ÚOOÚ varuje před současným trendem omezování úvazků a sdílení pověřenců pro ochranu osobních údajů nejen ve veřejné správě. Pozor, správci tím obrovsky riskují porušení svých GDPR povinností! Jak se bránit rušení pracovních míst pro pověřence?
Alarmující. Toto slovo použil ÚOOÚ v rámci svého nově vydaného dokumentu, který je nazvaný jako Doporučení ÚOOÚ č. 02/2024 k postavení pověřenců pro ochranu osobních údajů ze dne 1. 8. 2024. Za alarmující ÚOOÚ označil současný trend některých správců ve vztahu k plnění povinností prostřednictvím svého pověřence pro ochranu osobních údajů.
Současný stav
Co trápí ÚOOÚ ve vztahu k pověřencům, je celkem nasnadě. Pro některé správce je to totiž institut, kterým se nehodlají moc zabývat. Důvod? Nehrozí jim za to žádná pokuta. Řeč je samozřejmě o orgánech veřejné moci, dle slov ÚOOÚ jmenovitě o institucích samosprávy a státní správy, včetně škol, muzeí, kulturních institucí a úřadů, jež jsou často nahrazovány právě externí službou.
Problém je totiž v tom, že DPO je poměrně důležitá funkce, zejména v rámci orgánu veřejné moci, kde velmi často dochází ke zpracování údajů jež si subjekt údajů dvakrát nevybírá. Pokud hovoříme o školách a nemocnicích, dostáváme se do oblasti, kde velmi často dochází ke zpracování osobních údajů zranitelných osob (tedy zejména osob důchodového věku nebo naopak dětí). Pokud taková organizace přistupuje k plnění svěřených povinností a vůbec k úloze DPO liknavě, přichází fakticky GDPR o klíčový nástroj pro samoregulaci uvnitř společností.
Pokud tuto situaci řešíte i ve vaší organizaci, předložte vedení např. tento článek či dokument ÚOOÚ
DPO totiž hraje klíčovou roli v rámci prosazování ochrany osobních údajů uvnitř organizace, kde dohlíží nejen na dodržování povinností v oblasti ochrany osobních údajů, ale také pomáhá správci při regulačním procesu a v každodenních činnostech – jako je například i výkon práv subjektů údajů.
Co ÚOOÚ vadí?
Pokud si vzpomínáte na koordinovanou dozorovou akci CEF 23, možná si vybavíte i závěry z této akce, jíž se účastnil i ÚOOÚ. Jejím smyslem mělo být zmapovat plnění povinností, jež se týkají DPO. Zde si však ÚOOÚ zaslouží drobnější výtku. Zatímco dozorové úřady v jiných členských státech oslovily desítky až vyšší stovky subjektů, náš Úřad se omezil na kontaktování pouze 14 subjektů – konkrétně ministerstev. V zásadě nás tak ÚOOÚ ochudil o hodnotnější statistické údaje, jak se k plnění povinností staví zpravidla méně financované orgány veřejné moci, včetně cca šesti tisíc obcí, jimi provozovaných škol či nemocnic.
ÚOOÚ tedy hodnotí výsledek zjištění jako nepříznivý a snižování úvazků pověřenců vidí jako trend, který je vlastní všem členským státům Evropské unie, ať už v menší, či větší míře.
Zde si ÚOOÚ vypomáhá právě závěry Evropského sboru z předmětné akce, v nichž se upozorňuje na to, že omezování zdrojů není jen otázkou časové dotace DPO, kterou může na plnění svých úkolů alokovat. Omezování zdrojů se totiž týká i dalších nedostatků, včetně financování, které pak mají za následek nedostatečnou kvalifikaci DPO, jejich nedostatečnou znalost prostředí a procesů organizace, nedostatečné zapojení do takových procesů či ukládání úkolů, jež fakticky působí střet zájmů pověřence.
Co doporučuje ÚOOÚ?
Pokud byste v dvoustránkovém dokumentu nazvaném „doporučení“ čekali faktické doporučení ÚOOÚ k této věci, možná byste mohli být po jeho přečtení trochu zklamaní. Fakticky se totiž slovo „doporučení“ v dokumentu objevuje pouze jednou – v názvu. ÚOOÚ tak závěr dokumentu věnuje jednak vyjádření znepokojení a jednak apelu. Dle svých slov ÚOOÚ sdílí obavy Evropského sboru ze závěrů jeho zprávy, kde kritizuje jak omezování úvazků, tak i opačný trend, a sice sdílení pověřenců. Obojí považuje za rizikové faktory, které mohou ohrozit řádný výkon funkce DPO, a tím pádem vést k nesprávné aplikaci zásad GDPR.
Závěrečný apel směřuje všem správcům a zpracovatelům bez ohledu na jejich působení v soukromém či veřejném sektoru, kteří mají povinnost jmenovat pověřence, aby „při analýze fondu pracovní doby a nákladů spojených s pracovním nasazením pověřenců ve vlastním zájmu pečlivě vážili a nepodceňovali náročnost úkolů kladených na pověřence ve vztahu k požadované komplexní znalosti konkrétních okolností spojených se zpracováním osobních údajů i s vlastním provozem jejich organizace. Je třeba mít na paměti, že pokud správce dostatečným způsobem nezajistí roli pověřence v rámci organizace, může dojít i k porušení obecného nařízení, konkrétně čl. 37, 38, 39“.
Nedostatečné plnění povinnosti jmenovat DPO = porušení GDPR
Jak postupovat správně
Poslední slova dokumentu ÚOOÚ můžeme do jisté míry chápat jako jeho doporučení, faktem nicméně je, že předmětný dokument nepřináší žádné nové rady či výkladová stanoviska, která by tam možná čtenář mohl hledat.
Smysl celého doporučení ÚOOÚ se tak fakticky smršťuje na konstatování, že správci neplní svoje povinnosti ve vztahu ke jmenování DPO dostatečně, že se na tomto závěru shoduje s Evropským sborem pro ochranu osobních údajů a že ÚOOÚ apeluje na to, aby správci své povinnosti plnit začali. Jak mají správci tyto povinnosti plnit, to už najdeme v jiných dokumentech. Odkázat lze na závěrečnou zprávu EDPB (dostupná zde), pokyny WP29 k pověřencům (dostupné zde), jakož i na četná doporučení, jež najdete v tomto Zpravodaji.
תגובות