GDPR: Pozor na to, koho si zvolíte jako pověřence pro ochranu osobních údajů
GDPR požaduje, aby subjekt, který provádí rozsáhlé zpracování osobních údajů, jmenoval tzv. pověřence pro ochranu osobních údajů (Data Protection Officer, zkr. DPO).
A pokud daný subjekt DPO nejmenuje, byť správně měl, tak za to může dostat pokutu. Bez ohledu na skutečnost, zda měl či neměl implementována příslušná bezpečnostní opatření.
GDPR nedefinuje, co by měla osoba na pozici DPO splňovat, resp. tyto požadavky definuje velice vágně. Uvádí, že DPO by měl být jmenován na základě svých profesních kvalit a znalostí v oblasti práva a ochrany osobních údajů.
GDPR rovněž požaduje, aby DPO byl nestranný, nezávislý, nedostal se do střetu zájmů, měl na výkon své práce dostatek času, prostředků a byl finančně dostatečně ohodnocen, jeho stanovisku byla přiznána patřičná závažnost, a případně byly zdokumentovány důvody, proč jeho doporučení byla ignorována.
DPO nemůžete v souvislosti s plněním požadavků GDPR úkolovat a trestat, a pomalu ani propustit, protože by tím nemusela být zajištěna jeho nezávislost a nestrannost. Resp. by mohla být zpochybněna a DPO by mohl tvrdit, že jste ho chtěli propustit jen proto, že upozorňoval na vaše nedostatky při správě a zpracování osobních údajů.
Nabízí se tak otázka, zda by měl roli DPO zastávat stávající zaměstnanec, anebo zda je lepší tuto roli obsadit někým zvenku a uzavřít s ním smlouvu na dobu určitou, či DPP nebo DPČ, ve které by bylo jasně specifikováno, co se od něj očekává, v jakém časovém horizontu, a jaká mu bude náležet za jeho práci finanční odměna.
Pokud jste se problematikou informační a kybernetické bezpečnosti a ochranou osobních údajů doposud příliš nezabývali, asi vám nezbude, než se poohlédnou po někom zvenku, kdo dané problematice rozumí.
A nebudete to mít jednoduché, protože skutečných odborníků na tuto problematiku je na trhu nedostatek. Tím neříkám, že nenatrefíte na někoho, kdo vám rád za úplatu pomůže, takových se najde na trhu poměrně dost, ale narazíte na stejný problém, jaký jsem popisoval zde, při výběru manažera informační bezpečnosti.
Obzvláště na pozoru byste se měli mít před certifikovanými DPO, kteří se o bezpečnost a ochranu informací nikdy předtím nezajímali, ale teď vzhledem k poptávce po DPO absolvovali několikadenní kurz, jenž zakončili testem a získali certifikát.
ČERMÁK, Miroslav, 2017. GDPR: Pozor na to, koho si zvolíte jako pověřence pro ochranu osobních údajů. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/gdpr-pozor-na-to-koho-si-zvolite-jako-poverence-pro-ochranu-osobnich-udaju/. [citováno 09.12.2024].
Štítky: GDPR
K článku “GDPR: Pozor na to, koho si zvolíte jako pověřence pro ochranu osobních údajů” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.