13. Ochrana osobních údajů

Správci a zpracovatelé jsou za určitých podmínek – pokud provádějí zpracování uvedená v čl. 37 odst. 1 GDPR (tedy mj. vždy, když zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí), povinni jmenovat pověřence pro ochranu osobních údajů a jeho kontaktní údaje zveřejnit a nahlásit dozorovému úřadu.
GDPR ani zákon č. 110/2019 Sb. neklade vůči pověřencům pro ochranu osobních údajů žádné striktní kvalifikační požadavky, GDPR pouze obecně stanoví, že musí být jmenován na základě svých profesních kvalit, zejména na základě odborných znalostí práva a praxe v oblasti ochrany osobních údajů a na základě schopnosti plnit své úkoly.

Pověřenec pro ochranu osobních údajů musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Nejde však o podmínku organizační, tj. že pověřence musí řídit přímo vedení organizace, ale jde o podmínku, aby pověřenec měl přímý přístup k vedení organizace, tj. aby při předávání informací vedení organizace nebyl mezi pověřencem a vedením další mezičlánek a pověřenec se tak na vedení organizace mohl kdykoli obrátit v záležitostech ochrany osobních údajů.

Hlavním úkolem pověřence je především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnanců, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s GDPR a dalšími předpisy. Také poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s dozorovým úřadem a působení jako kontaktní místo.

Pověřenec může plnit i ostatní úkoly, ale při jejich plnění se nesmí dostat do střetu zájmů s funkcí pověřence. GDPR pak vůči pověřenci nevyvozuje žádnou přímou odpovědnost.