Menu
Pověřenec pro ochranu osobních údajů a povinnost ho jmenovat
Kdo je to pověřenec pro ochranu osobních údajů?
Pověřenec pro ochranu osobních údajů je někdy označován zkratkou DPO (= Data Protection Officer). Jedná se o specialistu se znalostmi práva ochrany osobních údajů a zkušenostmi s ochranou osobních údajů. V některých členských státech používali institut pověřence pro ochranu osobních údajů ještě před platností a účinností GDPR. Nicméně GDPR plošně zavádí povinnost jmenovat pověřence, pro některé okruhy organizací, a to ve všech členský státech.
Jaké činnosti pověřenec v organizaci vykonává?
Úkolem pověřence pro ochranu osobních údajů je zejména:
- Poskytovat informace a poradenství organizaci a jejím zaměstnancům, kteří provádějí zpracování osobních údajů, o jejich povinnostech podle nařízení o ochraně osobních údajů, jakož i podle souvisejících právních předpisů.
- Přispívat k rozvoji a udržování všech zásad, postupů a procesů ochrany osobních údajů týkajících se organizace, pokud jde o ochranu a bezpečnost osobních údajů.
- Zajistit podporu trvalého souladu vnitro-organizačních předpisů a procesů s nařízením na ochranu osobních údajů a souvisejících právních předpisů.
- Zajistit pravidelné školení zaměstnanců, kteří se v organizaci zabývají operacemi zpracování osobních údajů.
- Pravidelně sledovat dodržování právních předpisů o ochraně osobních údajů a provádění kontroly auditů procesů týkajících se osobních údajů.
- Poskytovat poradenství na požádání, pokud jde o posuzování vlivu na ochranu osobních údajů, jakož i monitoring jeho uplatňování v souladu s příslušným ustanovením nařízení o ochraně osobních údajů.
- Spolupracovat s dozorovým úřadem.
- Upozorňovat vrcholový management na případné skutečnosti, které lze považovat za potenciální rizikové faktory pro řádné zabezpečení osobních údajů v rámci organizace.
- Působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů a případné vedení konzultací s tímto dozorovým úřadem.
Pověřenec může v organizaci vykonávat i jiné činnosti. Je však vždy třeba, aby nebyl ve střetu zájmů. Zjednodušeně řečeno pověřenec nikdy nesmí kontrolovat svoji vlastní práci.
Kdy musíte mít pověřence pro ochranu osobních údajů?
Ne každá organizace musí mít pověřence pro ochranu osobních údajů. Ostatně by nedávalo smysl, aby právní předpis nařizoval veškerým subjektům, i těm, které zpracovávají pouze minimální množství osobních údajů, aby musely jmenovat pověřence. Článek 37 GDPR stanoví povinnost jmenovat pověřence, jestliže je organizace:
- Orgánem Veřejné moci nebo veřejným subjektem; nebo
- Při své hlavní činnosti provádí rozsáhlý monitoring lidí (například pokud monitoruje online chování lidí), přičemž tento monitoring bude pravidelný a systematický; nebo
- Při své hlavní činnosti provádí rozsáhlé zpracování citlivých osobních údajů (*nebo osobních údajů, které se týkají rozsudků v trestních věcech a trestných činů).
Co si představit pod pojmy orgán veřejné moci a veřejný subjekt?
Pro tyto pojmy nám GDPR žádnou definici nenabízí, proto vyjdeme z definice, která je použita ve směrnici Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru:
Orgány veřejné moci jsou státní orgány, orgány místní správy (samosprávy) a také jejich sdružení (svazy). Jedná se tedy např. o ministerstva, obce, kraje, Svaz měst a obcí apod.
