Každý den v květnu nabídneme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání.
Celý text obecného nařízení o ochraně osobních údajů (GDPR) si určitě prostudoval jen málokdo. A ani právníci se často neshodnou v tom, jak jeho ustanovení přesně vykládat. Pokud stále hledáte odpovědi na praktické otázky spojené s ochranou osobních údajů, nabízíme vám informace od právníků a dalších expertů na tuto oblast.
TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.
Online firmy často tápou v tom, jestli se jich týká povinnost mít pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). Jak to je, to vysvětluje Jana Břeská, ze Sdružení pro internetový rozvoj (SPIR), které má také vlastního online průvodce GDPR.
Podle čeho online podnikatel určuje, jestli musí mít pověřence pro ochranu osobních údajů (DPO)? Podle velikosti obratu? Počtu zákazníků? Množství ukládaných osobních údajů?
Zjednodušeně řečeno, pověřence pro ochranu osobních údajů musí mít firmy – ať už jsou správcem, nebo zpracovatelem osobních údajů – jejichž hlavní činnost spočívá v rozsáhlém a systematickém zpracování osobních údajů nebo v rozsáhlém zpracování tzv. zvláštní kategorie osobních údajů (tedy citlivých údajů). V digitálním prostředí se tak může často jednat i o ty nejmenší firmy co do počtu zaměstnanců.
TIP: Co to znamená „rozsáhlé“ a „systematické“ zpracovávání, podrobněji rozebírají pokyny týkající se pověřenců pro ochranu osobních údajů, která vydala pracovní skupina WP29 (PDF). Přečíst si můžete také odpovědi WP29 na často kladené otázky (PDF).
Jaké výhody či nevýhody představuje interní zaměstnanec na pozici DPO a jaké naopak externí pracovník?
Hlavní výhody představuje skutečnost, že interní pracovník bývá zpravidla lépe obeznámen s fungováním firmy a s jejími strukturami, a tudíž i se způsobem, jak se ve firmě zpracovávají osobní údaje. Je také často snadněji dosažitelný pro případné konzultace či další komunikaci související s ochranou osobních údajů. Naopak komplikovanější může být např. zachování nestrannosti v případě úniku osobních údajů. Interní DPO může v případě porušení zabezpečení osobních údajů, které vyžaduje hlášení dozorovému orgánu, řešit vnitřní konflikt s loajalitou ke své firmě. Externí pracovník bude tento konflikt řešit pravděpodobně méně často či méně intenzivně. Na druhou stranu externí pracovník může vykonávat funkci DPO pro více firem, což může vést ke střetům zájmů. Možné střety zájmů by měl vyhodnotit externí DPO, ale zajímat by se o ně měla i firma, která ho najímá.
Oba modely jsou přípustné a povinnosti jak interního, tak externího DPO jsou totožné. Pověřenec by měl být jmenován na základě svých profesních kvalit, zejména na základě odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit své úkoly.
Navzdory výše uvedené generalizaci si každá firma bude muset zvážit, který model je pro ni výhodnější a jaké výhody a nevýhody obsahuje. V potaz musí brát také čistě ekonomické faktory, jako jsou dostupné personální kapacity a pracovní vytíženost a v neposlední řadě kvalifikace pracovníků, kteří by funkci DPO mohli vykonávat, apod. Určitě nelze obecně usuzovat, že by např. externí DPO vykonávali svou funkci hůře než ti interní.
Další otázky a odpovědi ke GDPR:
