Do I need to appoint to DPO?

Answer the questions through our interactive flowchart to find out!

*Courts acting in their judicial capacity are an exception!

I process sensitive data or data relating to criminal convictions and offences

I do this on a large scale

I carry out regular and systematic monitoring of individuals

My core activities require the processing of sensitive data
or data relating to criminal convictions and offences

I do this on a large scale

My core activities require regular and systematic monitoring

Do I need to appoint a DPO?

Yes, the appointment of a DPO is mandatory

Do I need to appoint a DPO?

No, the appointment of a DPO is voluntary.
However it is encouraged.

Kdo je pověřenec pro ochranu osobních údajů a potřebuje ho vaše organizace?

Co je to DPO a co dělá?

Pověřenec pro ochranu osobních údajů (označovaný také jako „DPO“) je odborník na ochranu osobních údajů, který poskytuje v rámci organizace poradenství v oblasti dodržování ochrany údajů.

Pověřenec pro ochranu osobních údajů musí být řádně a včas zapojen do všech záležitostí týkajících se ochrany osobních údajů.

Podle obecného nařízení o ochraně osobních údajů jsou úkoly pověřence zejména tyto:
 

  • informovat organizaci a její zaměstnance o dodržování ochrany osobních údajů a poskytovat jim poradenství;
  • sledovat dodržování ochrany osobních údajů;
  • poskytovat poradenství ohledně žádostí týkajících se posouzení vlivu na ochranu osobních údajů (DPIA);
  • působit jako kontaktní místo pro orgán pro ochranu údajů a spolupracovat s tímto orgánem;
  • působit jako kontaktní místo pro jednotlivce.

Přítomnost pověřence pro ochranu osobních údajů se obecně doporučuje v případech, kdy jsou přijímána rozhodnutí s důsledky pro ochranu osobních údajů. Pověřenec pro ochranu osobních údajů musí být rovněž neprodleně konzultován, jakmile dojde k porušení ochrany údajů nebo jinému incidentu.
V praxi je pověřenec pro ochranu osobních údajů také často pověřen správcem nebo zpracovatelem osobních údajů, aby vedl záznamy o operacích zpracování.

Potřebuje moje organizace pověřence pro ochranu osobních údajů?

Jmenování pověřence pro ochranu osobních údajů je povinné v těchto třech případech:

  • organizace je orgánem veřejné moci, který provádí zpracování osobních údajů;
  • hlavní činnosti organizace spočívají v pravidelném a systematickém sledování jednotlivců ve velkém měřítku, například geolokace prostřednictvím mobilní aplikace nebo sledování nákupních center a veřejných prostor prostřednictvím kamerového systému;
  • hlavní činnosti organizace spočívají ve zpracování citlivých údajů ve velkém měřítku.

Pojmy „hlavní činnosti“, „pravidelné a systematické monitorování“ a „rozsáhlé“ mají zásadní význam pro určení, zda by organizace měla jmenovat pověřence pro ochranu osobních údajů.

„Základními činnostmi“ se rozumí, že operace zpracování jsou klíčové pro dosažení cílů správce nebo zpracovatele údajů. Patří sem rovněž všechny činnosti, při nichž zpracování údajů tvoří neoddělitelnou součást činnosti správce nebo zpracovatele údajů.

„Velký rozsah“ závisí na různých faktorech, jako je objem zpracovávaných údajů, počet dotčených jednotlivců – buď jako konkrétní počet, nebo jako podíl příslušné populace, doba trvání a zeměpisný rozsah zpracování.

„Pravidelné a systematické sledování“ zahrnuje všechny formy sledování a profilování na internetu, a to i pro účely behaviorální reklamy. Pojem monitorování se však neomezuje pouze na on-line prostředí.

„Velký rozsah“ závisí na různých faktorech, jako je objem zpracovávaných údajů, počet dotčených jednotlivců – buď jako konkrétní počet, nebo jako podíl příslušné populace, doba trvání a zeměpisný rozsah zpracování.

„Pravidelné a systematické sledování“ zahrnuje všechny formy sledování a profilování na internetu, a to i pro účely behaviorální reklamy. Pojem monitorování se však neomezuje pouze na on-line prostředí.

