Page 77

z právní praxe pověřence při plnění jeho úkolů tím, že mu poskytnou zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí. Pověřenec by tak měl mít zajištěnou podporu jednotlivých relevantních oddělení správce, jako je IT, interní audit, compliance, lidské zdroje, bezpečnost apod. Od těchto oddělení by měl být schopen získat nejenom informace nutné k plnění svých úkolů, ale také sekundární podporu. S podporou daných složek by tak právník měl být schopen kompetentně plnit funkci pověřence. Ostatně taková spolupráce právníka a odborníků (znalců, odborných pracovníků klientů, apod.), na základě které právník v praxi staví své výstupy, je přeci v činnosti právníků běžnou a často i nevyhnutnou praxí. Ve světle uvedeného jsou tak výše uvedené výtky nadále neopodstatněné. Toto „přetahování se“ právníků a odborníků z ostatních relevantních oblastí o výkon pozice pověřence je však s ohledem na požadavky GDPR na výkon této profese přirozené. Jak bylo uvedeno výše, pověřenec by měl mít odborné znalosti nejenom práva, ale i praxe v oblasti ochrany údajů, jelikož bude muset analyzovat a hodnotit účinnost bezpečnostních opatření na ochranu údajů. Taková kombinace právního a IT vzdělání je ovšem dosti vzácná. Pro správce, kteří jsou za výběr kvalitního pověřence odpovědni, se tak jako nejideálnější a nejistější řešení jeví jmenování jakéhosi „kolektivního“ pověřence, tedy týmu, ve kterém bude jak právník, tak odborník na IT bezpečnost. Zavedení takového oddělení interně v rámci organizační struktury správce nemusí představovat problém, problematickým toto řešení však nemusí být ani v případě externích pověřenců. ÚOOÚ se v této souvislosti vyjádřil, že službu pověřence může poskytnout i právnická osoba s odkazem na ustanovení GDPR, které umožňuje fungování pověřence i na základě smlouvy o poskytování služeb.11 Dle ÚOOÚ však vždy musí být, v případě, že pověřence jako službu poskytuje právnická osoba, určena konkrétní fyzická osoba, která pověřence bude vykonávat. Kladné stanovisko k dané koncepci poskytla i ČAK, která potvrdila, že advokát může založit samostatnou společnost pro výkon činnosti pověřence.12 Takové společnosti, jejichž členové jsou jak advokáti, tak odborníci na IT a bezpečnost ochrany osobních údajů, již v podmínkách naší praxe existují.

Konkrétní výběr pověřence jako odborníka na tu kterou oblast a modality výkonu jeho funkce závisí na konkrétním správci, jeho poměrům a potřebám. WP29 potvrzuje, že požadovaná úroveň odborných znalostí není přesně definovaná, musí však odpovídat citlivosti, složitosti a množství údajů, které organizace zpracovává.13 Například je-li činnost zpracování údajů zvlášť složitá nebo zahrnuje-li velké množství citlivých údajů, může pověřenec potřebovat vyšší úroveň odborných znalostí a podpory. Existuje rovněž rozdíl v závislosti na tom, zda organizace systematicky předává osobní údaje mimo EU nebo zda je takové předávání příležitostné. V případě systematického předávání bude právník minimálně jako člen týmu pověřence nezbytný, jelikož bude nutné posuzovat právní řády zemí, do kterých budou údaje předávány, zda tyto poskytují dostatečné záruky ochrany údajů.

álná. Z pohledu GDPR postačí, když bude mít pověřenec o těchto oblastech dostatečné povědomí.14 Správce by pak měl zajistit pověřenci přístup k odborníkům na tyto oblasti v rámci jiných oddělení organizace či externě nebo v případě nutnosti přímo ve svém týmu. Z tohoto pohledu se pak zdá být nerozhodné, zda pověřencem bude právník s podporou jiných oddělení nebo odborník s podporou právníka. Zdá se tedy, že v soutěži o pověřence nelze jednoznačně určit vítěze a že klíčem k úspěchu bude schopnost přitáhnout uzdu egu a uznat kvality toho druhého včetně nezbytnosti vzájemné spolupráce.

•

Mgr. Zuzana Gajdošová, LL.M., advokátka Advokátní kancelář Vych & Partners, s.r.o.

Obecně by pověřenec měl disponovat dostatečnými schopnostmi k plnění svých úkolů dle GDPR. To ovšem nemusí znamenat, že musí být nutně odborníkem na IT, bezpečnost, právo a lidské zdroje, kombinace takové komplexní kvalifikace je v praxi téměř nere-

Poznámky: 1 Srov. např. slovní přestřelku mezi Thomasem Shawem a Emmou Butler (oba pověřenci) na platformě IAPP, dostupné zde: https://iapp. org/news/a/two-pros-square-off-must-the-dpo-be-a-lawyer/ nebo článek s názvem „Why a lawyer shouldn’t be a DPO“ na blogu přední britské společnosti poskytující služby pověřence: https://blog.dpo-experts.com/blank/why-a-lawyer-shouldnt-be-a-dpo. 2 Viz Pokyny WP29 týkající se pověřenců pro ochranu osobních údajů. 3 Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail. php?id=18807. 4 Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail. php?id=18807. 5 Srov. webové stránky ÚOOÚ, sekce GDPR, Základní příručka k GDPR, Pověřenec pro ochranu osobních údajů: https://www.uoou. cz/9-poverenec-pro-nbsp-ochranu-osobnich-udaju/d-27280/p1=4744. 6 Viz Doporučení CCBE ohledně klíčových opatření pro advokáty k dosažení souladu s předpisy v souvislosti s GDPR, dostupné zde: http://www.bulletin-advokacie.cz/doporuceni-ccbe-ohledne-klicovych-opatreni.

7 Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail. php?id=18807. 8 Srov. webové stránky ÚOOÚ, sekce GDPR, Základní příručka k GDPR, Pověřenec pro ochranu osobních údajů: https://www.uoou. cz/9-poverenec-pro-nbsp-ochranu-osobnich-udaju/d-27280/p1=4744. 9 Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s. 10 Tamtéž. 11 Dle článku 37 odst. 6 GDPR může pověřenec pro ochranu osobních údajů být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb. 12 Srov. webové stránky ČAK, sekce GDPR, FAQ: https://www.cak.cz/scripts/detail. php?id=18807. 13 Viz Pokyny WP29 týkající se pověřenců pro ochranu osobních údajů. 14 Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s.