Pověřenec pro ochranu osobních údajů coby podnikatelský produkt

Pověřenec pro ochranu osobních údajů coby podnikatelský produkt

V souvislosti s účinností nařízení GDPR a nově vzniklým institutem pověřence pro ochranu osobních údajů lze na relevantním trhu pozorovat „boj“ o tuto profesi. GDPR jako podmínku výkonu této funkce neuvádí právnické vzdělání a tak si na výkon této pozice brousí zuby mnoho dalších subjektů z různorodých oblastí (IT technici, auditoři, compliance manažeři, či absolventi různých rychlokurzů propagujících se certifikátem od kde jaké instituce, kterých ani ne půl roku od účinnosti GDPR již existuje jak hub po dešti).

Praktiky, které navíc jednotliví zájemci o tuto pozici uplatňují, začínají být dravé, což je s ohledem na skutečnost, že pověřenci jsou pořád ještě spíše nedostatkové zboží, poněkud překvapivé. Oblíbenou praktikou je zejména tzv. negativní srovnávací reklama ve stylu citování důvodů, proč tuto profesi nemůže vykonávat někdo jiný (polemiku, zda-li v konkrétním případě taková srovnávací reklama není klamavá a nehraničí s nekalosoutěžním jednáním, lze nechat na příště). Oblíbeným terčem negativního srovnávání jsou právě právníci, možná proto, že jmenování právníka do pozice pověřence je pro mnoho správců přirozenou a první volbou s ohledem na základní požadavek GDPR, aby pověřenec disponoval odbornými znalostmi práva a praxe v oblasti ochrany údajů. Co všechno jsme se tedy o právnících jako „nevhodných“ kandidátech na pozici pověřence dočetli [1] či doposlechli? Zde je stručný nástin:

  1. Advokát nebo obecně právník není nikdy nezávislý a nemůže splňovat požadavek GDPR spočívající v zákazu střetu zájmů.
  2. Některé advokátní kanceláře či advokáti se budou snažit nominovat do pozice pověřence s úmyslem navýšit fakturační objem služeb mimo jejich oblast působnosti.
  3. Většina advokátních kanceláří či advokátů s ohledem na různorodou specializaci nebude dostatečně dobře obeznámena s právní úpravou a aplikační praxí týkající se ochrany osobních údajů.
  4. I když několika málo advokátních kanceláří či advokátů bude skutečnými odborníky na ochranu osobních údajů, bude to stačit na to, aby byli pověřenci dle GDPR?
  5. Naproti právníkům, profesionální pověřenec musí rozumět tomu, co právo požaduje a jak jej implementovat v operativním smyslu. Pověřenec tak musí být schopen identifikovat rizika porušení předpisů, determinovat a provádět kontroly, zajistit, aby instrukce byly v souladu se všemi operativními a právními požadavky, poskytovat rady v souvislosti se změnami procesů za účelem zajištění jejich souladu s předpisy, dohlížet na vztahy se zpracovateli, přičemž údajně žádná z těchto činností není prací právníků.
  6. Pověřenec kromě právních znalostí potřebuje taky rozumět IT, informační bezpečnosti, komunikaci a marketingu.
  7. Role a povinnosti pověřence jsou tak široké a vyžadují tolik praktických zkušeností s chodem organizace, že úzké zaměření právníka je nedostatečné.
  8. Pověřenec nemusí vědět pouze, co právo říká, ale co to znamená a jak se to aplikuje do činnosti správců. Není potřeba být právníkem na to, abyste porozuměli právu.

Hezká sbírka, co říkáte? Dle názoru pracovní skupiny EU pro ochranu údajů (WP29) by měl pověřenec mít také určitý standard morální integrity a etiky [2].Minimálně o těchto kvalitách lze však v případě propagátorů výše nastíněné reklamy pochybovat.

Předtím, než ve vztahu k výše uvedeným vyjádřením učiníme další závěry, připomeňme si, co ve vztahu k pověřenci, předpokladům pro výkon této profese a jeho základním úkolům stanoví GDPR.

Článek 37 odstavec 5 GDPR říká, že pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39 GDPR. Mezi úkoly pověřence stanovené v článku 39 odst. 1 GDPR pak patří:
a) poskytování informací a poradenství správcům podle GDPR a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování;
d) spolupráce s dozorovým úřadem;
e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36 GDPR, a případně vedení konzultací v jakékoli jiné věci.