V praxi

  • Hlavní činnosti

Například hlavním účelem kliniky je poskytovat zdravotní služby jednotlivcům. V tomto případě by zpracování zdravotních údajů, jako jsou zdravotní záznamy pacientů, mělo být považováno za jednu z hlavních činností organizace.

Všechny organizace však vykonávají určité podpůrné činnosti, například platí své zaměstnance nebo provádějí standardní podpůrné činnosti v oblasti IT. 

Jedná se o příklady nezbytných podpůrných funkcí pro hlavní činnost nebo hlavní podnikatelskou činnost organizace. I když jsou tyto činnosti potřebné nebo nezbytné, obvykle se považují více za pomocné funkce než za hlavní činnost.

 

  • Ve velkém měřítku

Příklady rozsáhlého zpracování zahrnují například:

  1. zpracování údajů o pacientech v rámci každodenních činností nemocnice;
  2. zpracování údajů o zákaznících v rámci každodenní činnosti pojišťovny nebo banky;
  3. zpracování aktuálních lokalizačních údajů zákazníků mezinárodního řetězce rychlého občerstvení subdodavatelem specializovaným na tyto služby pro statistické účely;
  4. zpracování osobních údajů pro behaviorální reklamu vyhledávačem;
  5. zpracování údajů (obsah, tok, umístění) poskytovateli telefonních a internetových služeb.

Příklady zpracování, které by se nepovažovalo za zpracování ve velkém měřítku:

  1. zpracování údajů o pacientech jediným praktickým lékařem;
  2. zpracování osobních údajů týkajících se odsouzení a trestných činů jednotlivým advokátem.

 

  • Pravidelné a systematické monitorování

Například pravidelné a systémové monitorování zahrnuje přesměrování e-mailů; marketingové činnosti založené na datech; profilování a bodování pro účely posouzení rizik (např. pro účely úvěrového hodnocení, stanovení pojistného, předcházení podvodům, odhalování praní peněz); sledování polohy (například prostřednictvím mobilních aplikací); věrnostní programy; behaviorální reklamu; sledování údajů o wellness, kondici a zdravotním stavu prostřednictvím nositelných zařízení; centrální kamerový systém (CCTV); připojená zařízení (např. inteligentní měřiče), inteligentní automobily, domácí automatizace atd.

Zpracovatel, jehož hlavní činností je poskytování služeb analýzy webových stránek a pomoc s cílenou reklamou a marketingem, bude muset jmenovat pověřence pro ochranu osobních údajů.
 

Pověřenec pro ochranu osobních údajů může být  jmenován na základě dobrovolnosti, i když to není vyžadováno zákonem. Vezměte prosím na vědomí, že v takovém případě musíte dodržovat všechna ustanovení GDPR týkající se úkolů a postavení pověřence pro ochranu osobních údajů. Proto se doporučuje používat titul pověřence pro ochranu osobních údajů pouze pro osobu, jejíž funkce a pozice odpovídá popisu GDPR.

Kdo může být v organizaci pověřencem pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů musí být schopen plnit své povinnosti a úkoly nezávisle. 

To znamená, že organizace:

  • nesmí pověřenci dávat pokyny, pokud jde o plnění jeho povinností
  • nesmí pověřence ochrany údajů penalizovat nebo odvolat za plnění jeho úkolů

Autonomie pověřenců pro ochranu osobních údajů však neznamená, že mají rozhodovací pravomoci přesahující jejich úkoly. Organizace jsou i nadále odpovědné za dodržování právních předpisů o ochraně údajů a musí být schopny toto dodržování prokázat.
 

Pověřenec pro ochranu osobních údajů by měl být vnímán v rámci organizace jako partner, a měl by být součástí diskusí, které se týkající činností zpracování údajů v rámci organizace.

Pověřenci pro ochranu osobních údajů jsou přímo podřízeni nejvyšší úrovni řízení správce nebo zpracovatele údajů. Pověřenci pro ochranu osobních údajů mohou v rámci organizace plnit i jiné úkoly. Ty však nesmějí vést ke střetu zájmů.

