Formální pověřenec? Krok na tenký led, který může ohrozit vaši reputaci
V souladu s tím, jak je funkce pověřence v mnohých organizacích vnímána, a to nejen ve veřejné správě, tedy jako něco, co je přikázáno „shora“ a čehož přínos je značně pochybný, se správci snaží najít pro sebe co nejvýhodnější řešení.
To často spočívá ve formálním jmenování osoby, která se pověřencem často pouze nazývá. Podobné je to v případě jmenování pověřence, který má např. podobu telefonické podpory bez alespoň občasné přítomnosti u správce. Bezelstnou otázku týkající se přípustnosti právě takového ujednání a jeho souladu s obecným nařízením (GDPR) jsme v průběhu letních měsíců obdrželi z území a vzhledem k jejímu širšímu významu na ni v dnešním článku odpovídáme.
Podíváme-li se do GDPR, konkrétně do článků, které upravují postavení pověřence pro ochranu osobních údajů, nenajdeme v nich otázku nutné osobní přítomnosti pověřence v organizaci, pro kterou tuto činnost vykonává, vyřešenou výslovně, resp. podrobněji rozpracovanou. Jen článek 37 odst. 6 GDPR uvádí, že pověřenec může být pracovníkem správce, nebo může svoje úkoly plnit na základě smlouvy o poskytování služeb pověřence. Na to pak navazuje čl. 38 GDPR, který definuje postavení pověřence v organizaci. Z něj vcelku jasně vyplývá, že odpovědnost za zapojení pověřence do organizace a za zajištění jeho přístupu ke všem zpracováním má správce osobních údajů.
Monitorování souladu bez znalosti správce?
Více napovídá výčet hlavních úkolů pověřence, který je obsažen v čl. 39 GDPR. Patří k nim například monitorování souladu s obecným nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, poskytování poradenství a spolupráce s dozorovým úřadem. Pověřenec musí brát při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu a kontextu a účelům zpracování.
Je prakticky představitelné, že pověřenec pro ochranu osobních údajů, který je v organizaci jmenován a má plnit zejména výše uvedené úkoly, s organizací komunikuje pouze prostřednictvím telefonu (pomíjíme, jak bude jeho služba spolehlivá), přestože v organizaci nikdy fyzicky nebyl? Máme za to, že je to vyloučené. Platí, že pokud pověřenec správce a jeho pracovníky osobně nezná, neví nic o jejich pracovních postupech, netuší, komu správce informace o zpracování osobních údajů, včetně informací o technickém a organizačním zabezpečení, předává, nemůže své úkoly plnit.
Pověřenec musí poznat zpracování podrobně
K výše uvedenému přistupuje ještě jedna podstatná skutečnost. Pokyny WP29[1] týkající se pověřenců pro ochranu osobních údajů uvádí, že pověřenec musí mít hluboké znalosti o operacích zpracování prováděných správcem nebo zpracovatelem, stejně jako o systémech informačních technologií a bezpečnosti dat. Úroveň znalostí, které se od pověřence očekávají, musí být přiměřená složitosti, riziku a množství údajů zpracovávaných v organizaci. Znalost interních procesů v organizaci je tak nezbytná a nedostatečná znalost interního fungování správce je považována za jeho pochybení, nikoli osoby, která se prohlásí za pověřence na telefonu.
Již z toho je zřejmé, že pouhá komunikace na dálku nemůže postačovat k naplnění požadavků, které uvedené Pokyny WP29 uvádějí, a správce dokonce vystavují hrozbě. Důkladná znalost správce včetně alespoň občasné přítomnosti na jeho pracovišti je pro pověřence jednoduše nezbytná pro efektivní plnění úkolů a zajištění souladu s GDPR.
Důvěra na dálku? Je to možné, ale…
I bez „oficiálního stanoviska“, které v této otázce představují Pokyny WP29, je zřejmé, že jen díky osobní znalosti správce dokáže pověřenec identifikovat slabá místa zpracování a pomoci je napravit. Toto pověřenec na dálku odhalit nikdy nedokáže. Navíc každá organizace je jiná, standardizované odpovědi nikdy nemohou zohlednit specifické potřeby a rizika každého správce. V neposlední řadě osobní znalost pověřence vytváří důvěru mezi ním a správcem. Pravděpodobně tak bude jednodušší s ním diskutovat o všech aspektech ochrany osobních údajů a spolehnout se na jeho kvalifikovanou odpověď a objektivitu. To je něco, co telefonické sluchátko nebo reproduktor a mikrofon mobilního telefonu nikdy nenahradí.
Pověřenec by měl být součástí týmu
Ochrana osobních údajů nespočívá jen v plnění základních legislativních požadavků a ve splnění povinnosti jmenovat formálního pověřence, aby si správce mohl udělat čárku a Evropské unii bylo učiněno za dost. Osobní znalost klienta a precizní znalost jeho organizace je nenahraditelná. Pokud je pověřenec součástí týmu, rozumí jejím procesům a zná využívané systémy, dokáže identifikovat potenciální problémy dříve, než se reálně projeví. Dobrý pověřenec je tak v posledku skvělou investicí do vaší reputace, kterou jeho stín v podobě telefonického pověřence může velmi snadno ohrozit. A tak zněla také naše odpověď na jeden zajímavý dotaz týkající se nastavení spolupráce s pověřencem z letošního léta.