DPO ve firmě: kdo ho potřebuje a co konkrétně dělá?
DPO je povinná role pro veřejné subjekty a firmy s rozsáhlým zpracováním osobních údajů. Co konkrétně DPO dělá a kdy ji obsadit interně nebo externě?
DPO (Data Protection Officer, česky pověřenec pro ochranu osobních údajů) je povinná role pro veřejné subjekty a pro firmy, které ve velkém rozsahu monitorují fyzické osoby nebo zpracovávají citlivé údaje. Definice povinnosti, úkolů a postavení DPO vyplývá z článků 37 až 39 GDPR (nařízení EU 2016/679) ↗. Tento článek vysvětluje, kdo DPO musí mít, co konkrétně DPO dělá a jestli ji obsadit interně nebo externě.
Co je DPO a co konkrétně dělá?
DPO je odborně způsobilá osoba zodpovědná za dohled nad dodržováním pravidel ochrany osobních údajů ve firmě. Není to čistě právník ani čistě IT specialista, ale multifunkční role na rozhraní práva, IT a procesního řízení. Konkrétní úkoly DPO definuje článek 39 GDPR ↗:
- Informování a poradenství správci, zpracovateli a zaměstnancům o povinnostech vyplývajících z GDPR
- Monitorování souladu s GDPR a interními pravidly ochrany osobních údajů
- Poradenství k DPIA (Data Protection Impact Assessment) a kontrola jejího provedení
- Spolupráce s dozorovým úřadem (v ČR ÚOOÚ)
- Působení jako kontaktní místo pro dozorový úřad i subjekty údajů
DPO je tedy v rovině compliance, vzdělávací i poradenské. V praxi pomáhá firmě interpretovat GDPR požadavky do konkrétních procesů, vede registry zpracování, řeší žádosti subjektů údajů (právo na výmaz, přenositelnost, omezení zpracování) a v případě úniku osobních údajů koordinuje hlášení dozorovému úřadu do 72 hodin.
Kdo musí mít DPO?
Článek 37 GDPR ↗ stanovuje tři případy, kdy je jmenování DPO povinné:
- Veřejný orgán nebo veřejný subjekt (s výjimkou soudů v rozhodovací činnosti)
- Hlavní činnost správce nebo zpracovatele spočívá v rozsáhlém pravidelném a systematickém monitorování fyzických osob (typicky finanční instituce s tracking aktivit klientů, telco operátoři, provozovatelé rozsáhlého video-monitoringu)
- Hlavní činnost správce nebo zpracovatele spočívá v rozsáhlém zpracování zvláštních kategorií údajů (zdravotní, biometrické, údaje o víře, sexuální orientaci) nebo údajů o trestných činech (typicky nemocnice, zdravotní pojišťovny, právnické firmy s velkým objemem citlivých kauz)
Pokud nesplňujete žádné z těchto kritérií, DPO nemusíte jmenovat, ale stále musíte plnit GDPR. Mnoho firem si DPO jmenuje dobrovolně, protože konsoliduje compliance odpovědnost na jednu osobu.
U české veřejné správy je DPO zpravidla povinný napříč úřady, samosprávami i státními příspěvkovými organizacemi. U soukromého sektoru závisí povinnost na charakteru zpracování. Typicky se DPO dotýká nemocnic, pojišťoven, bank, telco operátorů, marketingových firem s pravidelným profilováním a velkých výrobních nebo obchodních subjektů s rozsáhlými HR a CRM databázemi.
Jaké má DPO postavení ve firmě?
Článek 38 GDPR ↗ zaručuje DPO nezávislost a přístup k vrcholovému vedení. Nezávislost znamená, že DPO nelze propustit ani znevýhodnit za výkon jeho úkolů. Konkrétní požadavky:
- DPO musí být zapojen do všech otázek souvisejících s ochranou osobních údajů včas a vhodným způsobem
- Musí dostávat dostatečné zdroje (čas, rozpočet, přístup k informacím a údajům)
- Reportuje přímo nejvyššímu vedení správce nebo zpracovatele
- Nesmí být znevýhodňován, propouštěn ani postihován za plnění svých úkolů
- Nesmí mít konflikt zájmů. Typicky tedy nemůže být zároveň ředitelem IT, HR ani vrcholovým marketingovým rozhodovatelem
Konflikt zájmů je častá past. DPO nemůže být ředitelem IT (rozhoduje o systémech, které sám má kontrolovat), HR ředitelem (rozhoduje o zpracování zaměstnaneckých údajů, které sám dohlíží), ani vrcholovým marketingovým rozhodovatelem. V malých firmách to může vést k nutnosti externího DPO.
