Nedostatek pověřenců podle GDPR? Řešení existuje
03. 04. 2017| Mgr. Michal Nulíček, LL.M.
03. 04. 2017| Mgr. Michal Nulíček, LL.M.
Až několik tisíc pracovníků se od 25. 5. 2018 bude muset v České republice nově věnovat ochraně osobních údajů. Nové evropské obecné nařízení o ochraně osobních údajů (GDPR) totiž zakotvuje speciální funkci pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). Ten bude garantovat, že společnost nakládá s osobními údaji svých zaměstnanců a zákazníků v souladu s nařízením, kromě toho bude kontaktní osobou pro Úřad pro ochranu osobních údajů. Takový pověřenec musí splňovat přísné požadavky na něj kladené GDPR, přičemž jejich splnění lze prokázat zejména příslušnou certifikací. Jako první v České republice takovou certifikaci získali hned 4 právníci advokátní kanceláře ROWAN LEGAL, kteří úspěšně složili zkoušku certifikovaného profesionála v ochraně soukromí, organizovanou prestižní asociací IAPP (International Association of Privacy Professionals) sdružující odborníky na oblast ochrany soukromí a osobních údajů. Tento tým právníků ROWAN LEGAL, ve spojení s dalšími profesionály v oboru, budou vykonávat funkci tzv. externích pověřenců (DPOs), ale budou i další pověřence školit (jak GDPR vyžaduje) a certifikovat.
„Funkci pověřence pro ochranu osobních údajů musí zřídit každá společnost, která jako jednu ze svých hlavních činností provádí monitorování osob nebo která zpracovává citlivé osobní údaje ve větším rozsahu. Tato povinnost se nevyhne ani orgánům veřejné správy,“ vysvětluje Michal Nulíček, partner advokátní kanceláře ROWAN LEGAL, který je jedním z prvních certifikovaných specialistů. Pověřence lze však jmenovat i dobrovolně a demonstrovat tak svůj soulad s GDPR. Hlavním úkolem pověřence je poskytování poradenství o povinnostech dle GDPR a kontrola zpracování osobních údajů v rámci organizace, a to jak údajů zákazníků, tak zaměstnanců.
Není však možné zaměňovat pověřence s pracovníky zabývajícími se compliance či návrhem IT procesů, v takovém případě by totiž došlo ke střetu zájmů. „Osoba pověřence musí být absolutně nezávislá uvnitř organizace, proto může být pro firmy velmi obtížné takové místo obsadit. Sama Evropská komise si toho je vědoma, proto ve svém nařízení umožňuje tuto funkci zajistit externě. Podmiňuje to ovšem vysokou odborností a znalostí práva ochrany osobních údajů, což by samozřejmě měl být správce schopen prokázat,“ vysvětluje Nulíček.
Společností, které budou pověřence povinny jmenovat, je velké množství, reálně tak hrozí, že neseženou dostatečně kvalifikované kandidáty. „Podle prvních odhadů bude nutné vytvořit po celém světě na 75 000 pracovních pozic pro pověřence. V České republice by se touto agendou mělo zabývat až několik tisíc lidí. Je na společnostech, zda vytvoří novou pozici v rámci svých struktur nebo využijí externích zdrojů. Už teď je ale jasné, že skutečně kvalifikovaných kandidátů na tuto pozici bude zoufalý nedostatek,“ uzavírá Nulíček.
GDPR naštěstí umožňuje zajistit výkon funkce pověřence nejen interně vlastními zaměstnanci, ale také externě jako službu. ROWAN LEGAL, ve spolupráci s externími partnery, přichází s řešením pro obě varianty, které pomůže společnostem se zajištěním výkonu činnosti pověřence na míru jejím potřebám.
DPO jako služba
Poskytování služeb externího pověřence je, jak název napovídá, určeno společnostem, které se rozhodnou funkci pověřence zajistit plně nebo částečně externě. Spočívá tedy buď v kompletním zajištění výkonu funkce pověřence, případně v zajištění externí podpory internímu pověřenci (princip co-sourcingu). Obě tyto služby bude zajišťovat tým specialistů zahrnující mimo jiné i 4 právníky, kteří jsou absolventy mezinárodně akreditovaných certifikací pro pověřence osobních údajů. Součástí týmu jsou i poradci pro otázky zabezpečení osobních údajů, jakož i interních procesů.
Hlavní výhoda této varianty spočívá v možnosti prakticky ze dne na den splnit požadavky GDPR na výkon funkce DPO (odpadá složité hledání vhodných uchazečů na trhu práce a jejich školení), získat špičkové know-how a možnost škálovat kapacity. Výhodou této varianty je též finanční úspora v porovnání s nutností zaměstnání pověřence na plný úvazek, a to zejména pro menší a střední společnosti. Nelze opominout i možnost smluvní úpravy odpovědnosti za škodu, která je u interního pověřence (zaměstnance) výrazně omezena zákonem.
Pověřenec na plný úvazek
Společnosti, které se rozhodnou funkci pověřence řešit interně, musí zajistit jejich dostatečnou kvalifikaci. Těmto společnostem advokátní kancelář ROWAN LEGAL nabízí, ve spolupráci s TAYLLORCOX, komplexní (právní a technické) školení pověřenců a dalších osob, které budou mít otázky ochrany osobních údajů na starost. Toto školení je v základu prováděno prostřednictvím dvoudenního intenzivního kurzu a certifikačního testu, dle e-CF (European Competence Framework), který je Evropským standardem mimo jiné pro definici role DPO (Data Protection Officer).
Na toto základní školení budou navazovat další průběžné kurzy zaměřené na vybrané oblasti výkonu funkce pověřence – marketing, zaměstnanecké vztahy, outsourcing apod. Certifikát, ve spojení s potvrzením o dalších školeních, výrazně usnadní správcům a zpracovatelům pozici při prokazování, že svým pověřencům zajistili náležité školení a že jejich pověřenci mají náležité znalosti ochrany osobních údajů, jak GDPR vyžaduje. Určení zaměstnance jako pověřence pouze „pro forma“ by se společnostem nemuselo vyplatit, za porušení této povinnosti lze uložit dle GDPR pokutu až do výše 10 mil. EUR.
http://www.tcox.cz/gdpr/kurz/poverenec-pro-ochranu-osobnich-udaju