Z nařízení evropského parlamentu a rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, známého pod zkratkou GDPR, vyplynula řada povinností pro nejrůznější subjekty, mezi jinými i pro organizace a obce. Správcům i zpracovatelům osobních údajů vznikne m.j. povinnosti také povinnost jmenovat pověřence pro ochran u osobních údajů. Pověřence by měl správcům či zpracovatelům usnadnit dodržování souladu jejich činnosti s požadavky GDPR.
Proč je smlouva o výkonu funkce pověřence nutná
Tato funkce byla v členských zemích EU zavedena směrnicí 95/46/ES. Česká republika se vydala cestou registrační povinnosti a nevyužila možnost spočívající v zakotvení funkce pověřence v právním řádu.
Pověřenec ustanovený na základě směrnice měl nezávislým způsobem zajistit interní uplatňování vnitrostátních předpisů přijatých k provedení směrnice a také vést seznam zpracování prováděných správcem.
Obdobnou úlohu bude mít pověřence i podle GDPR, ovšem nyní se v Česku bude muset uzavírat smlouva o výkonu funkce pověřence, protože tento institut není zakotven v českém právním řádu. Možnosti vytvořit si předpoklady pro výkon funkce pověřence si vytvořilo pouze pět členských států (Německo, Nizozemí, Švédsko, Lucembursko a Francie).
Povinnost jmenování pověřence
Povinnost jmenování pověřence mají orgány veřejné moci. Nejprve je třeba vyhodnotit, zda z činnosti subjektu vyplývají důvody pro jmenování a fungování pověřence. Pokud se dojde k závěru, že jmenování pověřence není nutné a správce jej nejmenuje ani dobrovolně, měl by takový správce doložit interní vyhodnocení s uvedením relevantních důvodů.
Dobrovolný pověřenec
Povinnost jmenování pověřence pro ochranu osobních údajů se sice od května 2018 nebude vztahovat na všechny správce a zpracovatele, ale doporučuje se dobrovolné jmenování pověřence, jehož existence by snížila riziko porušení pravidel GDPR.
Kdo může být pověřencem a co bude dělat
Tuto funkci může vykonávat zaměstnance správce či zpracovatele nebo externista na základě smlouvy o poskytování služeb. Musí to být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat obecná nařízení.
Smlouva s pověřencem musí být v písemné podobě a má povinná ustanovení.
Hlavním úkolem pověřence je monitorování souladu činností zpracování osobních údajů s nařízením o GDPR. Klíčová bude jeho spolupráce s dozorovými úřady.
Obsah smlouvy s pověřencem
V první řadě je důležitá přesná identifikace účastníků smlouvy, kterými jsou objednavatel a poskytovatel (pověřenec). Dále musí být popsán předmět smlouvy, kterým jsou vzájemné povinnosti. Objednavatel se zavazuje platit odměnu pověřenci, který je povinen plnit úkoly v souvislosti s ochranou osobních údajů zaměstnanců či občanů.
V dalších ustanoveních se uvede doba trvání smlouvy a formy jejího ukončení. K platnosti smlouvy je nutný datum jejího uzavření a podpisy obou smluvních stran.
Zpracovatelská smlouva
Zpracovatelská smlouva byla již dříve uzavírána mezi správcem a zpracovatelem. Z nařízení o GDPR vyplývají nové povinné údaje, které musí zpracovatelská smlouva obsahovat.
Jsou jimi předmět zpracování a doba, po kterou bude zpracování probíhat.
Smlouva upravuje práva a povinnosti správce a zpracovatele, kategorie a typy zpracovávaných osobních údajů, typ a rozsah zpracování, účely a právní tituly. Kromě povinných náležitostí musí zpracovatelská smlouva řešit i další povinné body.
Vzor smlouvy o zřízení pověřence
Pokud je použit vzor smlouvy o zřízení pověřence, je třeba jej přizpůsobit konkrétním podmínkám.