DPO interně, nebo externě?
Článek 37 odst. 6 GDPR ↗ výslovně připouští obě možnosti: interního zaměstnance i externí pověřenou osobu na základě smlouvy. Volba závisí na velikosti firmy, intenzitě zpracování, dostupné expertíze a rozpočtu.
| Aspekt | Interní DPO | Externí DPO |
|---|---|---|
| Znalost prostředí | Vysoká, denní kontakt | Nižší, vyžaduje onboarding |
| Nezávislost | Riziko konfliktu zájmů | Strukturální nezávislost |
| Náklady | Plný úvazek (typicky 80 až 150 tis. Kč/měs.) | Smluvní (typicky 10 až 40 tis. Kč/měs.) |
| Dostupnost | Plná | Smluvně dohodnutý rozsah |
| Expertíza | Závislá na konkrétní osobě | Typicky vyšší (více klientů, více kauz) |
| Vhodné pro | Velké firmy s vysokou intenzitou zpracování | Středně velké firmy nebo firmy s nižší intenzitou zpracování |
Externí DPO je v praxi nejčastější volbou středně velkých firem v ČR. Konsoliduje agendu, zajistí strukturální nezávislost a sníží fixní náklady. Jak vypadá pronájem DPO role v praxi popisuje pronájem bezpečnostních rolí.
Jaké hrozí sankce?
Sankce za porušení GDPR upravuje článek 83 GDPR ↗. Pokuty jsou ve dvou úrovních podle závažnosti porušení:
- Vyšší sankce: až 20 milionů EUR nebo 4 % celosvětového ročního obratu (vyšší z obou částek). Za nedodržení základních principů zpracování, práv subjektů údajů a pravidel mezinárodních přenosů.
- Nižší sankce: až 10 milionů EUR nebo 2 % celosvětového ročního obratu. Za méně závažná porušení, např. nesprávné jmenování DPO, neudržování záznamů o činnostech zpracování, nezabezpečení zpracování.
Sankce ukládá v ČR ÚOOÚ (Úřad pro ochranu osobních údajů) ↗. Reálně udělené pokuty se v ČR pohybují v řádech statisíců až milionů korun. Historicky vysoké pokuty padly na obchodní řetězce, finanční instituce a marketingové firmy s nedbalou prací s cookies a personalizací. Vedle finančních pokut hrozí reputační dopady: rozhodnutí ÚOOÚ jsou veřejná.
Jak DPO souvisí s ostatními compliance rolemi?
DPO je často zaměňován s manažerem kybernetické bezpečnosti nebo CISO. Jde ale o jiné role s odlišným regulačním backingem:
- DPO: ochrana osobních údajů, GDPR, články 37 až 39
- Manažer kybernetické bezpečnosti: informační a kybernetická bezpečnost, NIS2 / ZoKB
- CISO (Chief Information Security Officer): strategická role pro information security, není povinná žádnou regulací
- ISO / pověřenec utajované skutečnosti: utajované informace dle zákona 412/2005 Sb.
V praxi může jedna osoba pokrýt více rolí, pokud je prokazatelně způsobilá a nemá konflikt zájmů. Typicky se ale DPO drží oddělená od bezpečnostního manažera, protože GDPR a NIS2 mají sice překryv, ale oba jsou full-time agendy ve velkých firmách. Paralelní compliance framework NIS2 detailně rozebírá článek o povinnostech NIS2.
Časté dotazy k DPO a GDPR
DPO je povinná role pro veřejné subjekty a pro firmy s rozsáhlým zpracováním osobních údajů. Pokud řešíte, jestli musíte DPO mít, doporučujeme začít gap analýzou, která vyhodnotí váš stav vůči GDPR i NIS2 a doporučí další postup. Pro samotné obsazení DPO role nabízíme pronájem bezpečnostních rolí, tedy DPO jako externí součinnost v dohodnutém rozsahu, bez nákladů na full-time pozici. Pro dlouhodobou compliance agendu mimo GDPR navíc zajišťujeme cyber security governance, která pokrývá NIS2 / ZoKB i další regulace.
