Certifikace DPO

(Data Protection Officer)

Funkce DPD byla vytvořena zveřejněním nařízení 2016/679 Evropského parlamentu a Rady (EU) ze dne 27. dubna 2016 (angl. General Data Protection Regulation neboli GDPR) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

 

  • GDPR uvádí ve svém „bodě odůvodnění“ 77: „Pokyny pro zavádění vhodných opatření a pro prokázání souladu s požadavky tímto správcem nebo zpracovatelem, zejména pokud jde o zjištění rizika souvisejícího se zpracováním, jeho posouzení z hlediska původu, povahy, pravděpodobnosti a závažnosti, a stanovení osvědčených postupů ke snížení rizika by mohly být stanoveny zejména prostřednictvím schválených kodexů chování, schválených osvědčení, pokynů sboru nebo doporučení pověřence pro ochranu osobních údajů.
  • GDPR upřesňuje v oddíle 4 článků 37, 387 a 39 jmenování, funkce a úkony DPO.

Experti

 Yoann SIBILLE advokát v advokátní komoře Versailles, odborník na právo digitálních a osobních údajů

  • Romain LEBLOND odborný právník na právo digitálních a osobních údajů
  • Benjamin KORNHAUSER odborník na bezpečnostní informační systémy
  • Anouar JAOUHARI odborník na bezpečnostní informační systémy

Certifikační program DPO je výsledkem práce provedené v létě roku 2017 skupinou odborníků, která vyústila v založení „společného jádra“ DPO Foundation definující první úroveň certifikace dovedností v oblasti DPO, která je charakterizována znalostmi základů týkajících se ochrany osobních údajů:

  • Znalost definic a terminologie GDPR
  • Obecná znalost požadavků GDPR
  • Znalost funkcí a úkonů DPO
  • Znalost metod a nástrojů, které DPO potřebuje

Certifikační schéma DPO zaujímá na tomto společném jádru dvě hlavní profese:

DPO se všemi pravomocemi popsanými v článcích 38 a 39 GDPR

DPO auditor, jehož úkolem je sledovat dodržování pravidel GDPR v hodnocené firmě

  • Poznámka 1: DPO Foundation neříká, že plně odpovídá požadavkům vyjádřeným ve článcích 37, 38 a 39 GDPR týkajících se pověřence pro ochranu údajů.
  • Poznámka 2: DPO na úrovni 2 Poradní Asistence je dočasné jméno, které jednoduše ukazuje, že DPO splňuje požadavky GDPR týkající se pověřence pro ochranu údajů. Mohou být studována jiná označení (například DPO-Compliant, DPO-GDPR,… nebo jiné), ale to v žádném případě nezmění jeho obsah.
  • Poznámka 3: Vzhledem k tomu, že funkce DPO byla vytvořena právem EU, základní znalosti, které mají být certifikovány, jsou založeny výhradně na evropském nařízení. Příslušné vnitrostátní právní předpisy umožní prohloubit a přizpůsobit další úrovně certifikace.
  • Poznámka 4: Vzhledem k tomu, že funkce DPO byla vytvořena nedávno a dosud nebyla zavedena do praxe, není k dispozici žádná judikatura. To vyžaduje povinnost pravidelně aktualizovat tuto certifikaci.
  • Poznámka 5: Obecně se uvádí, že samotné nařízení stanoví, že ustanovení budoucího vnitrostátního práva se mohou přizpůsobit, mohou omezit účinek některých ustanovení (např. článek 23) nebo je naopak rozšířit (např. případy jmenování DPO). To vyžaduje povinnost pravidelně aktualizovat tuto certifikaci.

Certifikační úroveň 1: DPO Foundation

Úroveň DPO Foundation je společným jádrem znalostí sdílenými všemi profesemi v certifikačním systému DPO. Není to povolání samo o sobě, nicméně všechny znalosti, které shromažďuje, umožňují jeho osvědčení. Certifikace „DPO Foundation“ je vyústěním potřeby zajistit, že navzdory původním profesím a velmi odlišným profesním zkušenostem, kandidáti na funkci DPO podle požadavků GDPR dosáhly dostatečné znalosti, aby přispěli nebo spolupracovali na této funkci, při čekání na certifikaci DPO nebo DPO Auditor. Je to tedy předpokladem stát se kandidátem na úroveň 2 v certifikačním systému DPO. Certifikace DPO Foundation potvrzuje schopnost jeho držitele podílet se na činnostech přidělených DPO vymezenému GDPR ve formě plnění úkolů, zásahů a přínosů k projektům nebo úkolům, které mu byly specifikovány. Osoba, která provádí činnosti popsané pod názvem „DPO Foundation“, přispívá k činnosti DPO podle požadavků GDPR, aniž by byla schopna zastávat funkci DPO.

Zpět na základy regulace… Vykonávání činností týkajících se ochrany osobních údajů ve smyslu úložiště původu ze strany DPO vyžaduje zvláštní dovednosti zaměřené na následující výňatky z GDPR:

Článek 37 Jmenování pověřence pro ochranu osobních údajů

5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.

Článek 39 Úkoly pověřence pro ochranu osobních údajů
1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:

a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;

d) spolupráce s dozorovým úřadem a

e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.

2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.