Úřady začnou kontrolovat GDPR Pověřence

GDPR přineslo řadu novinek. Jednou z nich je povinnost mnoha správců a zpracovatelů jmenovat pověřence pro ochranu osobních údajů. Pověřenci uvnitř organizace monitorují dodržování GDPR a radí jednotlivým obchodním útvarům i dotčeným osobám, jejichž údaje jsou zpracovávány.

Druhou novinkou je spolupráce úřadů pro ochranu osobních údajů z různých členských států Evropské unie. Cílem je, aby práva a povinnosti podle GDPR byla aplikována a vymáhána jednotně.

Jinak řečeno, aby se GDPR vykládalo stejně v České republice, v Itálii, v Německu i v Irsku. Nad tím vším bude dohlížet Evropský sbor pro ochranu osobních údajů se sídlem v Bruselu.

Kontroly po celé EU budou řešit pověřence!

Jak souvisí postavení pověřence pro ochranu osobních údajů a spolupráce dozorových úřadů? 

V roce 2023 velmi úzce! Evropský sbor totiž pro rok 2023 určil postavení, kompetence a kvalifikaci pověřence pro ochranu osobních údajů jako hlavní téma kontroly úřadů ve všech členských státech Evropské unie.

Dozorové úřady z celé Unie, včetně toho českého, se zaměří právě na to, jestli správci a zpracovatelé jmenovali pověřence.

A pokud ano, jestli vybrali toho správného, zajistili mu dostatečnou kvalifikaci, zdroje, možnosti a kompetence na to, aby svoji roli a úkoly mohl vykonávat v souladu s GDPR. 

Kdo musí jmenovat pověřence?

Jen pro jistotu si zopakujme, kdo musí jmenovat pověřence pro ochranu osobních údajů. Jedná se o tři kategorie subjektů:

1) Organizace, která provádějí rozsáhlé, systematické zpracování osobních údajů. Banky, pojišťovny, velké e-shopy, provozovatelé kamerových systémů, větší zaměstnavatelé monitorující zaměstnance, provozovatelé cloudových služeb, poskytovatelé finančních produktů, provozovatelé nástrojů a procesů pro analýzu a zpracování dat atd.

2) Organizace, které ve větším rozsahu zpracovávají citlivé osobní údaje, např. o zdravotním stavu, biometrická data, informace o národnostním původu, genetické údaje, informace o sexuálním životě dotčených osob atd. 

3) Každý veřejný subjekt, tedy ministerstvo, kraj, obec i zřizovaná organizace. 

Co se bude v roce 2023 a dále kontrolovat?

Úkolem pověřence pro ochranu osobních údajů je monitorovat soulad organizace s požadavky GDPR. Pověřenec není tím, kdo je za dodržení regulace odpovědný. Jeho postavení a organizační zařazení by mělo směřovat k tomu, aby obchodním či dalším útvarům radil, identifikoval rizika, hodnotil navržená opatření a prováděl kontroly. A pokud pověřenec zjistí nesoulad, informuje odpovědné manažery, aby sjednali nápravu.

K tomu, aby pověřenec mohl plnit svoji roli, je nezbytné zajistit několik hlavních bodů:

• Odbornost a znalost tématu
• Správné zařazení v organizaci 
• Nezávislost a vyhnutí se střetu zájmů
• Nastavení kompetencí a zajištění zdrojů

Povinnost jmenovat pověřence pro ochranu osobních údajů je na správci či zpracovateli. Pokud jej nejmenují, i když by měli, pokud mu nedají dostatečné a správné role a kompetence, případně když pověřenec kvůli výkonu ještě jiné agendy nemá na plnění svých úkolů kapacitu, jedná se o porušení GDPR. 

Totéž platí i pro případ, kdy správce nebo zpracovatel roli pověřence sloučí s rolí jinou, která je však z podstaty věci ve střetu zájmů, například šéf IT nebo útvaru lidských zdrojů. 

A když to některý správce nebo zpracovatel udělá špatně? Pověřence nejmenuje, nebo formálně jmenuje, ale nezajistí mu možnost profesního vzdělávání, přístup k informacím o činnosti správce, dostatečnou kapacitu?

Pak se vystavuje hrozbě pokuty, v krajních případech až do výše 10 milionů euro nebo 2 % z celosvětového obratu skupinu podniků, do které daný hříšník patří.

