1.66
Povinné jmenování pověřence pro ochranu osobních údajů
Mgr. Ing. Zdeňka Kůsová
Jedním z institutů, které obecné nařízení o ochraně osobních údajů zakotvuje, je pověřenec pro ochranu osobních údajů (dále jen "pověřenec").
NahoruPovinné jmenování pověřence
Dle článku 37 odst. 1 GDPR jsou správce a zpracovatel (podle toho, kdo z nich splní povinnosti definované GDPR) povinni jmenovat pověřence v případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí,
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
ad a) – zpracování orgány veřejné moci
Definice pojmu "orgán veřejné moci" není v GDPR nikde exaktně definován.
Pracovní skupina WP29 má za to, že tento pojem má být stanoven vnitrostátními právními předpisy. Z uvedených důvodů orgány veřejné moci a veřejné subjekty zahrnují vnitrostátní, regionální a místní orgány, ale tento koncept podle použitelných vnitrostátních právních předpisů obvykle zahrnuje i okruh dalších veřejnoprávních subjektů. V takovýchto případech je jmenování pověřence pro ochranu osobních údajů povinné.
Ústavní soud ČR konstantně odkazuje na výklad tohoto pojmu, který provedl již Ústavní soud ČSFR, a v němž veřejnou moc definoval zejména jako "takovou moc, která autoritativně rozhoduje o právech a povinnostech subjektů, ať již přímo nebo zprostředkovaně, přičemž subjekt, o jehož právech nebo povinnostech rozhoduje orgán veřejné moci, není s tímto orgánem v rovnoprávném postavení a obsah rozhodnutí tohoto orgánu nezávisí od vůle subjektu."
Výkladové nesrovnalosti může přinést soukromoprávním subjektům, které na základě přenesené působnosti vykonávají a uplatňují veřejnou moc.
Bohužel ani tato otázka není v GDPR explicitně vyřešena. Z tohoto důvodu je zapotřebí opětovně odkázat na stanovisko pracovní slupiny WP29, která představuje obecně respektovaný nezávislý poradní orgán pro otázky ochrany údajů a soukromí, a k této otázce učinila toto doporučení: "Přestože v takových případech neexistuje žádná povinnost, pracovní skupina WP29 jako osvědčený postup doporučuje, aby soukromé organizace, které plní veřejné úkoly nebo uplatňují veřejnou moc, pověřence pro ochranu osobních údajů jmenovaly."
ad b + c) – výklad klíčových pojmů
a) Hlavní činnost:
Hlavní činnost je v GDPR definována pouze okrajově, kdy v ustanovení bodu 97 je uvedeno: "V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost."
Z tohoto důvodu je zapotřebí opětovně odkázat na výklad provedený pracovní skupinou WP 29: "Hlavní činnosti by však neměly být vykládány tak, že vylučují činnosti, kde zpracování údajů tvoří neoddělitelnou část činnosti správce nebo zpracovatele. Například hlavní činností nemocnice je poskytovat zdravotní péči. Nemocnice by však nemohla bezpečně a účinně poskytovat zdravotní péči, aniž by zpracovávala údaje o zdravotním stavu, jako například zdravotní záznamy pacientů. Zpracování těchto údajů by proto mělo být považováno za jednu z hlavních činností nemocnice a nemocnice proto musejí jmenovat pověřence pro ochranu osobních údajů.
Dalším příkladem je situace, kdy soukromá bezpečnostní společnost provádí dohled nad řadou soukromých obchodních center a veřejných prostor. Dohled je hlavní činností společnosti, která je zase neoddělitelně spojena se zpracováním osobních údajů. Tato společnost proto rovněž musí jmenovat pověřence pro ochranu osobních údajů.
Na druhou stranu všechny organizace vykonávají určité činnosti, například vyplácení mezd svým zaměstnancům nebo standardní činnosti v oblasti podpory informačních technologií. Toto jsou příklady nezbytných podpůrných funkcí pro hlavní činnost organizace nebo hlavní podnikatelskou činnost. Přestože jsou tyto činnosti nezbytné nebo zásadní, obvykle se považují za pomocné funkce, a ne za hlavní činnost."
b) Velký rozsah
Vzhledem ke skutečnosti, že v současné době nebyly definovány konkrétní hodnoty, které by bylo možné považovat za velký rozsah, je nutné vycházet z výkladu poskytnutého pracovní skupinou WP 29, která doporučuje, aby "byly při určování toho, zda je zpracování prováděno ve velkém rozsahu, vzaty v úvahu především tyto faktory:
-
počet dotčených subjektů údajů – buď jako konkrétní číslo, nebo jako podíl příslušné skupiny obyvatelstva,
-
objem údajů a/nebo škálu různých údajových položek, které jsou zpracovávány,
-
trvání nebo stálost činnosti zpracování údajů,
-
zeměpisný rozsah činnosti zpracování."
Příklady zpracování ve velkém rozsahu zahrnují:
-
zpracování údajů pacientů v rámci pravidelné činnosti provedené nemocnicí,
-
zpracování cestovních údajů jednotlivců používajících systém městské hromadné dopravy (např. sledování prostřednictvím cestovních karet),
-
zpracování údajů o zeměpisné poloze v reálném čase zákazníků mezinárodního řetězce rychlého občerstvení pro statické účely, a to zpracovatelem specializujícím se na poskytování těchto činností,
-
zpracování údajů zákazníků v rámci pravidelné činnosti provedené pojišťovnou nebo bankou,
-
zpracování osobních údajů pro behaviorální reklamu provedené vyhledávačem,
-
zpracování údajů (obsah, provoz, umístění) provedené poskytovatelem telefonních nebo internetových služeb.
Příklady, které nepředstavují zpracování ve velkém rozsahu, zahrnují:
-
zpracování údajů pacientů provedené jednotlivým lékařem,
-
zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů provedené jednotlivým právníkem.
c) Pravidelné a systematické monitorování
Obecné nařízení nenabízí odpověď na otázku, jaká frekvence monitorování je považována za pravidelnou a systematickou.
Z tohoto důvodu lze i v tomto případě odkázat na výklad učiněný pracovní skupinou…