Z výše uvedeného je zřejmé, že pověřenec nemusí mít nutně právní vzdělání. Nicméně většina jeho úkolů souvisí s výkladem, aplikací, právním poradenstvím a monitorováním vývoje a dodržování celé škály předpisů, a to nejenom z oblasti ochrany osobních údajů. Hodně štěstí odvážlivcům s několikadenním kurzem na výkon této činnosti. Polemizovat by šlo i o tom, zda-li činnosti pověřence jsou nebo nejsou poskytováním právních služeb a zda-li tedy v případě těchto osob nejde o pokoutnictví (i když dle oficiálních vyjádření České advokátní komory (ČAK) výkon činnosti pověřence není poskytováním právních služeb ve smyslu zákona o advokacii, ale jde o jinou činnost advokáta ve smyslu § 56 zákona o advokacii) [3].

O tom, že vhodným kandidátem na pozici pověřence je právě právník není pochyb, dokonce mezinárodní organizace IAPP (International Association of Privacy Professionals) doporučuje, aby funkci pověřence zastával zkušený právník anebo auditor informačních systémů, který je orientován na ochranu osobních údajů nebo technologické právo [4] . Abychom se však nesnížili na úroveň našich „konkurentů“ na trhu s pověřenci, nebudeme paušálně tvrdit, že pouze právníci jsou jedinými vhodnými kandidáty na tuto pozici a veškeré výše nastíněné výtky vůči nim jsou směšné, ale konstruktivně zhodnotíme jejich opodstatněnost.

Na prvním místě je nutno připustit, že požadavek zákazu střetu zájmů omezuje výkon pozice pověřence jak ze strany advokátů, tak ze strany interních právníků jednotlivých správců. Úřad pro ochranu osobních údajů (ÚOOÚ) dovodil, že střet zájmů může představovat zvláštní zákon, pokud by pověřenci v určitých momentech mohl znemožňovat jeho činnost (např. zvláštní mlčenlivost advokátů) [5] . Rada evropských advokátních komor (CCBE) upozorňuje [6] , že asimilace těchto dvou funkcí (advokát vs. pověřenec) a riziko záměny mezi těmito funkcemi jsou klíčovým problémem pro jakéhokoli advokáta, který by mohl být jmenován pověřencem na žádost klienta. Může se totiž stát, že advokát bude muset alternovat mezi funkcí pověřence a funkcí advokáta vykonávajícího regulované povolání. Advokát v postavení pověřence musí zajistit nezávislost a zabránit střetu zájmů, zejména střetům, které mohou plynout z toho, že z pozice pověřence bude muset postupovat i proti zájmům správce (např. ohlašovací povinnost ÚOOÚ), zatímco má rovněž povinnost zastupovat zájmy klienta v plném rozsahu povoleném zákonem. ČAK v této souvislosti doporučuje svým členům, aby ve smlouvě s klientem jasně vymezili činnosti, které nelze pro vyloučení střetu zájmů vykonávat (např. že advokát nebude zastupovat klienta před soudem v případě týkajícím se ochrany osobních údajů) [7]. Dle ČAK by měl advokát v roli pověřence především důsledně vyloučit všechny formy právního zastoupení a právního poradenství jak v oblasti zpracování a ochrany osobních údajů, tak v oblastech, kterých se zpracování těchto údajů nezbytně nutně týká (např. pracovněprávní problematika, e-commerce a marketing apod.). V souvislosti s výkonem funkce pověřence pro více klientů se objevily také argumenty o střetu zájmů mezi těmito jednotlivými klienty, kteří mohou být v konkurenčním postavení. Konkrétně ÚOOÚ zastává názor, že je vhodné zvážit konkurenční hledisko, kdy jeden pověřenec může poskytovat služby i pro konkurenta a hrozí tak i vyzrazení know-how [8]. V této souvislosti se však lze shodnout s autory komentáře k GDPR, že pověřenec v rámci své předepsané role není osobou, která by měla radit ohledně obchodních vztahů a postupů mezi konkurenty, tito by tak sami o sobě ani neměli být způsobilí ovlivňovat jeho (nařízením předepsanou) činnost. Rozhodný by tedy měl být jen střet zájmů v oblasti ochrany osobních údajů [9]. Opačný závěr by totiž mohl významně omezit dostupnost této služby, což by nejvíce dopadlo na malé a střední podniky, u kterých např. interní zajištění funkce pověřence často nebude dávat ekonomický smysl. Jak však autoři komentáře k GDPR vhodně poznamenávají, správnost tohoto názoru případně potvrdí až příslušná rozhodovací praxe.

