Pověřenec pro ochranu osobních údajů v praxi
V květnu 2023 uplynulo pět let od nabytí účinnosti GDPR. Je to dostatečně dlouhá doba na to, abychom mohli objektivně zhodnotit, jak se role pověřence pro ochranu osobních údajů (DPO) v českých firmách vyvinula a jaké zkušenosti přinesla.
Kdo musí mít DPO
Připomeňme, že povinnost jmenovat DPO mají podle článku 37 GDPR tři kategorie subjektů:
- Orgány veřejné moci a veřejné subjekty — s výjimkou soudů při výkonu soudní pravomoci.
- Organizace, jejichž hlavní činnost vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů.
- Organizace, jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů o trestních odsouzeních.
V praxi však doporučujeme zvážit jmenování DPO i firmám, které tuto povinnost nemají — přináší to jasnou strukturu odpovědnosti a usnadňuje komunikaci s dozorovým úřadem.
Nejčastější chyby při výkonu funkce DPO
Za pět let praxe jsme identifikovali několik opakujících se problémů:
Formální přístup bez reálného dopadu. Mnoho firem jmenovalo DPO jen „na papíře", aniž by mu poskytly dostatečné zdroje, přístup k informacím nebo nezávislost. DPO v takové pozici nemůže efektivně plnit svou roli.
Střet zájmů. Funkci DPO nelze kombinovat s pozicemi, které rozhodují o účelech a prostředcích zpracování osobních údajů. Typickým problémem je kumulace s pozicí IT manažera, vedoucího HR nebo právního oddělení.
Nedostatečná komunikace s vedením. DPO musí mít přímý přístup k nejvyššímu vedení organizace. V praxi se setkáváme s tím, že DPO reportuje na střední management a nemá možnost eskalovat kritická zjištění.
Co funguje v praxi
Naopak jsme identifikovali přístupy, které se osvědčily:
- Pravidelné školení zaměstnanců — krátká, opakovaná školení jsou efektivnější než rozsáhlé jednorázové prezentace.
- Integrace ochrany dat do firemních procesů od počátku (privacy by design), nikoli jako dodatečný požadavek.
- Pravidelný interní audit zpracování osobních údajů — ideálně jednou ročně.
- Srozumitelné interní směrnice s praktickými příklady relevantními pro konkrétní oddělení.
Doporučení pro efektivního DPO
DPO by měl být vnímán jako partner vedení, nikoliv jako překážka. Efektivní pověřenec rozumí obchodním potřebám firmy a dokáže navrhovat řešení, která jsou v souladu s GDPR a zároveň podporují firemní cíle. Ochrana osobních údajů není brzdou inovací — je jejich předpokladem.
GDPR24 tým
Specialisté na ochranu osobních údajů