Veřejnoprávním (veřejným) subjektemje jakýkoli subjekt s právní subjektivitou, který je zřízený za účelem uspokojování potřeb veřejného (obecného) zájmu (pojmem veřejný (obecný) zájem se rozumí, že je na něm zainteresována společnost jako celek, případně určitá, sociální skupina). Tento subjekt je převážně financován z veřejných prostředků a/nebo je zřízen některým z orgánů veřejné moci. Veřejnoprávním subjektem tak budou právnické osoby s vlastní subjektivitou zřizované orgánem veřejné moci (například příspěvková organizace zřízená krajem), ale také neziskové organizace, které jsou z větší míry financovány prostředky z veřejných fondů. Nadto lze uvést, že s danou terminologií ve svých stanoviscích pracuje rovněž Ministerstva financí České republiky.
Co na to Úřad na ochranu osobních údajů?
S ohledem na vše shora uvedené lze dovodit, že informace zveřejněná na webových stránkách Úřadu na ochranu osobních údajů je nepřesná a odpovědět na pokládanou otázku nelze bez dalšího a už vůbec nelze tuto problematiku generalizovat. U dané organizace budeme nejprve posuzovat, zda je či není veřejným (veřejnoprávním) subjektem – vycházejme z toho, že není orgánem veřejné správy. Když dospějeme k závěru, že organizace není ani veřejným subjektem, ani orgánem veřejné moci, pak posuzujeme, zda neprovádí rozsáhlý monitoring lidí (např. bezpečnostní kamera se záznamem používaná organizací zabírá také veřejné prostranství, přičemž procházející osoby je možné snadno identifikovat, přičemž takových osob bude více než 10 000). Dále posuzujeme v organizaci nedochází k rozsáhlému zpracování citlivých údajů (nebo osobních údajů, které se týkají rozsudků v trestních věcech a trestných činů), přičemž i zde je rozsáhlost stanovena stejně jako v předchozím případě, tedy musí se jednat o více než 10 000 osob.
Poznámka: Kvantifikátor pro posouzení rozsáhlosti zpracování není vhodné brát jako dogma, jedná se spíše o jakési vodítko.
K informaci zveřejněné na stránkách Úřadu na ochranu osobních údajů je dále třeba uvést, že se nejedná o závazné stanovisko a v případě správního řízení není tímto dozorový orgán jakkoli vázán.
Do doby, než Česká republika přijme adaptační zákon, z jehož výkladových ustanovení bude zřejmé, které subjekt lze považovat za veřejný (veřejnoprávní), případně který bude obsahovat explicitně stanovené výjimky z povinnosti jmenovat pověřence je třeba vycházet z výše uvedeného.
Jak lze tedy postupovat?
- Pověřence z opatrnosti jmenovat, ať už z řad vlastních zaměstnanců nebo z řad externistů; nebo
- Vyčkat s rozhodnutím, zda pověřence jmenovat na vydání adaptačního zákona a do té doby podpůrně vycházet z informace, kterou zveřejnil Úřad na ochranu osobních údajů, samozřejmě s tím rizikem, že se jedná o stanovisko nikoli závazné.
Poznámka Jakkoli český adaptační zákon stále nemá finální podobu, tak s vysokou mírou pravděpodobnosti nelze očekávat, že bude definovat pojem veřejný subjekt, jak tomu ostatně bylo i v původních variantách návrhů. Nicméně lze patrně počítat s tím, že povinnost jmenovat pověřence určí adaptační zákon, vedle orgánů veřejné moci také orgánům zřízeným zákonem za účelem plnění veřejných úkolů (zejména veřejnoprávní korporace).
Upozornění Dne 19.10.2018 publikoval Úřad na ochranu osobních údajů, na svých webových stránkách, své stanovisko k povinnosti jmenovat pověřence vybranými městskými a krajskými organizacemi. Dostupné zde: https://www.uoou.cz/k-nbsp-povinnosti-jmenovat-poverence-vybranymi-mestskymi-a-nbsp-krajskymi-organizacemi/d-31980
Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.
Další články
© 3CM s.r.o. – Všechna práva vyhrazena