Obecné nařízení o ochraně osobních údajů, které bude plně účinné od 25. května 2018, do českého právního řádu zavádí zcela nový institut, funkci Pověřence pro ochranu osobních údajů, anglicky Data Protection Officer, nebo také DPO.
Řada organizací zpracovávajících osobní údaje bude muset tuto pozici vytvořit a obsadit. Těm ostatním, na které se GDPR také vztahuje je to minimálně doporučeno.
Dokonce i Evropský Úřad pro ochranu osobních údajů a pracovní skupina WP 29 doporučuje zřídit alespoň neformální funkci "pověřence" těm organizacím, kde to povinné není, ale dochází zde ke zpracování osobních údajů. Celý článek si můžete přečíst zde.
3 chyby v kontextu GDPR, které mohou poškodit reputaci, ale i pohřbít vaši firmu
1. Právní povinnost
GDPR ukládá povinnost jmenovat pověřence pro ochranu osobních údajů širokému okruhu organizací.
Ať už se tedy jedná o orgán veřejné správy, samosprávy či veřejnou instituci. Organizaci, která provádí rozsáhlé a komplexní zpracování osobních údajů (banka, pojišťovna, provozovatel bezpečnostních systémů, cloudových služeb).
Samotné nevytvoření pozice pověřence či obsazení této pozice osobou bez dostatečných znalostí a kvalifikace přitom představuje porušení GDPR, které může být sankcionováno až do výše 10 milionů EUR nebo 2 % ročního obratu celé skupiny. Podle toho, která částka bude vyšší.
2. Compliance
Vytvoření pozice pověřence pro ochranu osobních údajů a její plné zapojení do systému pro zpracování osobních údajů je důležitou součástí compliance programu, kterým může organizace doložit, že vynaložila veškeré rozumně očekávatelné úsilí na to, aby její činnost byla v souladu s GDPR.
To může být důležité při dozoru ze strany Úřadu pro ochranu osobních údajů či při soudním sporu, protože právě dostatečně zavedený complinace program v oblasti zpracování osobních dat, a to včetně vytvoření pozice pověřence a jejího obsazení dostatečně kvalifikovanou osobou, může přispět vyvinění organizace v konkrétním řízení či sporu.
3. Důvěra
Závazek zpracovávat osobní údaje férově a transparentně
Tuto skutečnost mohou pozitivně vnímat jak zaměstnanci a klienti organizace, kteří budou vědět, na koho se v případě nejasností či dotazů týkajících se zpracování jejich osobních údajů obrátit, ale i obchodní partneři.
Jak nastartovat projekt GDPR Compliance?
Pro usnadnění implementace můžete využít dokumentační základnu vzorových dokumentů, metodik a formulářů, kterou najdete v knihovně jako GDPR Accelerator Toolkit >
Jak je na tom vaše organizace a zda splňuje "GDPR Compliance" můžete zjistit pomocí auditu. TAYLLORCOX pro tyto účely zpřístupnit GDPR Self Assesment Tool >
