Aktuálně k roli pověřenců

15.08.2024

Úřad pro ochranu osobních údajů (dále jen "Úřad") nepřimhouřil své bystré dozorové oko ani v letním dovolenkovém období. V aktuálním srpnovém doporučení Úřadu č. 2/2024 k postavení pověřenců pro ochranu osobních údajů ze dne 1. srpna 2024 je označen za alarmující trend omezování úvazků, případně dokonce rušení pozic pověřenců pro ochranu osobních údajů

v institucích státní správy a samosprávy, včetně škol, kulturních institucí a úřadů a jejich častému nahrazování externí službou. Tato služba přitom mnohdy nemůže ve veřejném sektoru kvalitativně zastoupit rušený úvazek, a to především z důvodu nedostatečné znalosti prostředí.

Problematikou pověřenců pro ochranu osobních údajů (dále jen "pověřenci") jsme se mimo jiné zabývali v diskuzích a reflexi na závěry červnového semináře v Poslanecké sněmovně Parlamentu ČR, který se konal pod záštitou poslance Roberta Králíčka.

Před šesti lety přineslo obecné nařízení o ochraně osobních údajů (dále jen "obecné nařízení") modernizovaný rámec pro dodržování souladu s předpisy týkajícími se ochrany údajů v Evropě, který je principiálně založený na zásadě odpovědnosti, zejména tedy odpovědnosti správců, to znamená organizací, institucí a orgánů veřejné moci.

Jádrem právního rámce jsou právě pověřenci, kteří usnadňují správcům
a zpracovatelům dodržování souladu s ustanoveními obecného nařízení a dalšími legislativními požadavky k ochraně osobních údajů.

Povinnost jmenovat pověřence je případ veškerých orgánů veřejné moci a veřejných subjektů (bez ohledu na to, jaké údaje zpracovávají) a dalších organizací, které – jako hlavní činnost – systematicky a ve velkém rozsahu monitorují fyzické osoby,
nebo které ve velkém rozsahu zpracovávají zvláštní kategorie osobních údajů. Pověřenci mají důležitou a nezastupitelnou roli při zajištění transparentnosti a ochrany osobních údajů ve všech aspektech činnosti organizací.

Ve výše uvedeném doporučení je mj. uvedeno následující: "Pověřenec je osoba a funkční role, která povinně nebo dobrovolně působí u správce a zpracovatele osobních údajů a plní obecným nařízením stanovené úkoly. Hraje tedy klíčovou roli při prosazování ochrany osobních údajů v rámci organizace a pomáhá při realizaci a dodržování zásad zpracování údajů, práv subjektů údajů, záměrné a standardní ochrany osobních údajů, vedení záznamů o činnostech zpracování, zabezpečení zpracování a ohlašování a oznamování případů porušení zabezpečení osobních údajů. Podílí se na vyřizování žádostí a stížností subjektů údajů, vypracování posouzení vlivu na ochranu osobních údajů, návrzích smluv a jejich vyjednávání, definování procesů ochrany osobních údajů i na rozhodování o zpracování a zajištění jeho zákonnosti. Pověřenec funguje rovněž jako kontaktní místo pro subjekty údajů, kontaktní místo pro komunikaci s Úřadem, poskytuje poradenství v záležitostech ochrany osobních údajů, školení zaměstnanců, případně plní další úkoly spojené s ochranou osobních údajů."

Roli pověřence vnímáme za základní kámen odpovědnosti správců pro dodržování souladu s Obecným nařízením a se souvisejícími předpisy ochrany osobních údajů.[1]

Asociace pověřenců ČR se tak chce i nadále věnovat této problematice, a to i v návaznosti na závěry souhrnné zprávy společné koordinované akce evropských dozorových úřadů CEF 2023 (Coordinate Enforcement Framework) provedené v roce 2023, ze které výše uvedené doporučení vychází. Zpráva mj. uvádí seznam překážek, kterým v současnosti pověřenci a soukromí. Mezi hlavní překážky řadí např. chybějící jmenování pověřence, a to i přesto, že je povinné. Dále to jsou nedostatečné zdroje potřebné pro výkon činnosti pověřence, a také to, že často nedisponují odpovídající mírou nezávislosti nebo informací, které by umožnily jejich významnější zapojení do rozhodovacích procesů.

Úřad oslovil všech 14 ministerstev formou dotazníku a na základě obdržených odpovědí konstatoval, že i v rámci takto homogenní skupiny správců osobních údajů lze pozorovat významné rozdíly. Odpovědi českých ministerstev indikovaly podezření na porušení zejména čl. 38 obecného nařízení. Podle Úřadu se jedná o to, že pověřenci nejsou náležitě a včas zapojováni do všech záležitostí, které souvisejí s ochranou osobních údajů, a dále, že pověřenci mnohdy nemají přístup k informacím souvisejícím se zpracováním osobních údajů. Z odpovědí také vyplynulo, že některá ministerstva dávají pověřencům pokyny, které se týkají výkonu jejich úkolů, a to obecné nařízení (GDPR) výslovně zapovídá.

Asociace pověřenců ČR má za to, že ne každá externí služba musí být nutně horším pověřencem, avšak úspora veřejných prostředků by neměla být jedinou motivací k pořízení takové služby, a to bez ohledu na její kvalitu.

Výzva

Pokud se chcete podělit se svými poznatky k vašim aktuálním zkušenostem, neváhejte a pište (v případě požadavku zabezpečíme anonymitu - bez uvedení instituce). Vaše poznatky využijeme při přípravě vzdělávacích akcí a jednání s Úřadem, případně se správci nebo zpracovateli osobních údajů. Zároveň připravujeme odbornou diskusi jak s pověřenci, tak se zástupci veřejné správy, samozřejmě v součinnosti s dalšími profesními spolky a s Úřadem.


[1] Podrobněji - zdroj: https://uoou.gov.cz/media/publikace/dokumnety/doporuceni-uoou-02-2024-z-1-8-2024.pdf.