V praxi se stále opakují stejné chyby při jmenování a úkolování pověřenců pro ochranu osobních údajů. Co musí vhodný kandidát na funkci DPO splňovat? A kdy se může pověřenec dostat do střetu zájmů? Pomoct vám můžou nová vodítka francouzského dozorového orgánu.
Novou kuchařku pro organizace a pověřence pro ochranu osobních údajů (DPO) sepsal francouzský úřad pro ochranu osobních údajů (Commission Nationale de l‘Informatique et des Libertés, dále CNIL). Ačkoliv český ÚOOÚ a francouzský CNIL jsou od sebe dosti vzdálené, naše právní řády v oblasti ochrany osobních údajů k sobě mají poměrně blízko. Ustanovení, která se týkají DPO, jsou totiž díky přímé aplikaci GDPR pro všechny společná (s drobnými odchylkami). Z tohoto důvodu může být tento praktický návod pro pověřence, který CNIL vydal 15. března nejen ve francouzském, ale i anglickém jazyce, užitečný i pro nás.
Regulace pověřenců
GDPR věnuje regulaci pověřenců samostatný oddíl, který se skládá celkem ze tří článků. Kromě toho byly ještě před účinností GDPR (konkrétně 13. 12. 2016) ze strany WP29 přijaty pokyny týkající se pověřenců pro ochranu osobních údajů, a to včetně otázek a odpovědí, které byly na začátku roku 2018 přeloženy do českého jazyka. Tyto dokumenty obsahují poměrně nosné informace, a to zejména v oblasti střetu zájmů a úkolů pověřenců. Velká část dokumentace je také věnována otázce profesních a jiných kvalit pověřenců, respektive požadavků na osobu pověřence. Je třeba dodat, že v průběhu let 2017–2018 vydalo několik českých ministerstev vlastní metodiky, v nichž na práci pověřenců navazují či upozorňují na další podrobnosti (více či méně úspěšně).
Přesto ÚOOÚ v závěrech ze svých kontrol opakovaně upozorňuje na stále přetrvávající nešvary v oblasti jmenování či úkolování pověřenců (viz přechozí díly Zpravodaje). Pojďme se tedy podívat, zda může být v tomto směru nápomocný nový návod CNIL.
Co v návodu najdete
Návod na 54 stranách předkládá návrhy postupů jak pro samotné pověřence, tak i pro správce či zpracovatele a radí, jak pro pověřence připravit co nejvhodnější prostředí. Dokument obsahuje obecné informace k roli a postavení DPO a dále pojednává o otázkách týkajících se obsazení této pozice včetně toho, kdy je nutné jmenovat pověřence a kdo by jím měl být. Dále CNIL předkládá návod pro DPO, jak plnit svoji funkci, a návod pro organizaci (správce nebo zpracovatele), jak mu má vytvořit vhodné podmínky. Kromě toho v dokumentu najdete část s častými otázkami a odpověďmi a taktéž praktické přílohy. Z nich stojí za zmínku příloha č. 1, která obsahuje checklist klíčových otázek při jmenování DPO, jež by měla organizace, která DPO jmenuje, projít a zkontrolovat. Jeho českou, upravenou verzi si můžete stáhnout jako praktický vzor zde.
Požadavky na DPO
Podívejme se nyní na to, jak se CNIL vypořádává s některými otázkami, které dělají v našich končinách stále problémy. Ve vztahu ke jmenování pověřence CNIL opakuje to, co je sepsáno v GDPR a zároveň i ve výše zmíněných vodítkách WP29, a sice že DPO by měl disponovat dostatečnou právní a technickou expertízou, rozumět fungování organizace (včetně porozumění výrobnímu procesu či technické stránce konkrétního podnikání), rozumět IT systémům a bezpečnosti a v případě DPO v rámci orgánů veřejné správy porozumět správním procesům.
