Pověřenec pro ochranu údajů

V evropském právu je delegát pro ochranu osobních údajů (ve zkratce DPD nebo DPO pro inspektora ochrany údajů ), je osoba odpovědná za ochranu osobních údajů v rámci organizace.

Evropské nařízení vstoupilo v platnost 25. května 2018. Nové znění zákona o ochraně údajů ze dne 6. ledna 1978 je v platnosti od 1. června 2019 a definuje zásadu ochrany údajů. Evropské nařízení je platné na evropské úrovni a stanoví, že společnosti provádějící činnosti v oblasti osobních údajů musí být kontrolovány inspektorem ochrany údajů, který je pro tento účel speciálně jmenován. Článek 37 evropského nařízení stanoví ustanovení týkající se inspektora ochrany údajů, na jejichž základě musí dotčené společnosti dodržovat své právní povinnosti.

Mise

Jeho hlavním posláním je na jedné straně informovat a radit své organizaci a na druhé straně kontrolovat uplatňování právních textů a interních pravidel týkajících se osobních údajů. Působí jako kontaktní místo mezi svou organizací a vnitrostátním dozorovým úřadem, jako je CNIL .

Jmenování inspektora ochrany údajů je někdy povinné. Delegát může být členem organizace, které radí, nebo pracovat jako externí konzultant. Může být také sdílen , když je stejný delegát jmenován několika strukturami. Delegát musí být ve všech případech vybaven prostředky k plnění svého poslání a být schopen jednat nezávisle.

Na evropské úrovni je pověřenec pro ochranu osobních údajů osobou odpovědnou za soulad s evropským nařízením o ochraně osobních údajů (GDPR) v organizaci.

Terminologie

Profesionální ochrana osobních údajů jsou v současné době označeny pod jmény Beauftragter für Datenschutz v Německu , Personuppgiftsombude ve Švédsku , functionaris voor de gegevensbescherming v Nizozemsku , Personas Datu aizsardzības Specialista v Litvě , Isikuandmete kaitse EEST vastutav isik v Estonsku , údajů o poplatcích za ochranu úředníka v Lucembursku , Pověřenec pro ochranu údajů v Belgii , Datenschutzberater / responsile della protezione dei dati ve Švýcarsku, Rapprezentant ta'data personali na Maltě , Belső adatvédelmi fele lős v Maďarsku , Dohľad nad ochranou osobních údajů na Slovensku a odpovědný za seguridad ve Španělsku .

Úředníci pro ochranu údajů jsou formálně a oficiálně jmenováni do Národní komise pro informatiku a svobody ( CNIL ). Jejich kontaktní údaje jsou zveřejňovány na data.gouv.fr platformě .

Výroční zpráva CNIL za rok 2015 naznačuje, že do Komise bylo jmenováno 4 321 korespondentů v oblasti ochrany údajů 16 406 správci údajů, soukromými i veřejnými. Ve své výroční zprávě za rok 2018 „CNIL ve zkratce“ CNIL uvádí, že 39 500 organizací jmenovalo delegáta, což představuje 16 000 delegátů na ochranu údajů. Očekává se, že tento počet do konce roku 2019 překročí 21 000.

V rámci přechodu na nová pravidla se francouzská Asociace korespondentů pro ochranu osobních údajů (AFCDP), asociace, která sdružuje ve Francii odborníci z IT dodržování a svobod a na ochranu osobních údajů , požádal, aby „ klauzule o dědečkovi “,   která by umožnila těm CIL, kteří si to přáli a kteří splnili nové požadavky, být potvrzeni ve své funkci DPO, aby bylo možné těžit z již provedené práce a zajistit co nejširší šíření informací duch zákona. Generální tajemník CNIL v lednu 2017 veřejně prohlásil na konferenci, na které se sešlo čtyři sta CIL: „Máme velký zájem na tom, aby většina z vás byla potvrzena jako DPO“.

Označení podle GDPR

Před evropským nařízením nebylo jmenování IT korespondenta zákonnou povinností. S evropským předpisem může být označení provedeno v nepsané podobě. Podnikatel jmenuje pověřence pro ochranu osobních údajů v souladu s předpisy a zavazuje se neprodleně informovat dozorový úřad a zveřejnit kontaktní údaje zástupce. Alternativně se podnikatelé mohou rozhodnout pro úředníka pro ochranu podnikových dat, pokud jsou snadno dosažitelní z jakékoli pobočky. Tato možnost je zvláště výhodná pro celoevropské společnosti s více kancelářemi, protože eliminuje potřebu mít více kontaktů a zajišťuje větší transparentnost a bezpečnost při zpracování a správě.