Ani interní právníci v roli pověřenců se riziku střetu zájmů nevyhnou. Tak například dle německé ustálené praxe (kde speciální subjekty na ochranu osobních údajů existují již řadu let) by funkci pověřence nejspíše neměl zastávat interní právník odpovědný za zajištění ochrany osobních údajů. Je pravdou, že interní právník má velkou výhodu v tom, že zná interní procesy a bezpečnostní opatřeni správce lépe než externí pověřenec. Dle pracovní skupiny WP29 je nicméně nutné zajistit, aby pověřenec zejména nebyl nikdy v pozici, kdy by určoval nebo závazně schvaloval účely nebo prostředky zpracování – v takovém případě by se totiž mohl dostat do situace, kdy bude z pozice pověřence kontrolovat svou vlastní (jinou) činnost [10]. V této souvislosti se pak lze opět zmínit i o střetu zájmu mezi subjektem údajům, jehož práva je pověřenec povinen chránit a prosazovat, a správcem, který na druhou stranu pověřence zaměstnává a v jehož zájmu by měl pověřenec jednat ve smyslu pracovněprávních předpisů.

Ostatní výše zmíněné výtky ve vztahu k výkonu funkce pověřence právníky pak lze hodit do jednoho pytle, neboť všechny vesměs vytýkají právníkům nedostatek odborných znalostí a zkušeností zejména v oblasti IT bezpečnosti a souvisejících procesů, vč. uskutečňování analýz rizik, auditů, kontrol, apod. Uvedený argument je rovněž do jisté míry opodstatněný. Přece nelze kompetentně dohlížet na praktické zajištění bezpečnosti a ochranu osobních údajů bez jakékoliv orientace v této oblasti. Avšak na tento aspekt pamatuje samotné GDPR, které v článku 38 odst. 1 a odst. 2 pro správce a zpracovatele stanoví povinnost, aby byl pověřenec náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Správce a zpracovatel mají dále povinnost podporovat pověřence při plnění jeho úkolů tím, že mu poskytnou zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

Pověřenec by tak měl mít zajištěnou podporu jednotlivých relevantních oddělení správce, jako je IT, interní audit, compliance, lidské zdroje, bezpečnost apod. Od těchto oddělení by měl být schopen získat nejenom informace nutné k plnění svých úkolů, ale také sekundární podporu. S podporou daných složek by tak právník měl být schopen kompetentně plnit funkci pověřence. Ostatně taková spolupráce právníka a odborníků (znalců, odborných pracovníků klientů, apod.), na základě které právník v praxi staví své výstupy, je přeci v činnosti právníků běžnou a často i nevyhnutnou praxí. Ve světle uvedeného jsou tak výše uvedené výtky nadále neopodstatněné.

Toto „přetahování se“ právníků a odborníků z ostatních relevantních oblastí o výkon pozice pověřence je však s ohledem na požadavky GDPR na výkon této profese přirozené. Jak bylo uvedeno výše, pověřenec by měl mít odborné znalosti nejenom práva ale i praxe v oblasti ochrany údajů, jelikož bude muset analyzovat a hodnotit účinnost bezpečnostních opatření na ochranu údajů. Taková kombinace právního a IT vzdělání je ovšem dosti vzácná. Pro správce, kteří jsou za výběr kvalitního pověřence odpovědni, se tak jako nejideálnější a nejistější řešení jeví jmenování jakéhosi „kolektivního“ pověřence, tedy týmu, ve kterém bude jak právník, tak odborník na IT bezpečnost. Zavedení takového oddělení interně v rámci organizační struktury správce nemusí představovat problém, problematickým toto řešení však nemusí být ani v případě externích pověřenců. ÚOOÚ se v této souvislosti vyjádřil, že službu pověřence může poskytnout i právnická osoba s odkazem na ustanovení GDPR, které umožňuje fungování pověřence i na základě smlouvy o poskytování služeb [11]. Dle ÚOOÚ však vždy musí být, v případě, že pověřence jako službu poskytuje právnická osoba, určena konkrétní fyzická osoba, která pověřence bude vykonávat. Kladné stanovisko k dané koncepci poskytla i ČAK, která potvrdila, že advokát může založit samostatnou společnost pro výkon činnosti pověřence [12]. Takové společnosti, jejichž členové jsou jak advokáti, tak odborníci na IT a bezpečnost ochrany osobních údajů, již v podmínkách naší praxe existují.

