Pověřenec pro GDPR: 7 klíčových zjištění celoevropské kontroly

V roce 2023 proběhla v celé Evropské unii koordinovaná kontrola, která se zaměřila na fungování pověřenců pro ochranu osobních údajů (DPO). Cílem této kontroly bylo zhodnotit, jak organizace naplňují požadavky Obecného nařízení o ochraně osobních údajů (GDPR) na tuto klíčovou pozici.

Hlavní zjištění této kontroly ukázala na několik kritických bodů, které vyvolávají obavy ohledně efektivního fungování pověřenců a splnění požadavků GDPR:

Nejmenování pověřence: Mnoho organizací, které podléhají povinnosti jmenovat pověřence podle GDPR, tak neučinilo, což představuje závažné porušení tohoto nařízení a může vést k pokutám.

Omezené zdroje a podpora: Pověřencům často chybí dostatek financí, času a personálu na to, aby účinně plnili své povinnosti, což může vést k nesprávnému výkladu GDPR a k chybám při jeho implementaci.

Nedostatečné odborné znalosti a dovednosti: Mnoho pověřenců nemá dostatečné vzdělání, znalosti a zkušenosti v oblasti ochrany osobních údajů, což může způsobit nesprávný výklad GDPR a implementační chyby.

Záměna úkolů DPO s jinými funkcemi: V některých případech jsou úkoly DPO svěřeny jiným rolím v organizaci, což je v rozporu s GDPR, které vyžaduje, aby byl DPO samostatnou a nezávislou funkcí.

Konflikty zájmů: Pověřenec je v některých případech vázán na vedení organizace, což snižuje jeho nezávislost a může bránit objektivnímu hodnocení rizik a navrhování adekvátních nápravných opatření.

Omezený či chybějící přístup k vedení: Mnoho pověřenců nemá dostatečný přístup k nejvyššímu vedení organizace, což omezuje jejich schopnost efektivně prosazovat ochranu osobních údajů.

Nedostatečná podpora ze strany dozorových orgánů: Dozorové orgány neposkytují pověřencům dostatečné pokyny a podporu, což může vést k nejistotě a nesprávnému výkladu GDPR.

Kromě výše uvedených zjištění kontrola také ukázala že, Většina pověřenců (cca 70 %) je v zaměstnaneckém poměru. Pouze cca 13 % pověřenců má méně než 3 roky zkušeností v oblasti GDPR. Jen cca 25 % organizací poskytuje pověřenci více než 32 hodin školení ročně. V 4 % organizací pověřenec nedostává žádné školení.

Firmy, které nemají řádně zajištěnou pozici pověřence, riskují vážné následky, jako jsou pokuty, poškození reputace a ztráta důvěry zákazníků. Proto by firmy měly:

• Jmenovat pověřence, pokud je to vyžadováno GDPR.
• Zajistit pověřencům dostatečné zdroje a podporu.
• Dbát na to, aby pověřenci měli potřebnou odbornost.
• Vyhnout se konfliktům zájmů.
• Začlenit pověřence do strategického rozhodování.
• Sledovat vývoj v oblasti ochrany osobních údajů a reagovat na něj.

Očekává se, že se role DPO bude dále vyvíjet a že pověřenci se budou více zaměřovat na strategické poradenství, využívat moderní technologie a prokazovat svou odbornost certifikací. To představuje nové výzvy, ale také nové příležitosti pro efektivnější ochranu osobních údajů.

Doporučení:

• Firmy by měly brát pozici DPO vážně a věnovat jí potřebnou pozornost a zdroje.
• Pověřenci by se měli aktivně vzdělávat a sledovat vývoj v oblasti GDPR, aby byli schopni účinně reagovat na nové výzvy.
• Dozorové orgány by měly poskytovat pověřencům jasnější pokyny a větší podporu, aby byli schopni plnit své úkoly efektivněji a s důvěrou.

Je důležité, aby organizace chápaly, že ochrana osobních údajů není pouze povinností na papíře, ale klíčovým faktorem důvěry zákazníků a správného fungování. Investice do kvalifikovaných a dobře podporovaných pověřenců pro ochranu osobních údajů se tak stává nezbytnou součástí strategie každé organizace.