Externí přiřazení není nutně nutné, pokud existuje interní inspektor ochrany údajů s příslušnou kvalifikací. Nejvhodnější metoda závisí na tvaru a velikosti firmy a na pracovní zátěži DPO.

Výhody jmenování inspektora ochrany údajů

Určení osoby odpovědné za dodržování zákona o ochraně údajů a budoucích ustanovení obecného nařízení o ochraně údajů má tedy několik výhod:

• Posílení právní jistoty: jmenování inspektora ochrany údajů umožňuje identifikovat referenční bod pro otázky ochrany osobních údajů a je integrován do nových postupů správy, pokud jde o dodržování předpisů. To má za následek snížení rizik smluvních, správních a soudních sporů.
• Posílení bezpečnosti IT: DPO radí organizaci ohledně nových způsobů využití dat. Umožňuje vyhnout se strategickým chybám při spouštění nových služeb nebo produktů a následně optimalizovat investice, zásady archivace a outsourcingu a interní postupy týkající se bezpečnosti informací.
• Vektor důvěry vůči zúčastněným stranám: zřízení inspektora ochrany údajů v roce 2018 pravděpodobně uklidní lidi mimo organizaci (zákazníci, občané, dodavatelé, studenti, potenciální partneři atd.) A interní zaměstnanci o zárukách přijatých pro odpovědné shromažďování a zpracování osobních údajů .

Je to také důkaz etického a občanského závazku a nástroj pro posílení informačního dědictví.

Činnosti

Funkce

Funkce inspektora ochrany údajů je definována v obecném nařízení o ochraně osobních údajů (GDPR), 2016/679 ze dne 27. dubna 2016, zejména v 97. bodě odůvodnění a v jeho oddíle 4. Jmenování inspektora ochrany údajů je povinné pro všechny organizace splňující jedno z následujících kritérií:

• orgán je orgánem veřejné moci nebo orgánem veřejné moci, s výjimkou soudů jednajících při výkonu jejich soudní funkce;
• základní činnosti organizace zahrnují ošetření, která vyžadují pravidelné a systematické monitorování ve velkém rozsahu dotčených osob;
• základní činnosti organizace zahrnují rozsáhlé zpracování zvláštních kategorií údajů (rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborech, genetické údaje, biometrické údaje pro účely identifikace, údaje týkající se zdraví, údaje týkající se sexuální život nebo sexuální orientace, odsouzení za trestný čin, trestné činy).

V ostatních případech mohou organizace dobrovolně jmenovat inspektora ochrany údajů. Pověřence pro ochranu údajů lze sdílet mezi několika organizacemi. Inspektor ochrany údajů může být zaměstnancem nebo vykonávat své povinnosti na základě smlouvy o poskytování služeb.

Mise

Hlavní mise inspektora ochrany údajů jsou následující (článek 39):

