GDPR a DPO

Co je GDPR?

GDPR, ve svém plném názvu Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, bude od 25. 5. 2018 přímo použitelným právním předpisem, který nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění. GDPR je tedy novou legislativou EU, jejímž cílem je zvýšit ochranu osobních údajů občanů v celé EU.

GDPR se vztahuje na všechny subjekty, které pracují a provádějí další operace s osobními údaji. Z hlediska stanovených povinností se tyto subjekty dělí na správce a zpracovatele. Zpracovatelem osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který jménem správce zpracovává osobní údaje. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

V rámci přípravy na GDPR musí organizace zpracovávající osobní údaje provést řadu změn ve způsobu, jakým tyto údaje zpracovávají. Veškeré vnitřní procesy zpracování osobních údajů je třeba nejprve identifikovat a poté nastavit tak, aby odpovídaly požadavkům GDPR. S novými pravidly GDPR se tak mimo jiné budou muset vypořádat i města, obce, jimi zřízené instituce - tj. školy, domovy pro seniory, pečovatelské domy a další instituce, ve kterých se pracuje s osobními údaji. 

Kdo je DPO?

Orgány veřejné moci či veřejné subjekty, kromě soudů jednajících v rámci své pravomoci, musí zřídit funkci pověřence pro ochranu osobních údajů (zkráceně DPO - Data Protection Officer) povinně bez ohledu jimi prováděné činnosti. U jiných subjektů se nutnost ustanovit správce odvíjí od charakteru zpracování osobních údajů. Posuzuje se přitom rozsáhlost, pravidelnost, systematičnost zpracování, a dále citlivost zpracovávaných údajů. Funkci DPO lze zvolit i dobrovolně. Pověřencem by měla být osoba znalá práva (zejména pro případ zásahů do smluv a právních jednání), IT systémů a fungování konkrétních typů subjektů. Pověřenec by tak měl být jmenován na základě svých profesních kvalit, zejména na základě jeho odborných znalostí práva, praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly pověřenci uložené samotným nařízením. 

DPO je tedy trvalá služba poskytovaná jednotlivým subjektům v rámci GDPR a správci a zpracovatelé jsou povinni zajistit, aby byl DPO náležitě a včas zapojen do záležitostí souvisejících s ochranou osobních údajů.