Za špatné fungování pověřenců už padají pokuty

Dozorové úřady pro ochranu osobních údajů se v roce 2023 zaměří na postavení a roli pověřenců po celé Evropské unii. To ale neznamená, že by se tímto tématem dosud nezabývaly. Naopak, i nyní je pověřenec častým předmětem kontrol. A řízení o uložení pokuty. 

Pár příkladů za všechny:

Berlínský úřad pro ochranu dat uložil v září tohoto roku pokutu ve výši 525.000 euro (cca 13 milionů korun) za střet zájmů pověřence pro ochranu osobních údajů v e-commerce skupině. Ta si totiž pro některé činnosti zřídila servisní organizace, jejichž ředitelem jmenovala právě skupinového pověřence pro ochranu osobních údajů. Pověřenec tak měl kontrolovat soulad s GDPR i ve společnosti, kterou sám řídil. Střet zájmů jako z učebnice. 

Zmíněná skupina e-shopů se alespoň snažila a pověřence jmenovala, i když špatně. Italský úřad pro ochranu dat ale na letos na jaře řešil případ, kdy společnost zpracovávající komunální odpad, která zároveň provozovala rozsáhlý kamerový systém, pověřence nejmenovala vůbec. Z úřadu odešla s pokutou ve výši 200.000 euro (zhruba 5 milionů korun).

A třetí příklad: Nizozemský úřad pro ochranu osobních údajů v dubnu tohoto roku uložil místní finanční a celní správě pokutu ve výši 3.700.000 euro (v přepočtu více než 90 milionů korun) za řadu porušení GDPR. Mezi nimi bylo i nedostatečné organizační i faktické zapojení pověřence do činnosti organizace. Pověřenec nebyl včas přizván a požádán o vyjádření při provádění posouzení vlivu na ochranu osobních údajů (data protection impact assessment, DPIA). Možná že kdyby se tohoto procesu řádně účastnil, nizozemská finanční a celní správa by neporušila i dalších pět ustanovení GDPR a pokuta by nebyla tak vysoká…

A co Úřad pro ochranu osobních údajů?

Postavením pověřenců se zabývá i český Úřad pro ochranu osobních údajů (ÚOOÚ). Ve výroční zprávě za rok 2021 popisuje kontrolu zaměřenou na zpracování osobních údajů zaměstnanců pomocí ICT nástrojů. 

Při kontrole ÚOOÚ mj. zjistil, že zaměstnavatel sice pověřence jmenoval, ale nezajistil jeho zapojení do nastavování organizačních a technických opatření k ochraně osobních údajů, ani do procesu vyřizování podnětů subjektů údajů (právo na přístup k osobním údajům, právo na námitku, na výmaz atd.).

ÚOOÚ k tomuto kontrolnímu zjištění formuloval obecný závěr, který stojí za ocitování celý: „Aby však pověřenec mohl svěřené úkoly plnit, je nezbytné, aby správce osobních údajů zajistil náležité a včasné zapojení pověřence do veškerých záležitostí souvisejících s ochranou osobních údajů a aby mu poskytl zdroje, které pověřenec potřebuje k plnění stanovených úkolů a taktéž k udržování odborných znalostí.“

Máte pověřence? A mohla bych ho vidět?

Úřady pro ochranu osobních údajů v celé Evropské unii, i v České republice, se již jmenováním, postavením a činností pověřenců zabývají. A v roce 2023 se na pověřence chtějí ještě více zaměřit a své kontroly koordinovat.

Chcete být na kontrolu připraveni? Tak zkuste zodpovědět tyto otázky:

• Jste povinnosti jmenovat pověřence pro ochranu osobních údajů? Pokud ano, udělali jste to?
• Vykonává i jinou agendu, nerozhoduje v jiné roli o zpracování osobních údajů či jeho prostředcích?
• Zajišťujete pověřenci dostatečné možnosti pro prohlubování a rozšiřování kvalifikace? Má váš pověřenec dostatek kapacit?
• Je váš pověřenec zapojený do interních procesů, má přístup k vedení, vyjadřuje se k novým produktům? Není pověřenec ve střetu zájmů? 

Tak co? Obstojíte při kontrole? Zkuste si ji nanečisto: Simulovaný audit ÚOOÚ nebo GDPR Implementace

František Nonnemann