Postavení a úkoly pověřence
Především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnanců, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s obecným nařízením a dalšími předpisy. Pověřenec poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Pověřenec může vypracovat záznamy o činnostech zpracování. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s Úřadem a působení jako kontaktní místo. Pověřenec může plnit i ostatní úkoly, ale při jejich plnění se nesmí dostat do střetu zájmů s funkcí pověřence.
Pověřenec pro ochranu osobních údajů musí být v záležitostech ochrany osobních údajů přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Vzhledem k tomu, že v souladu s článkem 38 (odst. 6) obecného nařízení může plnit i jiné úkoly a povinnosti, pokud nevedou ke střetu zájmů, neznamená to nutně, že při plnění těchto jiných úkolů musí pověřence řídit přímo vedení organizace. Pověřenec však musí mít přímý přístup k vedení organizace z hlediska komunikace, při předávání informací mezi vedením organizace a pověřencem by neměl být mezičlánek. Pověřenec musí mít možnost se na vedení organizace kdykoli obracet v záležitostech ochrany osobních údajů. Lze tak doporučit, aby měl možnost zúčastnit se porad vedení organizace.
Viz pokyn Evropského sboru pro ochranu osobních údajů WP243, příloha „Často kladené otázky“. Podle čl. 37 odst. 6 může být pověřenec pro ochranu osobních údajů pracovníkem správce či zpracovatele (interní pověřenec pro ochranu osobních údajů), nebo může úkoly plnit na základě smlouvy o poskytování služeb. To znamená, že pověřenec pro ochranu osobních údajů může být externí, a v tomto případě může být jeho funkce vykonávána na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo s organizací. Je-li pověřenec pro ochranu osobních údajů externí, vztahují se na něj veškeré požadavky podle článků 37 až 39 obecného nařízení.
Obecné nařízení tuto možnost nevylučuje, resp. umožňuje i jeho fungování na základě smlouvy o poskytování služeb. Vždy však musí být, v případě, že pověřence jako službu poskytuje právnická osoba, určena konkrétní fyzická osoba, která funkci pověřence bude vykonávat. Při uvažování o využití služby pověřence by měl správce vzít v úvahu i to, že pověřencem by měla být osoba, která zpracování osobních údajů u správce detailně pozná a pouze tak dokáže identifikovat případná riziková místa či slabiny, což u najatého pověřence být vždy nemusí. Také je vhodné zvážit konkurenční hledisko, kdy jeden poskytovatel pověřence může poskytovat stejného pověřence i pro konkurenta a hrozí tak i vyzrazení know-how.
V zájmu právní jasnosti a dobré organizace pokyny Sboru doporučují ve smlouvě o poskytování služeb jasně rozdělit úkoly v rámci externího týmu pověřenců pro ochranu osobních údajů a určit jednu osobu jakožto hlavní kontakt a „odpovědnou“ osobu pro klienta.
V případě externího pověřence je rovněž nutné zohlednit, zdali společnost zajišťující služby v oblasti ochrany osobních údajů není dodavatelem i jiného druhu služeb souvisejícího s ochranou osobních údajů, jako jsou např. IT služby. I v situaci, kdy výkon funkce pověřence a osoby zajišťující IT servis neprovádí jeden člověk, avšak oba tito zaměstnanci pracují pro stejnou společnost, nelze takovýto stav doporučit s ohledem na možný střet zájmů.
Obecné nařízení takovou povinnost výslovně nestanovuje. Pouze v jeho článku 38 odst. 1 se uvádí, že správce a zpracovatel zajistí, aby byl pověřenec náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. K úkolům pověřence pak podle článku 39 odst. 1 písm. a) a písm. b) patří poskytování informací a poradenství správcům nebo zpracovatelům, monitorování souladu s tímto nařízením a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti a zvyšování povědomí či odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů.
Jestliže správce v rámci těchto úkolů uloží pověřenci vypracovat zprávu o zpracování osobních údajů v organizaci za uplynulý rok, není to v rozporu s postavením této funkce. Správce nebo i zpracovatel, který pověřence jmenoval, tak tedy může učinit. Tento krok je pak třeba na prvém místě chápat jako výraz správcova zájmu o problematiku ochrany osobních údajů a výslednou zprávu pověřence pak rovněž jako vhodný nástroj informování a ověření, zda mu sám vytvořil podmínky požadované obecným nařízením. Zejména se jedná o to, zda byl pověřenec v období pokrývaném zprávou náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů a zda zdroje, které mu správce k plnění úkolů poskytl, potřebám této funkce odpovídají.