• Informovat a zvyšovat povědomí, šířit kulturu „informačních technologií a svobod“: inspektor ochrany údajů provádí nebo řídí akce zaměřené na informování vedení a zaměstnanců o pravidlech, která je třeba dodržovat, pokud jde o ochranu osobních údajů;
• Zajistěte soulad s právním rámcem: inspektor ochrany údajů nezávisle sleduje soulad s evropským nařízením (GDPR), dalšími ustanoveními práva Unie nebo právem členských států a vnitřními pravidly jeho organizace týkajícími se ochrany osobních údajů. Jeho analýzy a rady se vztahují na subdodavatele a poskytovatele služeb, kteří se podílejí na zpracování, o kterém rozhodne správce. Zejména je úzce spojena s následujícími subjekty: EIVP (studie dopadu na soukromí), „soukromí již od návrhu“ (posouzení dopadů na soukromí od fáze návrhu) a oznámení o narušení údajů a komunikace dotčeným osobám. Musí být konzultován před implementací nového ošetření nebo podstatnou změnou probíhajícího ošetření a může učinit jakékoli doporučení pro správce údajů.
• Informovat a činit odpovědného, ​​v případě potřeby upozornit jeho správce: inspektor ochrany údajů okamžitě informuje správce o jakémkoli riziku, že iniciativy provozního personálu nebo nedodržení jeho doporučení by způsobilo organizaci a jejím vedoucím. Za tímto účelem může dát jakémukoli doporučení pro správce údajů a podat žádosti o rozhodčí řízení (je to správce údajů, který i přes doporučení inspektora ochrany údajů převezme odpovědnost za provedení léčby).
• Analyzujte, vyšetřujte, auditujte, kontrolujte: pověřenec pro ochranu osobních údajů provádí, zařizuje nebo spravuje kontrolovaným a nezávislým způsobem jakoukoli akci, která umožňuje posoudit míru shody organizace, upozornit na možný nesoulad. (závažnost, možné dopady na dotčené osoby, původ, odpovědnost atd.), ověřit soulad s právním rámcem nebo správné použití postupů, metod nebo pokynů týkajících se ochrany osobních údajů.
• Vytvářet a udržovat dokumentaci v rámci „Zodpovědnosti“: Pověřenec pro ochranu osobních údajů vytváří a udržuje dokumentaci týkající se zpracování osobních údajů (včetně registru zpracování), na odpovědnost Zpracovatele („Zodpovědnost“) a zajišťuje její přístup k dozorový úřad.
• Zprostředkování s dotčenými osobami: inspektor ochrany údajů přijímá stížnosti od osob dotčených zpracovatelskými operacemi, pro které byl jmenován, a zajišťuje dodržování práv jednotlivců. S těmito stížnostmi a stížnostmi zachází nestranně nebo zavádí příslušné postupy k zajištění jejich řádného zacházení.
• Interakce s dozorovým úřadem: inspektor ochrany údajů je privilegovaným kontaktním místem dozorového úřadu, se kterým komunikuje zcela nezávisle na záležitostech týkajících se zpracování prováděného orgánem, který „určil, včetně předchozí konzultace uvedené v článku 36 GDPR a v případě potřeby konzultovat jakékoli jiné téma.

Profily

Stávající úředníci pro ochranu údajů mají velmi heterogenní profily.

Studie provedená na žádost CNIL u příležitosti desátého výročí korespondence v oboru IT a svobod v říjnu 2015 ukázala, že 47% odborníků mělo technické školení (IT), následované osobami s právnickým vzděláním. Podobná studie, kterou v roce 2012 provedla agentura AFCDP, ukázala, že zbytek CIL následoval počáteční studie v oblasti kvality, řízení rizik, kontroly řízení a řízení lidských zdrojů.

Tato rozmanitost v rámci DPO přetrvává, protože průzkum provedený v roce 2019 generální delegací pro zaměstnanost a odborné vzdělávání (DGEFIP) ukazuje vyvážené rozdělení mezi právní (31,1%), IT (34, 9%) a ostatní (34%). Tuto rozmanitost lze nalézt v různých odvětvích, přičemž nárůst právního profilu potvrzují průzkumy prováděné v letech 2011 až 2019 sítí SupDPO  : v roce 2019 ji tvořilo 38% DPO s právními profily a 41% DPO s právními profily IT profil.

Ačkoli to není povinné, existují osvědčení, která se stanou DPO. Dne 20. září 2018 přijal výbor CNIL dva standardy pro certifikaci dovedností inspektora ochrany údajů:

• Certifikační referenční systém stanovující podmínky pro přípustnost žádostí a seznam 17 dovedností a know-how, u nichž se očekává, že budou certifikovány DPO.
• Akreditační standard, který stanoví kritéria platná pro organizace, které chtějí mít povolení od CNIL, k certifikaci dovedností inspektora ochrany údajů na základě certifikačního standardu.

Profese se také věnují vysokoškolské kurzy, jako jsou specializované magisterské programy a vysokoškolské diplomy.

Mzdy

Studie „Privacy Professional's - Role, Function and Salary Survey 2011“, kterou provedla IAPP ( International Association of Privacy Professionals ), naznačuje, že američtí odborníci na ochranu soukromí vydělávají více než 300 000  $ ročně na 1% z nich, mezi 200 000  $ a 300 000  $ ročně na 5% mezi nimi, mezi 150 000  $ a 200 000  $ za 13% a mezi 100 000  $ a 150 000  $ až 37%.

