GDPR - 4. díl: Jste povinni jmenovat pověřence pro ochranu osobních údajů?
Autor: Mgr. Petr Otevřel | Vloženo: 15. 12. 2017 12:25 | Přečteno: 8049XJmenování pověřence pro ochranu osobních údajů je zcela novým institutem, upraveným v nařízení Evropského Parlamentu a Rady č. 2016/679 - obecného nařízení o ochraně osobních údajů (dále „Nařízení”), častěji označovaným anglickou zkratkou GDPR (General Data Protection Regulation). Jak si ukážeme dále, povinnost jmenovat pověřence pro ochranu osobních údajů (dále „pověřenec“) se může týkat většího okruhu společností, než by se mohlo zdát.
Komu vzniká povinnost jmenovat pověřence
Dle článku 37 Nařízení jsou správce i zpracovatel povinni jmenovat pověřence v dále uvedených případech:
- Zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí.
Takovými orgány se rozumí jakýkoliv orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu (např. také profesní komory, jako advokátní komora).
- Hlavní činnosti správce nebo zpracovatele spočívají v operacích, které kvůli své povaze, rozsahu nebo účelům vyžadují „rozsáhlé pravidelné a systematické monitorování subjektů údajů.“
Hlavní činností je třeba rozumět klíčové operace nezbytné k dosažení cílů správce nebo zpracovatele, zpravidla budou těmito cíli dosahování zisku u podnikatelů (např. provozování aplikací formou jejich zpřístupňování v cloudu, poskytování marketingových služeb spočívajících mj. ve vyhodnocování dat získaných prostřednictvím síťových identifikátorů, např. cookies nebo analytických nástrojů užívaných na webových stránkách klienta), nebo činnost, která je hlavním účelem příslušné organizace (např. nemocnice). Naopak např. zpracovávání osobních údajů svých zaměstnanců a obdobná zpracování, která jsou podpůrná k hlavní činnosti správce či zpracovatele, nejsou v duchu Nařízení považována za hlavní činnost.
Rozsáhlým je zpracování, které takto můžeme označit v důsledku velkého počtu dotčených subjektů údajů, nebo objemu dat, nebo doby trvání a nepřetržitosti zpracování, nebo územního rozsahu zpracování. Typicky půjde o zpracování zákaznických dat v rámci obchodní činnosti bank, poskytovatelů energií či provozovatelů e-shopů (alespoň těch větších), zpracování obsahových, provozních nebo lokalizačních dat poskytovateli telekomunikačních a internetových služeb, zpracování cestovních dat provozovatelem přepravních služeb apod.
Systematickým je zpracování prováděné podle určitého systému, podle nastavených pravidel, vykonávané jako součást strategie nakládání s osobními údaji. Typicky půjde o cílení internetové reklamy pomocí e-mailu, marketing, profilování nebo tzv. skóring prováděný pro účely posouzení úvěrového či pojistného rizika, provozování věrnostních programů pro zákazníky, sledování zdravotního stavu a aktivit prostřednictvím tzv. wearables (např. „chytrých“ náramků či hodinek), provozování „chytrých“ měřičů, aut či zařízení pro domácnost, která shromažďují data o chování uživatelů apod.
- Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování citlivých údajů
V podstatě se jedná o podobná kritéria jako jsme je rozebírali výše (hlavní činnost, rozsáhlost), ovšem předmětem zpracování jsou tzv. zvláštní kategorie osobních údajů ve smyslu čl. 9 Nařízení (např. údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání, údaje o zdravotním stavu či sexuální orientaci nebo zpracovávání genetických či biometrických údajů prováděné za účelem identifikace subjektu údajů), nebo osobní údaje týkajících se rozsudků v trestních věcech.
Povinnost jmenovat pověřence není tedy vázána na velikost dotyčného správce či zpracovatele, ekonomické výsledky nebo na počty zaměstnanců. Jediným kritériem u firem jakožto osob soukromého práva je naplnění shora uvedených kvalitativních znaků zpracování (rozsah, systematičnost aj.), přitom k naplnění těchto znaků může dojít i u relativně malých společností.
Každý správce i zpracovatel by si měl zanalyzovat, zda mu vzhledem ke své činnosti vznikla povinnost jmenovat pověřence pro osobní údaje. Pracovní skupina WP29, která vydává výkladová vodítka k vybraným článkům Nařízení, doporučuje, aby měl výstup takovéto analýzy k dispozici každý správce či zpracovatel i v případě, když dospěl k závěru, že se na něj povinnost jmenovat pověřence nevztahuje. Zároveň by měl upravit vnitřní postupy tak, aby bez zbytečného odkladu provedl opětovnou analýzu v případech, kdy by v důsledku změn či rozšíření své činnosti mohlo dojít k naplnění shora uvedených kritérií a povinnost jmenovat pověřence by vznikla dodatečně.
