Povinnosti externího pověřence — co GDPR skutečně vyžaduje

Článek 37 odst. 1 GDPR stanoví povinnost jmenovat pověřence ve třech případech: když zpracování provádí orgán veřejné moci nebo veřejný subjekt, když hlavní činnosti vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém měřítku, nebo když hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů (článek 9) nebo údajů týkajících se odsouzení v trestních věcech (článek 10). Mnohé členské státy EU tyto požadavky rozšířily prostřednictvím vnitrostátních právních předpisů. Německo například vyžaduje pověřence pro jakoukoli organizaci s 20 nebo více zaměstnanci pravidelně se podílejícími na automatizovaném zpracování osobních údajů. Další země mají podobné limity nebo sektorové požadavky. Organizace mohou jmenovat interního nebo externího pověřence. Externí pověřenec působí na základě servisní smlouvy (článek 37 odst. 6) a může obsluhovat více organizací — což z toho činí životaschopný obchodní model pro odborníky na ochranu soukromí. GDPR to výslovně umožňuje za předpokladu, že pověřenec je dostupný pro každou organizaci a může své úkoly vykonávat efektivně. Trend k externím pověřencům se zrychluje. Menší a středně velké organizace často nedokáží ospravedlnit plný interní úvazek pověřence a NIS2 přivedla tisíce dalších společností do rozsahu působnosti. Externí pověřenci, kteří mohou efektivně obsluhovat 10–50 klientů, plní kritickou tržní potřebu.

Článek 39 definuje minimální úkoly pověřence: informování a poradenství správci nebo zpracovateli a jejich zaměstnancům o povinnostech GDPR, monitorování souladu s GDPR a s politikami ochrany údajů organizace, poskytování poradenství ohledně posouzení vlivu na ochranu osobních údajů (DPIA) a monitorování jejich provedení, spolupráce s dozorovým úřadem a působení jako kontaktní bod pro dozorový úřad v otázkách týkajících se zpracování. Je důležité poznamenat, za co pověřenec neodpovídá: pověřenec nezajišťuje soulad — to dělá správce. Pověřenec radí, monitoruje a reportuje, ale konečná odpovědnost za soulad s ochranou údajů leží na vedení organizace. Toto rozlišení je právně významné a mělo by být jasně zdokumentováno v každé servisní smlouvě. Kromě povinných úkolů externí pověřenci obvykle také: vedou záznamy o činnostech zpracování (článek 30), spravují žádosti subjektů údajů (články 15–22), kontrolují a sledují smlouvy o zpracování (článek 28), provádějí nebo dohlížejí na audity, školí zaměstnance a radí ohledně ochrany údajů již od návrhu a ve výchozím nastavení (článek 25). Tyto dodatečné úkoly by měly být výslovně definovány v servisní smlouvě s odpovídající cenovou strukturou.

Článek 38 odst. 3 je jasný: pověřenec nesmí dostávat žádné pokyny ohledně výkonu svých úkolů. Nemůže být propuštěn ani sankcionován za plnění svých povinností a musí reportovat přímo nejvyššímu vedení správce nebo zpracovatele. Pro externí pověřence je nezávislost obecně snáze udržitelná než pro interní — nejste na výplatní listině klienta a nemáte kariérní motivaci ke změkčování svého poradenství. Střety zájmů však stále mohou nastat: pokud významná část vašich příjmů pochází od jednoho klienta, můžete podvědomě váhat doručit nepříjemná zjištění. Osvědčeným postupem je diverzifikovat portfolio klientů tak, aby žádný jednotlivý klient nepředstavoval více než 20–25 % vašich příjmů. Dokumentujte všechna doporučení a reakce vedení písemně. Pokud vedení přehlasuje vaši radu, jasně to zaznamenejte — chrání vás to profesně, pokud později nastanou problémy. Článek 38 odst. 6 uvádí, že pověřenec může plnit další úkoly a povinnosti, pokud tyto nezpůsobují střet zájmů. Pro externí pověřence to znamená, že byste neměli sloužit jako pověřenec i jako poskytovatel IT bezpečnosti pro stejného klienta, ani jako pověřenec i jako analytik marketingových dat. Poradenská a provozní role musí zůstat odděleny.

Ekonomika praxe externího pověřence závisí na efektivitě. Většina externích pověřenců účtuje 500 až 2 000 EUR na klienta měsíčně v závislosti na velikosti a složitosti klienta. Při těchto sazbách může správa 15–20 klientů generovat 10 000–30 000 EUR měsíčních příjmů — ale pouze pokud administrativní režie nespotřebuje veškerý váš čas. Největšími časovými propady pro externí pověřence jsou: údržba záznamů napříč klienty (řešitelné šablonami a strukturovanými nástroji), sledování lhůt žádostí (řešitelné automatickými upomínkami), tvorba auditních reportů (řešitelné exportem jedním kliknutím) a přepínání kontextu mezi klienty (řešitelné multi-tenant dashboardem). Externí pověřenci používající specializované nástroje uvádějí 40–60% úsporu času na administrativních úkolech ve srovnání s těmi, kteří používají Excel a e-mail. To se promítá buď do vyšší ziskovosti se stejným počtem klientů, nebo do schopnosti přijmout další klienty bez proporcionálního zvýšení pracovní zátěže. Jak vaše praxe roste nad 20 klientů, zvažte standardizaci svých servisních balíčků. Definujte jasné úrovně (základní monitorování, standardní se školením, prémiové s auditní podporou) a využijte svůj compliance nástroj k poskytování konzistentní kvality služeb všem klientům. Trustee.eu je navržen přesně pro tento workflow — od praxe jednoho pověřence po agentury spravující 50+ mandátů.