Studie nazvaná „Ochrana Professional je - Úloha, funkce a platový průzkum 2011“ IAPP Canada uvádí, že kanadský profesionální ochrana soukromí vydělává mezi 100 000  $ a 200 000  $ ročně v soukromém sektoru (plus bonus), a mezi 75 000  $ a 150 000  $ ročně ve veřejném sektoru.

Studie „Soukromí profesionálů - průzkum rolí, funkcí a platů 2010“ IAPP Europe uvádí, že evropští odborníci na ochranu soukromí vydělávají mezi 150 000  $ a 200 000  $ ročně na 9%, mezi 100 000  $ a 150 000  $ za 26% a mezi 50 000  $ a 100 000  $ až 49%. Kromě toho 30% z těchto profesionálů dostává také akciové opce a 60% bonusy.

Podle studie provedené AFCDP v roce 2012 činil průměrný plat CIL 47 000  EUR v hrubém za rok.

Hlavní vývoj ve vztahu k korespondentovi v oblasti IT a svobod

Úředník pro ochranu údajů, který je vývojem vyslaného na ochranu osobních údajů podle směrnice 95/46 / ES , si zachoval mnoho charakteristik, jako je jeho nezávislost, možnost vykonávat úkoly na částečný úvazek, skutečnost, že musí zůstat bez střetu zájmů, jeho co nejpřímějšího spojení se správcem údajů nebo rozhodovacím orgánem, jeho role rozhraní s CNIL , nedostatku osobní odpovědnosti. Je rovněž pravděpodobné, že pověřenec pro ochranu osobních údajů bude pokračovat v úkolech CIL: vypracování souborů formalit s CNIL pro zpracování, které není osvobozeno od formalit, vypracování politiky ochrany osobních údajů , zvyšování povědomí zaměstnanců o ustanoveních zákona, vývoje a kontrola uplatňování zvláštních kodexů chování.

Hlavní vývoj inspektora ochrany údajů ve srovnání s korespondentem IT a současnými svobodami je:

• Od nepovinného se delegát stává povinným v několika případech;
• Subdodavatelé, pokud splňují kritéria, budou rovněž povinni jednoho jmenovat;
• Kontaktní údaje delegáta budou zveřejněny;
• Skupinám společností bude snazší jmenovat inspektora ochrany údajů, který jim bude společný;
• Správci údajů budou mít úplnou svobodu jmenovat delegáta mimo organizaci, zatímco tato možnost byla nabízena pouze organizacím s méně než padesáti zaměstnanci, kteří mají přístup k datům (externí inspektori ochrany údajů si musí uzavřít pojištění profesní odpovědnosti. ).

Jiné změny nejsou v nařízení výslovně zmíněny, ale vycházejí z jeho ustanovení. Pověřenec pro ochranu osobních údajů tedy:

• zajistí, aby byly prováděny a pravidelně aktualizovány analýzy rizik a studie dopadů pro dotčené osoby týkající se nejcitlivějších operací zpracování;
• zajišťuje novou povinnost odpovědnosti stanovenou v obecném nařízení o údajích, která vyžaduje prokázání souladu, poskytnutím orgánu dozoru na jeho žádost důkazy (dokumentace, postupy a procesy, plán vnitřní kontroly, soupis rizik, výsledky auditů a nápravná opatření přijatá v důsledku toho atd.);
• zajišťuje, že orgán v případě potřeby upozorní CNIL na porušení zpracování osobních údajů, nebo dokonce sdělí dotyčným osobám, pokud je pravděpodobné, že porušení bude představovat vysoké riziko pro práva a svobody fyzické osoby.

Sankce v případě porušení GDPR

Doposud byla uložena maximální pokuta ve výši 50 000 EUR za úmyslné nebo nedbalosti jmenování inspektora ochrany údajů. Od 25. května 2018 se pokuta zvýší na 2% z celkového ročního obratu až na 10 milionů eur. Orgán dozoru si vyhrazuje právo uložit vyšší pokutu. Úředníci pro ochranu údajů musí prokázat různé kvalifikace a být připraveni přizpůsobit se změnám v informačních technologiích. Další vzdělávání a právní znalosti jsou zásadní. Osoby, které nejsou součástí dozorčí rady nebo vedení společnosti, jsou úředníci pro ochranu údajů. I když je kombinace povolena, může tato konstelace vést k předsudkům a bránit dodržování základních předpisů o ochraně údajů.

