Pověřenec pro ochranu osobních údajů, anglicky Data Protection Officer (DPO), je zcela novým institutem, v českém právní řádu dosud neetablovaném. Pověřencem je osoba, jejímž hlavním úkolem bude dohlížet na soulad postupu organizace při zpracovávání osobních údajů s požadavky, které na konkrétní druh zpracování nařízení GDPR klade.
Tuto roli může jakákoliv organizace obsadit dobrovolně, ale pro mnohé organizace bude její zřízení povinné.
Funkce Pověřence (DPO) musí být povinně zřízena:
- Je-li subjektem, který nakládá s osobními údaji, orgán veřejné moci či veřejnoprávní korporace
- Při rozsáhlém systematickém monitorování fyzických osob (např. při zpracování MHD průkazek, údajů o poloze osob, údajů na sociálních sítích, údajů poskytovatelů telefonních a internetových služeb, dat u provozovatelů kamerových systémů, aj.)
- Při rozsáhlém zpracování citlivých dat (např. v nemocnicích, bankách, pojišťovnách apod.)
Roli Pověřence může zastávat jedna osobou, více osob, nebo externí komerční služba. Zároveň jedna a tatáž osoba nebo společnost může vykonávat činnost Pověřence pro více organizací. Pověřenec může v rámci organizace zastávat i jiné role. Důležité však je, aby nedocházelo ke střetu zájmů. Pověřenec tak nesmí být osobou, která by výkonem funkce sama sobě stanovovala pravidla pro nakládání s osobními údaji, tedy například pracovník z IT, personálního, mzdového, nebo bezpečnostního oddělení. Pověřenec musí vykonávat svojí činnost nezávisle, a za tím účelem je chráněn proti nespravedlivému propuštění či zproštění funkce za výkon své činnosti.
Po profesní stránce jsou na Pověřence kladeny nemalé nároky. Pověřenec musí být znalý národní a evropské legislativy, musí se detailně orientovat v problematice ochrany osobních údajů a důkladně znát nařízení GDPR, jakož i související předpisy. Zároveň je nezbytné, aby byl Pověřenec detailně seznámen s vnitřními procesy organizace, se způsoby, jakými organizace osobní údaje zpracovává a s jejími IT systémy, které pro účely zpracování dat a jejich ochranu používá.
Do pracovní náplně Pověřence tak mimo jiné spadá:
- monitorování souladu zpracování osobních údajů v rámci organizace s požadavky GDPR,
- řízení agendy interní ochrany dat,
- provádění interních auditů zpracování osobních údajů,
- pravidelná školení pracovníků,
- konzultace s dozorovými orgány.