 % pověřenců v zaměstnaneckém poměru, tedy cca třetina pověřenců funguje na smluvní bázi. Průzkum dále ukázal, že jen cca 13 % pověřenců má méně než 3 roky zkušeností v roli DPO nebo v dané oblasti podnikání. Přibližně polovina pověřenců má více než 5 let zkušeností. Nepřekvapivě bylo potvrzeno, že odborníci, a to navíc zkušení, na trhu nejsou. Ani organizace, které by chtěly angažovat dobrého pověřence a vytvořit mu vhodné podmínky, mnohdy vhodného kandidáta nenajdou a jsou nuceny roli obsadit méně vhodnými osobami.
Vzdělávání a udržování odborné úrovně pověřenců
GDPR správcům a zpracovatelům ukládá povinnost zajistit pro pověřence přístup k vzdělávání a udržování odborné úrovně. Proto je zarážející, že znalost zákonů na ochranu osobních údajů byla jen v 75 % případů podmínkou pro jmenování konkrétního pověřence.
Jen zhruba čtvrtina organizací uvedla, že pověřenec využije více než 32 hodin školení ročně. Je zarážející, že ve většině případů to je méně než 24 hodin školení a vzdělávání, přičemž přibližně 4 % organizací dává svým pověřencům nula hodin.
Budoucnost? Certifikace a vzdělávání pověřenců!
Výsledná zpráva EDPB ke kontrolní akci k pozici pověřenců nepřináší (v pozitivním smyslu) žádná překvapení. Pověřenci často nedostávají od organizací potřebnou podporu a nejsou zahrnováni do strategického rozhodování. Jejich úkolem je spíše pomoci organizaci „nějak“ splnit regulaci, než pomoci při strategickém rozvoji organizace a předcházení problémům a zajištěním souladu při zpracování osobních údajů.
Jelikož mnozí pověřenci nedisponují dostatečným vzděláním a znalostmi, mnohdy si ani neuvědomují, že jsou za své aktivity odpovědní a v případě nekonání, či nesprávného vykonávání povinností pověřenců a způsobení škod, mohou být sankcionováni. Nevytváří tak dostatečný tlak na organizace, aby jejich pozice skutečně odpovídala požadavkům a smyslu GDPR. Naopak se často mohou nacházet v konfliktu zájmu, čímž organizaci vystavují riziku citelných pokut.
Zatím není jasné, jestli a jaké konkrétní kroky budou následovat. Lze předpokládat, že dojde k aktualizaci pokynů pro pověřence. Obávám se ale, že tyto pokyny i nadále nejspíše zůstanou v provedení „právničtina“ a nelze tak mít přehnaná očekávání, že by jasně a deteministicky „inženýrsky“ vykolíkovaly hřiště.
Určitou naději budí posun k většímu využívání certifikací a vzdělávacích programů pro pověřence. Ostatně vzdělávání pověřenců, osob pověřených na základě dalších regulací a vedoucích zaměstnanců je jistě správnou cestou nejen k zajištění souladu, ale také k tomu, aby organizace dokázaly právní povinnost přetavit do obchodní výhody.
Není asi na místě očekávání, že by dozorové úřady v dohledné době plánovaly něco jako zakleknutí na správce a zpracovatele osobních údajů. Stejné výtky týkající se nedostatečných zdrojů a pravomocí pověřenců lze vysledovat i u samotných dozorových úřadů. Jelikož již probíhá jiná koordinovaná akce pro rok 2024 zaměřená na výkon práva na přístup k osobním údajům, závěry z loňského dozorového šetření zřejmě velkou revoluci nepřinesou.