Po vstupu EU OVDS v platnost by úvěrové kanceláře a společnosti zpracovávající údaje měly podléhat kontrole pověřence pro ochranu údajů, což zajistí integritu a odbornost jejich správy údajů. Nedodržení této povinnosti bude mít za následek značné pokuty pro dotyčnou společnost.

GDPR přináší nové požadavky týkající se propouštění a ukončení pracovního poměru pověřence pro ochranu osobních údajů pro veřejné orgány a soukromé organizace. DPO podléhají zvláštní ochraně proti propuštění, povinnosti mlčenlivosti a právu odmítnout svědčit.

Bibliografie

• Pověřenec pro ochranu osobních údajů. Nová pozice ve společnosti , Brusel, vydání Bruylant, kolekce Minilex, 3. vydání, 2020.
• Kolektivní inspektor ochrany údajů: mnohem víc než jen práce , vydání AFCDP, Paříž, 2015, 574 s. ( ISBN  978-2-9552430-0-8 )
• Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés , edice Lexis Nexis, kolekce „Droit & Professionnels“, 2013, 374 s. ( ISBN  978-2711018864 )

Poznámky a odkazy

1. „  RGPD - článek 37 - jmenování inspektora ochrany údajů  “ , na colibri-dpo.com (přístup 22. září 2020 )
2. Srovnávací analýza úředníků pro ochranu údajů , CEDPO, 2012
3. CNIL soubor údajů o organizacích, které se jmenuje inspektora ochrany údajů (DPD / DPO)
4. Výroční zpráva CNIL za rok 2015
5. CNIL ve zkratce 2019
6. „  RGPD - Consident 97  “ , na colibri-dpo.com (přístup 22. září 2020 )
7. „  RGPD - Section 4  “ , na colibri-dpo.com (přístup 22. září 2020 )
8. „  RGPD - článek 39 - Mise inspektora ochrany údajů  “ , na colibri-dpo.com (přístup 22. září 2020 )
9. „  RGPD - článek 36 - Předchozí konzultace  “ , na colibri-dpo.com (přístup 22. září 2020 )
10. „  CNIL: Profese budoucnosti  “ , na cnil.fr ,13. října 2015(zpřístupněno 25. dubna 2016 )
11. Výsledky průzkumu „Implementace obecného nařízení o ochraně osobních údajů“, únor-duben 2019
12. Článek a výsledky průzkumu sítě DPO pro vysoké školství, výzkum a inovace z roku 2019
13. "  Certifikace dovedností DPO: výbor CNIL přijímá dva standardy | CNIL  ” , na www.cnil.fr (konzultováno 22. září 2020 )
14. Článek „Čtyři otázky týkající se práce ... inspektora ochrany údajů“ ze dne 7. března 2020
15. Průzkum školení prováděného sítí SupDPO jako součást partnerství mezi CNIL a CPU
16. „  Privacy Professional: Role, Function and Salary Survey 2011  “ , na iapp.org ,14. února 2012(zpřístupněno 25. dubna 2016 )
17. „  Role, funkce a platový průzkum profesionála v oblasti ochrany osobních údajů 2011  “ , na iapp.org ,14. února 2012(zpřístupněno 25. dubna 2016 )
18. „  Role, funkce a platy 2010 Data Protection Professional  “ , na iapp.org ,14. února 2012(zpřístupněno 25. dubna 2016 )

Podívejte se také

Související články

• Zákon o ochraně osobních údajů
• Osobní data
• Anonymita na internetu
• IT a korespondent svobody
• Charty práva na digitální zapomnění
• AFCDP Francouzská asociace korespondentů pro ochranu osobních údajů
• GDPR (nařízení o původu DPD / DPO)
• PIA (metoda a počítačový nástroj)

externí odkazy

• Sekce CNIL „Pověřenec  pro ochranu údajů (DPO)  “
• Stránka francouzského sdružení korespondentů pro ochranu osobních údajů
• CEDPO, Konfederace evropských organizací na ochranu údajů
• „  Data Protection Officer  “ , on European Commission - European Commission (konzultováno 9. června 2018 )