2K Consulting

social1 social2  social4

Pověřenec pro ochranu os. údajů

DPO – Pověřenec pro ochranu osobních údajů

Důležitým pilířem prokazování souladu s GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer). Organizacím, které nemají možnost vytvořit tuto pozici interně v rámci vlastní zaměstnanecké struktury, nabízíme v rámci naší nabídky služby DPO externě pomocí auditorů, kteří se agendou zpracování osobních údajů zabývají dlouhodobě.

***

Jaké jsou úkoly pro pravidelnou činnost DPO v organizaci?

  1. penetrační testy = osvědčená metoda ohodnocení úrovně zabezpečení komunikační i výpočetní infrastruktury, aplikací i osob prostřednictvím simulovaných útoků, které vedou ke zjištění možného úniku osobních dat
  2. interní audity – pravidelné revize dat a ochrany osobních údajů dle nařízení GDPR
  3. monitorování souladu GDPR v návaznosti na vytváření vnitřnich směrnic pro nakládání s osobními údaji
  4. školení pracovníků ve zpracování osobních dat
  5. pravidelná komunikace s Úřadem pro ochranu osobních údajů (ÚOOÚ) a Evropským sborem pro ochranu osobních údajů v případě úniku dat a podání žaloby fyzické osoby na právní subjekt
  6. v případě kontroly z ÚOOÚ, fyzická účast pověřence na místě.

 

Cena za práce spojené s implementací požadavků Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů je stanovena individuálně a je závislá na velikosti a druhu organizace a na rozsahu zpracovávaných osobních dat. Cena za měsíční služby pověřence pro ochranu osobních údajů se pohybuje v rozsahu od 1000 – 50 000 Kč.

Neziskovým organizacím a některým společnostem, u kterých není stanovena povinnost zřídit pozici DPO, nabízíme zastupování organizace na pozici správce nebo zpracovatele, a to včetně právní odpovědnosti za nakládání s osobními údaji.

***

Pověřenec pro ochranu osobních údajů je bezpečnostní role, která nese řadu odpovědností za řízení bezpečnosti osobních údajů. Pověřenec musí být organizací jmenován, pokud:

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (bez ohledu na to, jaká data jsou zpracovávána)
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

    ***

Požadavky na DPO

Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

Nařízení dále v článku 38 odst. 2 ukládá správci či zpracovateli povinnost podporovat pověřence pro ochranu osobních údajů při plnění jeho úkolů tím, že mu poskytne zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

Pracovní skupina WP29 vykládá požadavky na obsazení této role způsobem, kdy osoba obsazená v roli Pověřence je schopna prokázat:

  1. znalost národního a unijního práva v oblasti ochrany dat a hluboké znalosti Obecného nařízení (GDPR)
  2. praktické zkušenosti aplikace požadavků ochrany dat
  3. znalost prováděných zpracovatelských operací
  4. znalost informačních technologií a bezpečnosti dat
  5. znalost dané oblasti podnikání a organizace
  6. schopnost propagovat kulturu ochrany dat v organizaci

2K Consulting s.r.o. © 2015