Close

20.4.2017

GDPR a DPO

GDPR a pověřenci pro ochranu osobních údajů (DPO): Porozumění novým požadavkům.

 

Mluvili jsem s řadou klientů, kteří již začali pracovat na některých větších aspektech GDPR, včetně identifikace informací, které spadají do aktualizované definice GDPR, převážně získání souhlasu, řešení odstranění souhlasu a Procesy a postupy zavedení GDPR.

Všechny tyto oblasti vyvolávají značné obavy a zmatky. GDPR dává významnou důležitost DPO. Tento článek se bude zabývat tím, co to znamená v praxi a jaké dovednostní a zkušební organizace by měly hledat v potenciálních kandidátech.

Základy: Kdo je podle zákona povinen mít DPO?

Organizace bez ohledu na to, zda jsou správcem dat, nebo zpracovatele dat, jsou v zásadě povinny mít pozici DPO, pokud splňují jednu, nebo více z těchto tří podmínek:

1) Zpracování provádí veřejný orgán nebo orgán, s výjimkou soudů jednajících v jejich soudní funkci;

2) Hlavní činnosti správce, nebo zpracovatele se skládají ze zpracování, které vzhledem ke své povaze, rozsahu a / nebo účelům vyžadují ve velkém měřítku pravidelné a systematické sledování subjektů údajů;

3) hlavní činnosti správce nebo zpracovatele se skládají z rozsáhlého zpracování zvláštních kategorií údajů, které podle článku 9 GDPR zahrnují:

  • Rasový nebo etnický původ
  • Politické názory
  • Náboženské nebo filozofické přesvědčení
  • Členství v odborových organizacích
  • Zpracování genetických dat
  • Zpracování biometrických dat za účelem jednoznačného určení fyzické osoby
  • Údaje týkající se zdraví
  • Údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby

Pokud nesplníte jednu z výše uvedených 3 podmínek, pak v rámci GDPR nemáte legálně potřebu DPO.

Co bude DPO dělat?

Pokud organizace požaduje Pověřence pro ochranu osobních údajů, základní přehled o jeho pravomoci je poskytován s ohledem na článek 39. Odstraněním právního řádu by hlavní úkoly inspektora ochrany údajů měly spočívat v tom, že by se jednalo o odborníka na plnění závazků GDPR, Kontrola jakýchkoli relevantních rámců souladu, jako jsou ISO27001, BS10012 apod., Zajistí, že existuje dostatečná úroveň povědomí o GDPR v organizaci, bude působit jako kontakt s příslušným orgánem dohledu, poskytne poradenství ohledně konkrétních požadavků nařízení, jako je soukromí Posuzování dopadů a podpora a zajištění plnění práv subjektů údajů.

Jak bude DPO fungovat v rámci organizace?

Velkou částí úkolu Úřadu pro ochranu údajů bude efektivní komunikace o dodržování GDPR veřejnosti a dohlížejícímu orgánu a současně zajištění toho, aby organizace mohla splnit své strategické cíle prostřednictvím uplatňování robustního rámce ochrany soukromí. Tyto dvojí (a nevyhnutelně někdy i konkurenční) tlaky vyžadují, aby organizace pečlivě přemýšlely o tom, jak umístí inspektora ochrany údajů do řídící struktury. V současné době existují dvě hlavní možnosti v tomto ohledu. Organizace může chtít použít službu DPO, která bude představovat skupinu klientů, nebo by mohla chtít využívat specializovaného DPO nebo tým DPO v dané organizaci. Obě tyto možnosti mají výhody a nevýhody, které budou popsány v pozdějším článku.

Stejně jako u výše uvedeného útvaru ochrany údajů, GDPR položil základům pro organizace, aby řešily výzvy, jimž čelí, když zvažují, jak integrovat DPO. Klíčovým významem je čl. 35 odst. 3, který stanoví:

Ředitel a zpracovatel zajistí, aby úředník pro ochranu údajů neobdržel žádné pokyny týkající se výkonu těchto úkolů. Nesmí být odvolán nebo penalizován správcem nebo zpracovatelem za plnění jeho úkolů. Úředník pro ochranu údajů přímo podává zprávu nejvyššímu stupni řízení správce nebo zpracovateli.
Ve skutečnosti to znamená, že Pověřence pro ochranu osobních údajů bude chráněn před propuštěním.

ZPĚT NA VÝPIS NOVINEK

20.4.2017