Pověřenec by měl mít i dobré komunikační a přesvědčovací schopnosti
CNIL dále uvádí, že DPO by měl disponovat i některými měkkými dovednostmi („soft skills“) a vlastnostmi, které jsou pro jeho práci klíčové. Jmenovitě hovoří o integritě, vysoké úrovni profesní etiky, schopnosti komunikovat, popularizovat, ale také přesvědčovat. Úkoly DPO si totiž žádají nejen vzdělanost, ale i určitou míru působení na lidi, aby pověřenec (velmi zjednodušeně řečeno) mohl lobbovat za lepší přístup k ochraně osobních údajů v dané organizaci.
Střet zájmů DPO
Další téma, kterému se CNIL věnuje, je střet zájmů, s nímž se v ČR setkáváme častěji, než by bylo nezbytně nutné. Zjednodušeně řečeno platí zásada, že pověřenec nemůže kontrolovat sám sebe. V okamžiku, kdy má pověřenec přímý vliv na to, jak se osobní údaje budou zpracovávat (to znamená, že rozhoduje o účelu či technických prostředcích zpracování), nemůže účinně vykonávat kontrolu sám nad sebou.
DPO nesmí přímo ovlivňovat způsob a účel zpracování, jinak vzniká střet zájmů
Sám CNIL opakuje, že v okamžiku, kdy je pověřenec manažerem (ať už výkonným, marketingovým, technickým či manažerem v oblasti HR, IT a podobně), je s nejvyšší pravděpodobností ve střetu zájmů. Kromě toho však CNIL uvádí, že i pověřenci s nižšími pozicemi v organizační struktuře jsou často ve střetu zájmů. Důvodem je, že tyto osoby často v rámci vlastní agendy ovlivňují způsob a účel zpracování a v takovém případě následně sami sebe monitorují a kontrolují, a vzniká tak nepopiratelný střet zájmu. Tento fakt bohužel v českém prostředí příliš často nezaznívá.
Základem je dokumentace
CNIL ve všech částech návodu zdůrazňuje nezbytnost dokumentace každého rozhodnutí organizace, které se týká pověřence pro ochranu osobních údajů. Pokud organizace jmenuje pověřence, měla by pečlivě zdokumentovat zejména to, že daná osoba splňuje kvalifikační předpoklady k tomu, aby mohla zastávat tuto těžkou a důležitou pozici, a zároveň posoudit, zda tato osoba (s ohledem na organizační zařazení) není ve střetu zájmu.
Pověřenec musí mít z povahy věci přístup k IT systémům organizace, smluvní dokumentaci a dalším informacím, které jsou pro jeho úkoly nezbytné. CNIL navrhuje, aby byl způsob fungování vztahů mezi organizací a DPO částečně formalizován a obsahoval postupy pro provádění komplexních auditů či namátkových kontrol, včetně kontroly porušení zabezpečení. Výše uvedené má však i druhou stánku mince – DPO je zaměstnanec jako každý jiný (popřípadě je v obdobném postavení). Z toho důvodu by měl být i přístup DPO k interním systémům a osobním údajům přiměřený, odůvodněný a kontrolovatelný. Nelze tedy jen dát pověřencovi klíč od pomyslného trezoru a nechat jej dělat svou práci.
Pokuta za špatný postup při jmenování DPO
Předmětný návod je velmi čtivý a přínosný, ačkoliv je dostupný pouze v angličtině. Nicméně vzhledem k požadavku na pověřence, aby měli znalosti zpracování osobních údajů v evropském kontextu, se bez znalosti angličtiny ve své práci spíše neobejdou. CNIL příhodně na několika místech upozorňuje, že i nevhodným postupem při jmenování DPO může být porušeno GDPR a hrozí za to ze strany dozorových orgánů pokuty. Doporučujeme tedy věnovat zmíněnému návodu pozornost. Celý návod v anglickém jazyce si můžete stáhnout zde.
Článek byl publikován v Elektronickém zpravodaji pro pověřence