Role DPO ve firmě: Praktické zkušenosti po 5 letech GDPR
Praktické tipy5. července 20236 min čtení

Role DPO ve firmě: Praktické zkušenosti po 5 letech GDPR

Zpět na blog

Pověřenec pro ochranu osobních údajů v praxi

V květnu 2023 uplynulo pět let od nabytí účinnosti GDPR. Je to dostatečně dlouhá doba na to, abychom mohli objektivně zhodnotit, jak se role pověřence pro ochranu osobních údajů (DPO) v českých firmách vyvinula a jaké zkušenosti přinesla.

Kdo musí mít DPO

Připomeňme, že povinnost jmenovat DPO mají podle článku 37 GDPR tři kategorie subjektů:

  • Orgány veřejné moci a veřejné subjekty — s výjimkou soudů při výkonu soudní pravomoci.
  • Organizace, jejichž hlavní činnost vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů.
  • Organizace, jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů o trestních odsouzeních.

V praxi však doporučujeme zvážit jmenování DPO i firmám, které tuto povinnost nemají — přináší to jasnou strukturu odpovědnosti a usnadňuje komunikaci s dozorovým úřadem.

Nejčastější chyby při výkonu funkce DPO

Za pět let praxe jsme identifikovali několik opakujících se problémů:

Formální přístup bez reálného dopadu. Mnoho firem jmenovalo DPO jen „na papíře", aniž by mu poskytly dostatečné zdroje, přístup k informacím nebo nezávislost. DPO v takové pozici nemůže efektivně plnit svou roli.

Střet zájmů. Funkci DPO nelze kombinovat s pozicemi, které rozhodují o účelech a prostředcích zpracování osobních údajů. Typickým problémem je kumulace s pozicí IT manažera, vedoucího HR nebo právního oddělení.

Nedostatečná komunikace s vedením. DPO musí mít přímý přístup k nejvyššímu vedení organizace. V praxi se setkáváme s tím, že DPO reportuje na střední management a nemá možnost eskalovat kritická zjištění.

Co funguje v praxi

Naopak jsme identifikovali přístupy, které se osvědčily:

  • Pravidelné školení zaměstnanců — krátká, opakovaná školení jsou efektivnější než rozsáhlé jednorázové prezentace.
  • Integrace ochrany dat do firemních procesů od počátku (privacy by design), nikoli jako dodatečný požadavek.
  • Pravidelný interní audit zpracování osobních údajů — ideálně jednou ročně.
  • Srozumitelné interní směrnice s praktickými příklady relevantními pro konkrétní oddělení.

Doporučení pro efektivního DPO

DPO by měl být vnímán jako partner vedení, nikoliv jako překážka. Efektivní pověřenec rozumí obchodním potřebám firmy a dokáže navrhovat řešení, která jsou v souladu s GDPR a zároveň podporují firemní cíle. Ochrana osobních údajů není brzdou inovací — je jejich předpokladem.

G

GDPR24 tým

Specialisté na ochranu osobních údajů

Potřebujete pomoc s GDPR?

Připravíme vám kompletní GDPR dokumentaci na míru vaší firmě.

Začít zdarma