GDPR: pověřenec jako důvod pro uložení pokuty

Prvním z dozorových úřadů, kdo se tématu dobrovolného jmenování pověřence věnoval, byl belgický úřad, který uložil pokutu 50.000 EUR za to, že pověřencem byla jmenována nevhodná osoba, které byly navíc omezeny pravomoci. Pokutovaná společnost jmenovala pověřencem vedoucího oddělení interního auditu a compliance. S obdobným nastavením se často setkáváme v praxi i u nás. Jedním ze základních atributů pověřence je jeho nezávislost, která v tomto případě dle dozorového úřadu nebyla dodržena. Pokutovaná společnost totiž neimplementovala směrnici řešící konflikt zájmů mezi výkonem funkce pověřence a interního auditora. Pověřenec tedy nemohl jednat nestranně, pokud šlo o jeho vlastní oddělení interního auditu a compliance. Osoba vykonávající funkci pověřence vykonávala tuto funkci vedle svého hlavního pracovního poměru a nebyla zahrnuta do řešení všech okolností zpracování osobních údajů, např. nebyla zapojena do vyšetřování bezpečnostních incidentů, což lze označit za jednou z hlavních odpovědností pověřence.

Lucemburský úřad pro ochranu osobních údajů řešil v roce 2021 několik podobných případů. V červnu uložil pokutu 15.000 EUR za nedostatečnou dokumentaci procesů potvrzujících zahrnutí pověřence do všech záležitostí týkajících se ochrany osobních údajů. V listopadu řešil nenahlášení kontaktních údajů pověřence dozorovému úřadu (v tomto případě pokuta udělena nebyla) a jiné společnosti uložil pokutu 18.000 EUR za nedostatečné pravomoci pověřence a jeho nezahrnutí do běžného monitorování compliance v oblasti ochrany osobních údajů. Na konci listopadu potom uložil lucemburský úřad zatím nejvyšší pokutu týkající se pověřence, a to 80.000 EUR. V tomto případě je výčet zjištění rozsáhlý, ale obecně lze shrnout, že se vztahují opět především k nedostatečnosti plnění hlavních povinností, kam zařadil následující:

• provedení analýzy povinnosti jmenovat pověřence;
• oznámení kontaktních údajů pověřence dozorovému úřadu;
• zveřejnění kontaktních údajů pověřence na webových stránkách a v interních dokumentech;
• odborná způsobilost pověřence – proškolení, odpovídající vzdělání a zkušenosti;
• nastavení procesů společnosti tak, aby nedošlo ke konfliktu zájmu (případně lze řešit jmenováním externího pověřence);
• přidělení dostatečných zdrojů pověřenci tak, aby mohl svoji funkci vykonávat efektivně;
• zahrnutí pověřence do veškerých záležitostí, týkajících se zpracování osobních údajů společnosti;
• pověření pověřence výkonem poradenství pro správce osobních údajů i jeho zaměstnance;
• zapojení pověřence do hodnocení rizik jakékoliv nové zpracovatelské činnosti.

Významná pozornost je v rámci kontrol věnována kvalifikaci pověřence. Určitým vodítkem v tuzemském kontextu zde může být dokument vydaný Úřadem pro ochranu osobních údajů České republiky, který se problematice věnuje, případně detailnější popis vydaný irským úřadem pro ochranu osobních údajů, který mezi základní požadavky na znalosti pověřence řadí:

• detailní znalost národního a evropského práva týkajícího se ochrany osobních údajů;
• přehled o veškerých činnostech při nichž dochází ke zpracování osobních údajů ve společnosti;
• znalost problematiky IT a zabezpečení údajů;
• znalost odvětví a konkrétní společnosti;
• schopnost propagace a zlepšování kultury ochrany osobních údajů ve společnosti.

Domníváme se, že v zásadě platí trend zmíněný v úvodu – tedy, že dobrovolné jmenování pověřence s sebou nese výhody, zejména lepší zajištění procesů a pravidel vyžadovaných GDPR a s tím se pojící větší důvěru ohledně nakládání s údaji správcem, jak dovnitř, tak i na venek. S čímž potom bezesporu souvisí zvýšení její prestiže a hodnoty. Z výše uvedeného je ale zřejmé, že verze „imidžového pověřence“ s sebou nese rizika. Nestačí totiž pouze formálně jmenovat pověřence, ale společnost jako správce osobních údajů musí být schopná prokázat, že vybrala tu správnou osobu, které zajistila opravdovou nezávislost výkonu funkce a přidělila odpovídající kompetence a prostředky, jinak se vystavuje riziku uložení pokuty.