Obecné nařízení o ochraně osobních údajů kromě pravomocí a povinností správce a zpracovatele uvádí další důležitou osobu, která bude pro určité organizace pro plnění některých povinností z tohoto nařízení naprosto klíčová. Jedná se právě o tzv. Data Protection Officer, který je v českém překladu tohoto nařízení označen jako Pověřenec pro ochranu osobních údajů. V tomto článku se vám pokusíme přiblížit podstatu funkce pověřence, jaké kvality se od pověřence očekávají, které organizace s jeho jmenování musí počítat či jak je to s jeho odpovědností. V prvé řadě je dobré podotknout, že pověřenec je osobou odlišnou od správce a zpracovatele. Pro označení základních úkolů pověřence si můžeme vypomoci zkratkou jeho anglického označení, jedná se tedy o: D – dohled P – pověřenost O – odbornost Pověřenec by tedy v prvé řadě měl vykonávat dohled nad zpracováním osobních údajů i povinnostmi vyplývajících z nařízení a mimo jiné také provádět interní audit. Dále je pověřený spoluprací s tzv. dozorovým úřadem a měl by fungovat i jako kontaktní místo pro tento dozorový úřad v záležitostech týkajících se právě zpracování osobních údajů. A v neposlední řade se bude jednat o odborníka na slovo vzatého právě v rámci problematiky zpracování osobních údajů. Na pověřence se tak mohou s žádostmi o informace a poradenství obracet nejen správci a zpracovatelé, ale také zaměstnanci, kteří provádí zpracování osobních údajů. V rámci této odbornosti by tak pověřenec měl rozšiřovat povědomí i odbornou přípravu pracovníků zapojených do operací zpracování osobních údajů a souvisejících auditů. Právě s posledně jmenovaným se pojí i nároky kladené na budoucího pověřence. Přestože samo nařízení nediktuje, jakých kvalit by měl pověřenec dosahovat, z logiky věci vyplývá, že aspirant na pověřence by měl být kovaný v národní i evropské legislativě, samozřejmá je důkladná znalost předmětného nařízení a praxe v oboru ochrany osobních údajů. Pověřenec nemusí být zaměstnancem, naopak správci mohou služeb pověřence využívat externě. Dokonce není vyloučeno, aby jeden pověřenec vykonával činnost pro více správců s podobnou organizační strukturou. Na druhou stranu by však právě s organizační strukturou neměl být nijak výrazně spjat, aby nedošlo k zakázanému střetu zájmů. Není tedy vhodné, aby pověřenec byl např. marketingový či obchodním ředitelem, ale ani ředitel IT či personálního oddělení není vhodným kandidátem na pověřence. Tím se dostáváme k nejzásadnější otázce: kdo, resp. které organizace právě od května 2018 musí s pověřencem počítat. Dle nařízení mají povinnost pověřence jmenovat ve třech případech: Zatímco první příklad je víceméně jasný, otázka by mohla vyvstat při určení správce/zpracovatele, který vykonává rozsáhlé a systematické monitorování. Typicky se tak bude jednat o nemocnice, které zpracovávají údaje o pacientech v rámci běžné činnosti, či o banky a nemocnice, které zpracovávají zákaznická data v rámci běžné obchodní činnosti. Pověřence budou muset jmenovat i ty společnosti, které zpracovávají cestovní data jednotlivců používajících MHD a svého pověřence budou jmenovat i poskytovatelé telefonních a internetových služeb (např. e-shopy) při zpracování obsahových, provozních či lokalizačních dat. Monitorováním pak rozumíme známé cílení internetové reklamy pomocí e-mailu, v dnešní době všudypřítomné sledování polohy u mobilních aplikací či např. různé věrnostní programy.
