GDPR Seriál – Kdy musíte jmenovat DPO neboli Pověřence pro ochranu osobních údajů?

S přicházejícím GDPR je spojená celá řada kroků, které musí být dodrženy. Jedním z nich je také jmenování tzv. Pověřence pro ochranu osobních údajů neboli také DPO (Data Protection Officer). Ale kdy je tento krok nezbytný? Je třeba takovou osobu jmenovat vždy?

 

Povinnost jmenování je nezbytná, pokud:

  1. Provádí zpracování dat orgán veřejné moci nebo veřejný subjekt (s výjimkou soudů).
  2. Hlavní činnosti správce nebo zpracovatele dat spočívají v rozsáhlém, pravidelném a systematickém monitorování občanů (více viz příklady níže).
  3. Správce nebo zpracovatel dat zpracovává zvláštní kategorii údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

V těchto případech musí být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů. Pověřenec je vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států. Pověřencem může být jak externí spolupracovník, tak zaměstnance správce dat.

 

Příklady rozsáhlého pravidelného zpracování dat:

  • údaje o pacientech v rámci běžné činnosti nemocnice
  • zpracování cestovních dat jednotlivců používajících MHD
  • údaje o aktuální zeměpisné poloze zákazníků
  • zákaznická data při obchodní činnosti pojišťovny nebo banky
  • zpracování osobních údajů vyhledávačem pro potřeby reklamy a marketingu
  • obsahová, provozní nebo lokalizační data telefonních a internetových služeb

Příklady pravidelného a systematického monitorování (jinými slovy všechny formy sledování a profilování na internetu):

  • cílení reklamu pomocí e-mailu
  • profilování a bodování pro účely posouzení rizik (např. stanovení výše pojistného, předcházení podvodům)
  • provoz telekomunikační sítě
  • sledování polohy např. u mobilních aplikací
  • kamerové systémy
  • věrnostní programy
  • behaviorální reklama

 

Příklady zpracování, která nejsou rozsáhlá:

  • údaje o pacientech jednotlivého lékaře

 

 

Všeobecně o DPO

Pověřenec by měl mít znalosti národní a evropské legislativy, dále pak praxi v oboru ochrany osobních údajů a především detailní znalost GDPR. Ideálně by pověřenec také měl mít povědomí o oboru podnikání a chodu organizace správce/zpracovatele dat. Důležité je také vědět, že pověřenci nenesou osobní odpovědnost za nedodržování GDPR. To vždy padá na hlavu správce/zpracovatele dat.