Pověřenec pro ochranu osobních údajů
GDPR zavádí institut pověřence pro ochranu osobních údajů. ZOOÚ tento institut neznal, nicméně v některých státech Evropy se rozvinul jako určité organizační opatření k ochraně osobních údajů, které se osvědčilo, proto je zavedeno do GDPR.
Kdo je pověřenec pro ochranu osobních údajů ?
Postavení pověřence je stále diskutováno v odborných kruzích, co to má být vlastně za osobu. Pověřenec je osoba, která není za zapracování osobních údajů odpovědná, to je správce eventuálně zpracovatel. Pověřenec je ale někdo, kdo napomáhá k tomu, aby zpracování osobních údajů bylo v souladu s GDPR, v tomto ohledu jde opravdu o organizační opatření, které k tomu může přispět.
Dle čl. 38 GDPR správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Správce a zpracovatel mají poskytovat pověřenci zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.
Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly dle GDPR. Prakticky by tedy měl být pověřencem někdo, kdo má určité právní povědomí o ochraně osobních údajů a pokud jsou osobní údaje zpracovávány automatizovaně v rámci informačních technologií, tak aby měl povědomí i o fungování těchto technologií. Takže optimální je právník zkřížený s IT odborníkem.
Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. To je potřeba si uvědomit, pokud by měl být pověřencem zaměstnanec, pak bude pro správce jakožto zaměstnavatele v zásadě velmi obtížné takového člověka propustit.
Úkoly a kompetence pověřence
Správce nebo zpracovatel mají zveřejnit kontaktní údaje pověřence pro ochranu osobních údajů a sdělit je ÚOOÚ. Subjekty údajů se pak mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení. Dle čl. 39 GDPR Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:
a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
d) spolupráce s dozorovým úřadem a
e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.
Pověřenec při plnění svých úkolů bere patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování. Pověřenec by tak primárně neměl správci pouze sdělovat, jak je něco špatně, ale měl by mu pomoci nalézat řešení právě s ohledem na kontext zpracování, tak aby byly naplněny základní zásady zpracování dle GDPR, ale v podstatě s přihlédnutím k možnostem správce tyto zásady nějakým smysluplným způsobem zajistit.
Kdy je jmenování pověřence povinné
Dle čl. 37 GDPR správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:
a. zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
b. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
c. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů (citlivých) a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
V bodě a) jde o orgány veřejné moci, či veřejné subjekty, které jsou v zásadě určeny tím, že jsou zřízeny zákonem nebo na jeho základě, případně jsou financovány ze státního rozpočtu, vykonávají veřejnou moc nebo veřejné úkoly. Pracovní skupina WP29 jako osvědčený postup doporučuje, aby soukromé organizace, které plní veřejné úkoly nebo uplatňují veřejnou moc, rovněž jmenovaly pověřence.
V bodě b) a c) jde mimo jiné o rozsáhlé operace zpracování. Pracovní skupina W29 v každém případě doporučuje, aby byly při určování toho, zda je zpracování prováděno ve velkém rozsahu, vzaty v úvahu především tyto faktory:
• počet dotčených subjektů údajů – buď jako konkrétní číslo, nebo jako podíl příslušné skupiny obyvatelstva,
• objem údajů a/nebo škálu různých údajových položek, které jsou zpracovávány,
• trvání nebo stálost činnosti zpracování údajů,
• zeměpisný rozsah činnosti zpracování.
Příklady zpracování ve velkém rozsahu zahrnují:
• zpracování údajů pacientů v rámci pravidelné činnosti nemocnicí,
• zpracování cestovních údajů jednotlivců používajících systém městské hromadné dopravy (např. sledování prostřednictvím cestovních karet),
• zpracování údajů o zeměpisné poloze v reálném čase zákazníků mezinárodního řetězce rychlého občerstvení pro statistické účely, a to zpracovatelem specializujícím se na poskytování těchto služeb,
• zpracování údajů zákazníků v rámci pravidelné činnosti provedené pojišťovnou nebo bankou,
• zpracování osobních údajů pro behaviorální reklamu provedené vyhledávačem,
• zpracování údajů (obsah, provoz, umístění) provedené poskytovatelem telefonních nebo internetových služeb.
Příklady, které nepředstavují zpracování ve velkém rozsahu, zahrnují:
• zpracování údajů pacientů provedené jednotlivým lékařem,
trestných činů provedené jednotlivým právníkem.
Příklady, které představují zpracování osobních údajů, ke kterému dochází při hlavní činnosti.
V odst. 97 úvodních ustanoveních GDPR se uvádí, že v soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost. Dle pracovní skupiny WP 29 „Hlavní činnosti“ by však neměly být vykládány tak, že vylučují činnosti, kde zpracování údajů tvoří neoddělitelnou část činnosti správce nebo zpracovatele. Například hlavní činností nemocnice je poskytovat zdravotní péči. Zpracování údajů o pacientech by proto mělo být považováno za jednu z hlavních činností nemocnice a nemocnice proto musejí jmenovat pověřence pro ochranu osobních údajů. Dalším příkladem je situace, kdy soukromá bezpečnostní společnost provádí dohled nad řadou soukromých obchodních center a veřejných prostor. Dohled je hlavní činností společnosti, která je zase neoddělitelně spojena se zpracováním osobních údajů. Tato společnost proto rovněž musí jmenovat pověřence pro ochranu osobních údajů.
Na druhou stranu všechny organizace vykonávají určité činnosti, například vyplácení mezd svým zaměstnancům nebo standardní činnosti v oblasti podpory informačních technologií. Toto jsou příklady nezbytných podpůrných funkcí pro hlavní činnost organizace nebo hlavní podnikatelskou činnost. Přestože jsou tyto činnosti nezbytné nebo zásadní, obvykle se považují za pomocné funkce, a ne za hlavní činnost.
Pokud se týká systematického monitorování subjektů údajů uváděných v bodě b), pak pracovní skupina WP 29 upozorňuje nato, že se monitorování nevyčerpává jenom nějakým on-line sledováním, ale může jít o operace podstatně širší. Jako příklady supina WP 29 uvádí: provozování telekomunikačních sítí, poskytování telekomunikačních služeb, přesměrovávání elektronické pošty, marketingové činnosti založené na datech, profilování a bodování pro účely posouzení rizik (např. pro účely úvěrového ohodnocení, stanovení pojistného, předcházení podvodům, zjištění praní špinavých peněz), sledování polohy, například prostřednictvím mobilních aplikací, věrnostní programy, behaviorální reklama, monitorování údajů o psychické a fyzické zdatnosti a zdravotním stavu prostřednictvím zařízení nošených na těle, uzavřené televizní okruhy, propojená zařízení, např. inteligentní měřiče, inteligentní automobily, automatizace v oblasti bydlení atd.