Je to již více než 6 let, kdy ve veřejném prostoru dominovala problematika ochrany osobních údajů. Kampaň rozpoutaná před termínem účinnosti GDPR (dále jen „Obecné nařízení“) se nesla s nádechem negativních pocitů, jakéže novinky přichází a za této atmosféry přinesla řadu nesprávných a zavádějících informací, které se objevují dodnes. Bohatě se diskutovalo, často se požadavky tohoto nařízení stávaly strašákem (vysoké za pokuty za porušení zabezpečení osobních údajů, přesouhlasování).
Obecným nařízením byla zavedena do českého právního řádu a praxe zcela nově role pověřence pro ochranu osobních údajů. Zcela konkrétní novinka přinesla požadavek na implementaci tohoto odborného a profesionálního jádra nového právního rámce zpracování a ochrany osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů se jednoznačně vztahuje na všechny správce, pokud zpracování provádí jako orgán veřejné moci či veřejný subjekt. Role pověřence je označována za základní kámen odpovědnosti pro dodržování souladu s Obecným nařízením a se souvisejícími předpisy ochrany osobních údajů. Výše zmiňovaný právní rámec je založen především na odpovědnosti všech stran, které se podílejí na zpracování a ochraně osobních údajů.
Obecné nařízení svěřuje pověřencům pro ochranu osobních údajů významnou a nezastupitelnou roli v ochraně osobních údajů. Smyslem role a úlohou pověřence je především:
poskytovat informace a poradenství správci (dále jen „správce“) či zpracovateli, včetně zaměstnanců, kteří se na zpracování osobních údajů podílejí;
poskytovat odborné konzultace v oblasti ochrany osobních údajů;
přispívat k zajištění naplnění požadavků Obecného nařízení v praxi a dosažení souladu zpracování osobních údajů ve veřejné správě s požadavky Obecného nařízení a dalších souvisejících právních předpisů;
součinnost se správcem za účelem plnění jeho povinností při uplatňování práv subjektu údajů, zejména u zpracování, která správce označil jako riziková.
Další významnou úlohou pověřence je tzv. monitorování souladu. Jedná se o velmi specifickou činnost, při které v přímé kooperaci se správcem pověřenec zejména:
shromažďuje informace za účelem zjišťování činností zpracování;
analyzuje a prověřuje právní soulad činností zpracování;
informuje, radí a vydává doporučení správci.
Kromě výše popsaných činností je pověřenec kontaktním bodem/místem pro subjekty údajů a pro spolupráci s dozorovým orgánem, v České republice je jím Úřad pro ochranu osobních údajů (dále jen „Úřad“).
Právní úprava zaručuje pověřenci nezávislé postavení a vylučuje střet zájmů.
Pověřenec musí být nezávislý odborník v oblasti ochrany osobních údajů, vybaven pro výkon své činnosti odpovídajícími zdroji, s přímým přístupem k nejvyššímu vedení, a při výkonu své činnosti postupuje objektivně, nestranně a nezaujatě a musí se vyhýbat jakémukoliv střetu zájmů.
Správce zajistí, aby byl pověřenec náležitě a včas zapojen do veškerých záležitostí souvisejících se zpracováním a ochranou osobních údajů.
Na začátku června 2024 se v Poslanecké sněmovně konal pod záštitou poslance Roberta Králíčka seminář „GDPR a ochrana osobních údajů z pohledu nových bezpečnostních hrozeb“. Cílem semináře bylo ohlédnout se po šesti letech od účinnosti obecného nařízení za důležitými aspekty a praktickými výzvami pro výkon role pověřence pro ochranu osobních údajů. Diskutován byl i přesah činnosti pověřence pro ochranu osobních údajů a možnosti využít získaných zkušeností v návaznosti na rozšiřující se využívání umělé inteligence, nové výzvy spojené s masivním využíváním dat a otázkami kybernetické bezpečnosti. Na semináři rovněž vystoupili zástupci dozorových orgánů, Úřadu pro ochranu osobních údajů a Národního úřadu pro kybernetickou a informační bezpečnost.
Jaké jsou závěry a doporučení pro praxi?
Pořádající odborné spolky definovaly následující výstupy pro zajištění kvalitnějšího fungování pověřenců pro ochranu osobních údajů a využití jejich znalostí a praktických zkušeností:
Na pozice interních pověřenců pro ochranu osobních údajů ve veřejné správě i soukromém sektoru jsou často jmenováni odborně zdatní, kompetentní odborníci se zájmem o plnění svých povinností. Za uplynulých 6 let jsme jako odborná komunita získali řadu cenných poznatků a praktických zkušeností.
Pověřenci jsou velmi často konfrontováni s omezenou nezávislostí při výkonu své role, poklesem reputace a významným podceňováním a dezinterpretací působnosti ze strany správců, a to i přes zvyšování nároků, které přináší požadavky kybernetické bezpečnosti, digitalizace a elektronizace procesů.
Kybernetická bezpečnost je nedílnou součástí ochrany osobních údajů. Je zcela nezbytné podporovat komplexní vzdělávání pověřenců pro ochranu osobních údajů v oblasti digitalizace a kybernetické bezpečnosti.
Pro zvýšení transparentního a etického výkonu role pověřence považujeme za vhodné definovat hodnotové parametry ve formě kodexu profesního chování, a to za spolupráce profesních spolků a Úřadu pro ochranu osobních údajů.
Pro pověřence ve veřejném sektoru je důležité iniciovat jednání pro vytvoření profesní kvalifikace pověřence podle Národní soustavy kvalifikací.
Doporučujeme věnovat větší pozornost popularizaci souhrnné zprávy společné koordinované akce evropských dozorových úřadů uvádějící seznam překážek, kterým v současnosti pověřenci pro ochranu osobních údajů musejí čelit. Zpráva přináší také řadu doporučení pro posílení jejich role v oblasti ochrany osobních údajů a soukromí. Jedná se zejména o nedostatečné zdroje potřebné pro výkon činnosti pověřence, často nedisponují odpovídající mírou nezávislosti nebo informací, které by umožnily jejich významnější zapojení do rozhodovacích procesů, a včasné zapojení do veškerých záležitostí souvisejících s ochranou osobních údajů.
Pověřenci z veřejné správy i soukromého sektoru mají cenné zkušenosti z procesů pro správu, využití a ochranu dat. Toto know-how může být přínosem při posunu k intenzivnějšímu, ale stále spravedlivému, transparentnímu a etickému zpracování dat (Evropská datová strategie), posilování kybernetické bezpečnosti a odolnosti i kontrolovanému využití umělé inteligence (AI).
Autor: Ing. Jaroslav Vítek, MBA, Úřad vlády ČR
Zdroj: eGOVERNMENT.NEWS