Samozřejmě nic nebrání jmenování pověřence i v případě správce či zpracovatele, kterému tato povinnost přímo nevznikla. Dobrovolný výkon funkce pověřence, coby odborně způsobilé osoby seznámené s procesy správce či zpracovatele, může být považován za jedno z organizačních opatření vedoucích k naplnění povinností stanovených Nařízením.
Kdo může být pověřencem
Pokud správci či zpracovateli vznikla povinnost jmenovat pověřence, může jím být jak zaměstnanec v pracovním poměru, tak externí osoba na základě smlouvy o poskytování služeb. Článek 37 Nařízení se zabývá rovněž kritérii pro výběr pověřence (profesní kvality, oborné znalosti práv a praxe v oblasti ochrany osobních údajů a schopnost plnit úkoly pověřence stanovené v čl. 39 Nařízení).
Skupina podniků (koncern) může sice jmenovat jediného pověřence, nicméně ten musí být „snadno dosažitelný“ nejen z kteréhokoliv koncernového podniku, ale také vůči dozorovému úřadu. To mj. zahrnuje povinnost s dozorovým úřadem komunikovat v jazyce daného úřadu, tudíž u nadnárodních koncernů bude platit, že i onen „jediný“ pověřenec bude muset mít k dispozici širší tým spolupracovníků, pokud takový koncern neusoudí, že bude efektivnější jmenovat správce alespoň pro každou zemi, ve které působí.
Postavení a povinnosti pověřence
Nařízení klade důraz na to, aby měl pověřenec postavení osoby nezávislé, a to i v případě pověřenců z řad zaměstnanců. Pověřenec tak nesmí dostávat žádné pokyny ohledně výkonu jeho činnosti a úkolů a rovněž nesmí být v souvislosti s jejich plněním nijak sankcionován nebo propuštěn.
Správce či zpracovatel je dále povinen vytvořit pověřenci řádné podmínky pro výkon jeho činnosti, vyhradit na jeho činnost potřebné zdroje a zapojit jej „náležitě a včas do veškerých záležitostí souvisejících s ochranou osobních údajů.“
Nařízení rovněž stanoví řadu povinností vztahujících se na pověřence, zejména povinnost poskytovat příslušnému správci či zpracovateli informace a poradenství, monitorovat u něj dosahování souladu jeho procesů a opatření s požadavky Nařízení, povinnost mlčenlivosti, ale také povinnost spolupracovat s dozorovým úřadem a působit jako kontaktní místo pro dozorový úřad. Klíčovými předpoklady pro výkon funkce pověřence je tedy nezávislost, odbornost a také dosažitelnost.
Jmenování pověřence by proto nemělo být považováno pouze za formalitu ve smyslu „někoho tam nastrčíme, bez ohledu na jeho odbornost“. Dozorový úřad může uložit sankci nejen v případě, kdy správce či zpracovatel nejmenoval pověřence, ačkoliv tak měl učinit. Sankcionováno může být také jmenování zjevně nekompetentního pověřence nebo pověřence, u něhož není fakticky dána jeho nezávislost na správci či zpracovateli.
Odpovědnost
Navzdory jmenování pověřence je správce či zpracovatel stále v plném rozsahu odpovědný za splnění zásad a povinností Nařízení a nemůže se zprostit např. povinnosti uhradit správní pokutu uloženou dozorovým úřadem s odůvodněním, že k porušení povinnosti dle Nařízení došlo na základě doporučení pověřence. Je to naopak správce či zpracovatel, kteří musí doložit, že plní povinnosti vyplývající z Nařízení. Jmenování odborně způsobilého pověřence je pouze jedno z opatření, dokládající, že tak činí.
Zaměstnanec, nebo externí pověřenec?
Vzhledem k výše uvedenému se domnívám, že obzvláště v případě menších společností není varianta jmenování pověřence z řad vlastních zaměstnanců příliš atraktivní, protože bude dost obtížné oddělovat prvotní povinnosti zaměstnance (výkon sjednaného druhu práce) od povinností vztahujících se k výkonu funkci pověřence, se kterými je navíc spjato privilegované postavení.
Rovněž vzhledem k omezené odpovědnosti za škodu u zaměstnanců je na zvážení, zda není výhodnější jmenovat pověřence z řad externích osob, které ponesou plnou odpovědnost za škodu způsobenou informací nebo radou (§ 2950 občanského zákoníku).
Závěr
Povinnost jmenovat pověřence na ochranu osobních údajů se může dotýkat mnoha relativně malých firem, které naplní kritéria uvedená v Nařízení. Každý správce či zpracovatel by měl být schopen přesvědčivě odpovědět také na otázku „Proč jste pověřence nejmenovali?“ Vyhodnocení této otázky, ale i řady dalších, by měla být předmětem kvalitní právní analýzy, zvláště v dnešní době, kdy „řešení GDPR“ nabízí obrovské množství nejrůznějších firem, které často zužují celou problematiku na aplikaci technických opatření na ochranu osobních údajů.
Tento článek vyšel v časopise IT Systems č. 11/2017 v rámci seriálu "GDPR od A do Z"
Autor: Mgr. Petr Otevřel, otevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.