Článek GDPR

Jaké jsou povinnosti Pověřence pro ochranu osobních údajů

21 bře 2018

Podle obecného nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR), které vstoupilo v platnost 25. května 2018, musí některé organizace jmenovat pověřence pro ochranu osobních údajů (Data Protection Officer; DPO). Kterých organizací se to týká a co přesně DPO dělá? Lisbeth Svensson, DPO skupiny Bisnode, odpovídá na tyto a další otázky.

Jaké hlavní úkoly DPO má?

DPO by měl zajištovat, abychom zpracovávali osobní údaje s respektem a v souladu se zákony o ochraně soukromí. To zahrnuje informování, poradenství a dohled na tím, aby organizace vše chápala a pracovala v souladu se zákony. DPO by měl zajišťovat, aby měla organizace v pořádku veškerou dokumentaci a aby tato dokumentace byla průběžně aktualizována. DPO je rovněž hlavním kontaktem pro orgán pro ochranu osobních údajů.

Bisnode Data Protection Officer

Bisnode Data Protection Officer

Lisbeth Svensson, Bisnode DPO - Pověřenec ochrany osobních údajů

Jaké kvalifikace a odborné znalosti jsou pro řádného DPO vyžadovány?

V prvé řadě je zásadní, aby velmi dobře rozuměl záležitostem týkajícím se ochrany soukromí, do kterých GDPR spadá. DPO je obvykle v kontaktu s většinou oddělení v rámci organizace, takže dobré porozumění předmětu podnikání a schopnost pochopit (a být pochopen) kolegy s velmi odlišnými popisy pracovních pozic je nutností. Jinými slovy, dobré komunikační schopnosti jsou také důležité. Mé stávající znalosti jsou široké a zahrnují IT, prodej, projektový management, řízení lidí a data. Jsou to pro mne velmi dobré opěrné body a myslím, že je to pro mne velkou výhodou.

Jaké jsou Vaše hlavní povinnosti ve společnosti Bisnode?

Moje primární odpovědnost je zajistit, abychom chránili a zacházeli s osobními údaji v souladu se zákony. V současnosti jsem intenzivně zapojena do našeho programu GDPR a odpovídám na mnoho otázek přicházejících z různých částí naší organizace. Také se ujišťuji, že jsme zavedli veškeré nezbytné směrnice a procesy a že jsme zajistili, aby v našich projektech a systémech byly náležitě zohledněny otázky ochrany soukromí. V dalším vývoji bude velmi důležitým úkolem zajistit, abychom udrželi práci na ochraně soukromí v chodu, neboť datem 25. května nic rozhodně nekončí.

Které typy společností nyní musí mít DPO?

Formálně musí být DPO jmenován pro orgány veřejné správy a veřejnoprávní subjekty a pro ty společnosti, jejichž hlavní činností je rozsáhlé, pravidelné a systematické sledování subjektů údajů nebo rozsáhlé zpracovávání zvláštních kategorií údajů a osobních údajů týkajících se odsouzení za trestné činy a přestupky.

Doporučuji však, aby si každá společnost, která zpracovává osobní údaje, jmenovala svého DPO – nebo alespoň určila někoho, kdo bude odpovědný za záležitosti týkající se ochrany soukromí, a to v závislosti na velikosti společnosti a množství údajů, které má společnost k dispozici.

Jak budou vypadat úkoly DPO po 25. květnu 2018?

Já osobně budu pokračovat v práci, kterou dělám dnes, ale také začnu auditovat naše podnikání tak, abych zajistila, že budeme i nadále jednat v souladu se zákony. Je zde také mnoho otázek týkajících se naší organizace a projektů, které se objevují v průběhu každého dne. Jsem si jistá, že dojde k dolaďování, které bude třeba udělat poté, co už budou naše nové procesy chvíli fungovat. A konečně budu i nadále zvyšovat povědomí a školit lidi tam, kde to bude nutné.

Má společnost Bisnode pověřence DPO v každé zemi?

Společnost Bisnode jmenovala místní pověřence DPO, avšak někteří z nich působí na více jak jednom trhu. To je proto, aby mohl být DPO snadno dosažitelný a aby podléhal místní legislativě. Pokud mluví místím jazykem, je to rovněž výhoda. Není však nutné mít více DPO jen proto, že podnikáte ve více zemích.

Co považujete ve Vaší roli za největší výzvu?

Chci zajistit, aby byly pravidelně ve své rané fázi s DPO konzultovány veškeré nové procesy a vývoj. Jako obvykle je snazší poskytnout dobrou radu předtím, než je něco vybudováno nebo pořízeno či realizováno.

Jaké příležitosti vidíte pro společnost jako je Bisnode v období po zavedení GDPR?

Naše podnikání a jeho příležitosti zůstanou po zavedené GDPR z velké části stejné, avšak je nesmírně důležité, abychom pomohli zajistit, aby naši zákazníci měli ty správné informace pro to, co dělají, a aby jejich údaje byly přesné a aktuální.

Vedlejším efektem programu GDPR je, že některé provedené úkony pomohou urychlit naše procesy v jiných oblastech.

Co si myslíte, že jsou největší mylné představy o GDPR?

Existují tři věci, o kterých velmi často slýchávám a na které se mně často ptají:

Za prvé, přenositelnost dat. Ano, je možné v některých případech požádat o přenos dat k jinému správci, ale nevždy je to možné pro všechny typy dat. 

Za druhé si někteří lidé nyní myslí, že společnosti budou vždy potřebovat souhlas se zpracováním osobních údajů. To není pravda. Existuje šest právních důvodů a souhlas je jen jedním z nich.

Za třetí někteří lidé se domnívají, že společnosti již nemohou nadále uchovávat osobní údaje, které potřebují. Skutečností je, že, pokud k tomu mají právní důvody, společnosti mohou v případě potřeby údaje uchovávat. Nemohou legálně uchovávat více údajů, než potřebují, a ne déle, než potřebují, a samozřejmě musí zajistit, že respektují práva jednotlivce.

Přihlásit k odběru newsletteru

Newsletter je určen pro všechny zájemce o tipy, trendy a inspirace v oblasti smart data.

Chcete se dozvědet více?

Zde najdete články, analýzy a zprávy z Bisnode.