DPO (Data Protection Officer), nebo také pověřenec pro ochranu osobních údajů, je podle GDPR člověk, který má roli nebo pozici koordinátora ochrany osobních údajů u správce nebo zpracovatele a je kontaktní osobou pro komunikaci s dozorovými úřady.
Jaké jsou povinnosti a kompetence DPO?
Jeho povinnosti a úkoly jsou specifikované v nařízení. Jeho úkolem je především sledovat, monitorovat, analyzovat a kontrolovat soulad praxe s nařízením a následně poskytovat rady a doporučení správci nebo zpracovateli. Má poradní funkci při provádění posouzení vlivu na ochranu osobních údajů. Pověřenec také spolupracuje s dozorovým úřadem.
- dohled nad zpracováním osobních údajů správce nebo zpracovatele
- poradenství v otázce vlivu nových zpracování na ochranu osobních údajů
- monitoring souladu probíhajících zpracování osobních údajů s nařízením GDPR
- spolupráce s dozorovými úřady
Jaký je vztah správce a DPO?
Pověřenec může být jak externě najatý (kontraktor), tak zaměstnanec správce (nebo zpracovatele). Jeden DPO může vykonávat funkci pověřence pro více organizací. Povinnost jmenovat pověřence mají organizace v těchto případech:
- když zpracování osobních údajů představuje hlavní činnost správce nebo zpracovatele
- když zpracování provádí orgán veřejné moci či veřejný subjekt
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech a trestných činů
DPO je ve své funkci nezávislý. Správce (nebo zpracovatel) mu musí poskytnout veškerou součinnost, nemůže mu udělovat žádné pokyny týkající se výkonu jeho povinností a úkolů a nemůže jej ani propustit ani jinak sankcionovat za výkon jeho činnosti.
Jaká má být kvalifikace pověřence?
Nařízení definuje kvalifikaci DPO jen velmi široce, přímo nepožaduje právnické ani jiné vzdělání, měl by se nicméně orientovat v podmínkách zpracování osobních údajů, informační bezpečnosti, práva i informačních technologií. Musí mít hlubokou znalost celého nařízení.
“Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.”
Jaké má pověřenec odpovědnosti?
Z pohledu osobní odpovědnosti nenese pověřenec odpovědnost za nedodržování nařízení GDPR v organizaci, kde funkci vykonává. Odpovědným je zde výhradně správce nebo zpracovatel.
Komentáře
Do diskuze nelze přispívat, protože je uzamčená