Pověřenci

Nejdůležitější informace a nejčastější dotazy k pověřenci pro ochranu osobních údajů (DPO).

 

Kdo musí jmenovat pověřence pro ochranu osobních údajů? 

Povinnost jmenovat pověřence pro ochranu osobních údajů se netýká všech správců nebo zpracovatelů, ale pouze těch, kteří provádějí zpracování uvedená v čl. 37 odst. 1 GDPR.

!! Nové !! Jaké musí mít pověřenec kvalifikační předpoklady?

Ke kvalifikačním požadavkům na pověřence Úřad upozorňuje, že „nedefinování“ požadované úrovně odborných znalostí pověřence v normativním textu GDPR vyplývá z toho, že nařízení upravuje pouze a právě aspekty ochrany osobních údajů v užším slova smyslu.  Požadavek čl. 37 odst. 5, že pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů a své schopnosti plnit úkoly stanovené v článku 39, vyjadřuje, že kvalifikační předpoklady se vztahují rovněž k hlavním činnostem správce,  jejichž součástí je zpracování osobních údajů, nebo k činnosti veřejných subjektů. Tyto činnosti předurčují další kvalifikační požadavky na osobu pověřence. !! Nové !!

!! Nové !! Jaké jsou podmínky na působení externího pověřence?

K externímu postavení pověřence Úřad upozorňuje na pokyn Evropského sboru pro ochranu osobních údajů, s nímž se jako člen, který se na přípravě pokynů spolupodílel, ztotožňuje:

WP243 příloha Často kladené otázky:

Je možné jmenovat externího pověřence pro ochranu osobních údajů (čl. 37 odst. 6)? 

Ano. Podle čl. 37 odst. 6 může být pověřenec pro ochranu osobních údajů pracovníkem správce či zpracovatele (interní pověřenec pro ochranu osobních údajů), nebo může „úkoly plnit na základě smlouvy o poskytování služeb“. To znamená, že pověřenec pro ochranu osobních údajů může být externí, a v tomto případě může být jeho funkce vykonávána na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo s organizací. 

Je-li pověřenec pro ochranu osobních údajů externí, vztahují se na něj veškeré požadavky podle článků 37 až 39. Jak je uvedeno v pokynech, je-li funkce pověřence pro ochranu osobních údajů vykonávána externím poskytovatelem služeb, skupina osob pracujících pro tento subjekt může účinně plnit úkoly pověřence pro ochranu osobních údajů jako tým, za který je odpovědný určený hlavní kontakt a „odpovědná osoba“ pro klienta. V tomto případě je nezbytné, aby každý člen externí organizace vykonávající funkce pověřence pro ochranu osobních údajů splňoval veškeré příslušné požadavky GDPR. V zájmu právní jasnosti a dobré organizace pokyny doporučují ve smlouvě o poskytování služeb jasně rozdělit úkoly v rámci externího týmu pověřenců pro ochranu osobních údajů a určit jednu osobu jakožto hlavní kontakt a „odpovědnou“ osobu pro klienta.

Hlavní kontakt a odpovědnou osobu pro každého klienta pak musí správce sdělit Úřadu.!! Nové !!

Jak sdělit kontaktní údaje na pověřence?

Některým správcům a zpracovatelům vznikne účinností obecného nařízení o ochraně osobních údajů povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). V této souvislosti jsou dle článku 37 odst. 7 obecného nařízení povinni jak zveřejnit kontaktní údaje na pověřence, tak je i sdělit dozorovému úřadu, tj. Úřadu pro ochranu osobních údajů.

Forma sdělování kontaktních údajů na pověřence dozorovému úřadu není obecným nařízením blíže konkretizována. Sdělení lze učinit zejména prostřednictvím elektronických kontaktů (e-mail: posta@uoou.cz, datová schránka: qkbaa2n) s uvedením předmětu zprávy „oznámení pověřence“.

Obsahem sdělení je:

• identifikace správce nebo zpracovatele, který sděluje kontaktní údaje na pověřence
• označení pověřence (jméno, příjmení)
• kontaktní údaje na pověřence (e-mail, telefon)

Kontaktní údaje na pověřence sděluje správce či zpracovatel, nikoli daná fyzická osoba, která bude vykonávat funkci pověřence, a to i v případě, kdy funkci pověřence zastává pro více organizací.

Obecné nařízení nespecifikuje ani formu zveřejnění kontaktních údajů správcem nebo zpracovatelem. Nejvhodnější forma zveřejnění je prostřednictvím internetových stránek, případně lze takovéto zveřejnění u některých subjektů doplnit na úřední desce.

Jakým způsobem by měla probíhat konzultace pověřenců a dalších osob, zajišťujících soulad zpracování u správce či zpracovatele s Úřadem pro ochranu osobních údajů?

Řešit problémy každodenní praxe a správně aplikovat jednotlivá ustanovení GDPR je úkolem správců, případně jejich pověřenců.

Ačkoli Úřad nemá v rámci GDPR, jakožto dozorový úřad, stanovenu přímou konzultační roli, vyjma jeho role ve specifickém institutu předchozích konzultací (dle čl. 36 GDPR), poskytuje i nadále konzultace (odpovědi na dotazy) v rámci svých personálních možností. Pro nejefektivnější využívání odborníků Úřadu ke konzultacím doporučujeme pověřencům, resp. správcům či zpracovatelům, dodržovat následující postup:

 • Identifikujte a analyzujte problém

Konkrétní popis situace (základní parametry příslušného zpracování).

 • Vyhledejte a zpracujte vhodná řešení 

K otázkám, které při tom vyvstanou, hledejte vhodná řešení za použití příslušných ustanovení relevantních právních předpisů, tedy často nejen GDPR.

Návrh řešení by měl být stručný a výstižný, nicméně postihující všechny podstatné aspekty původního problému, tj. jak ty, které stály na počátku, tak ty, které byly identifikovány v předchozím kroku.

 • Zašlete relevantní dokumenty/informace

Úřadu zašlete takové dokumenty/informace, které jsou nutné k posouzení kontextu dotazu. Úřad také informuje, že v rámci konzultační činnosti neschvaluje ani neposuzuje návrhy či revize interních předpisů nebo provozní či uživatelské dokumentace informačních systémů používaných ke zpracování osobních údajů.

UPOZORNĚNÍ: I v případě, že dojde ke splnění výše uvedených podmínek, nadále platí, že konzultace není ani závěrem z uplatnění dozorových pravomocí, ani závazným stanoviskem Úřadu.

Odkazy

 • Základní příručka
  Nejdůležitější informace k DPO
 • Jak konzultovat s Úřadem [PDF, 505 kB]
  Doporučení pověřencům pro ochranu osobních údajů a dalším osobám, zajišťující soulad zpracování u správce či zpracovatele.
 • Otázky a odpovědi
  Nejčastější odpovědi Úřadu na dotazy k DPO
 • Pokyny Sboru k pověřencům
  Dokumenty Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupiny WP29), které poskytují výklad významných prvků zaváděných obecným nařízením o ochraně osobních údajů.
 • Pokyny Sboru k pověřencům (často kladené otázky)
  Jedna z příloh Pokynů Sboru má za cíl zodpovědět zjednodušenou a snadno čitelnou formou některé klíčové otázky k tomuto tématu.
Zdroj: www.uoou.cz