Konkrétní výběr pověřence jako odborníka na tu kterou oblast a modality výkonu jeho funkce závisí na konkrétním správci, jeho poměrům a potřebám. WP29 potvrzuje, že požadovaná úroveň odborných znalostí není přesně definovaná, musí však odpovídat citlivosti, složitosti a množství údajů, které organizace zpracovává [13]. Například je-li činnost zpracování údajů zvlášť složitá nebo zahrnuje-li velké množství citlivých údajů, může pověřenec potřebovat vyšší úroveň odborných znalostí a podpory. Existuje rovněž rozdíl v závislosti na tom, zda organizace systematicky předává osobní údaje mimo EU nebo zda je takové předávání příležitostné. V případě systematického předávání bude právník minimálně jako člen týmu pověřence nezbytný, jelikož bude nutné posuzovat právní řády zemí, do kterých budou údaje předávány, zda-li tyto poskytují dostatečné záruky ochrany údajů.

Obecně by pověřenec měl disponovat dostatečnými schopnostmi k plnění svých úkolů dle GDPR. To ovšem nemusí znamenat, že musí být nutně odborníkem na IT, bezpečnost, právo a lidské zdroje, kombinace takové komplexní kvalifikace je v praxi téměř nereálná. Z pohledu GDPR postačí, když bude mít pověřenec o těchto oblastech dostatečné povědomí [14]. Správce by pak měl zajistit pověřenci přístup k odborníkům na tyto oblasti v rámci jiných oddělení organizace či externě nebo v případě nutnosti přímo ve svém týmu. Z tohoto pohledu se pak zdá být nerozhodné, zda-li pověřencem bude právník s podporou jiných oddělení nebo odborník s podporou právníka. Zdá se tedy, že v soutěži o pověřence nelze jednoznačně určit vítěze a že klíčem k úspěchu bude schopnost přitáhnout uzdu egu a uznat kvality toho druhého včetně nezbytnosti vzájemné spolupráce.

Zdroj:  epravo Magazine 4/2018


[1] Srov. např. slovní přestřelku mezi Thomasem Shawem a Emmou Butler (oba pověřenci) na platformě IAPP, dostupné zde: https://iapp.org/news/a/two-pros-square-off-must-the-dpo-be-a-lawyer/  nebo článek s názvem „Why a lawyer shouldn’t be a DPO“ na blogu přední britské společnosti poskytující služby pověřence: https://blog.dpo-experts.com/blank/why-a-lawyer-shouldnt-be-a-dpo
[2] Viz Pokyny WP29 týkající se pověřenců pro ochranu osobních údajů
[3] Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail.php?id=18807
[4] Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail.php?id=18807
[5] Srov. webové stránky ÚOOÚ, sekce GDPR, Základní příručka k GDPR, Pověřenec pro ochranu osobních údajů: https://www.uoou.cz/9-poverenec-pro-nbsp-ochranu-osobnich-udaju/d-27280/p1=4744
[6] Viz. Doporučení CCBE ohledně klíčových opatření pro advokáty k dosažení souladu s předpisy v souvislosti s GDPR, dostupné zde: http://www.bulletin-advokacie.cz/doporuceni-ccbe-ohledne-klicovych-opatreni
[7] Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail.php?id=18807
[8] Srov. webové stránky ÚOOÚ, sekce GDPR, Základní příručka k GDPR, Pověřenec pro ochranu osobních údajů: https://www.uoou.cz/9-poverenec-pro-nbsp-ochranu-osobnich-udaju/d-27280/p1=4744
[9] Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s.
[10] Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s.
[11] Dle článku 37 odst. 6 GDPR může pověřenec pro ochranu osobních údajů být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.
[12] Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail.php?id=18807
[13] Viz Pokyny WP29 týkající se pověřenců pro ochranu osobních údajů.
[14] Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s.

Kontaktujte nás