To znamená, že pověřenec pro ochranu osobních údajů nemůže mít postavení, v němž by určoval účely a prostředky činností zpracování osobních údajů. Konfliktní funkce zahrnují především manažerské pozice (vedoucí pracovník, provozní ředitel, finanční ředitel, vedoucí lidských zdrojů, vedoucí IT, výkonný ředitel), ale mohou zahrnovat i jiné funkce, pokud vedou k určení účelů a prostředků zpracování.

Podle obecného nařízení o ochraně osobních údajů (GDPR) je možné jmenovat externího pověřence pro ochranu osobních údajů se smlouvou o jejich službách.

Tuto smlouvu lze uzavřít s jednotlivcem nebo organizací. V případě smlouvy s organizací je nezbytné, aby každý člen takové organizace nebyl ve střetu zájmů, a byl chráněn před jakýmkoli nespravedlivým ukončením smlouvy o poskytování služeb, ale také před nespravedlivým propuštěním kteréhokoli jednotlivého člena organizace z důvodu činnosti pověřence pro ochranu osobních údajů.

Organizace by měla být pověřenci pro ochranu osobních údajů nápomocna tím, že mu poskytne přístup k veškerým operacím zpracování, jakož i k veškerým osobním údajům zpracovávaným v souvislosti s těmito operacemi zpracování.

Je zásadní, aby byl pověřenec pro ochranu osobních údajů co nejdříve zapojen do všech záležitostí týkajících se ochrany údajů.

Pověřenci pro ochranu osobních údajů by měly být rovněž poskytnuty nezbytné zdroje k plnění jeho povinností (čas, odborná příprava, vybavení a finanční prostředky).

V praxi

Při plnění svých úkolů nesmí být pověřenci pro ochranu osobních údajů poučeni o tom, jak danou záležitost řešit. Pověřenec pro ochranu osobních údajů by například neměl dostávat pokyny o tom, jaký by měl být výsledek jeho poradenství, ani o tom, jak musí prošetřit stížnost fyzické osoby, ani o tom, zda je konzultace orgánu pro ochranu údajů vhodná nebo povinná. Pověřenec pro ochranu osobních údajů navíc nesmí být pověřen, aby zaujímal určité stanovisko k otázce související s právem v oblasti ochrany údajů, například k určitému výkladu práva.

Kontrolní seznam pro jmenování pověřence pro ochranu osobních údajů

Zkontrolujte, zda je pověřenec pro ochranu osobních údajů vyžadován: Zkontrolujte, zda je třeba jmenovat pověřence pro ochranu osobních údajů, a v případě pochybností zdokumentujte důvody, proč jej jmenujete nebo nejmenujete.

  •  Je-li vyžadován pověřenec pro ochranu osobních údajů:
    • Rozhodnutí mezi interním nebo externím pověřencem pro ochranu osobních údajů:  
    • Je-li vyžadován pověřenec pro ochranu osobních údajů, rozhodnout, zda bude členem organizace, nebo pověřencem pro ochranu osobních údajů na základě smlouvy o poskytování služeb;
    • Ověřit, že pověřenec pro ochranu osobních údajů má odborné kvality a odborné znalosti v oblasti práva a praxe v oblasti ochrany údajů a je schopen plnit příslušné úkoly;
    • Ověřit požadavky na nezávislost: Ověřte si, zda má váš pověřenec pro ochranu osobních údajů jiné povinnosti, které by mohly ohrozit jeho nezávislost při plnění jeho úkolů (střet zájmů).
    • Vypracovat standardní postupy v rámci správy vaší organizace pro zapojení pověřence pro ochranu osobních údajů.
  • Není-li pověřenec pro ochranu osobních údajů vyžadován:
    • Promyslete si to: I když pověřence pro ochranu osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů nejmenujete, budete muset splnit řadu požadavků na ochranu údajů. Doporučujeme vám jmenovat pověřence pro ochranu osobních údajů na dobrovolném základě nebo osobu, která nemá titul pověřence pro ochranu osobních údajů a která, i když plně nevykonává úkoly pověřence pro ochranu osobních údajů, sleduje dodržování předpisů a působí jako kontaktní osoba pro fyzické osoby uplatňující svá práva subjektu údajů.