16. 11. 2016
ID: 103962upozornění pro uživatele

Nařízení EU o ochraně osobních údajů - pověřenec pro ochranu osobních údajů

V našem dřívějším článku jsme poskytli obecný popis některých nových povinností vyplývajících pro správce a zpracovatele osobních údajů z obecného nařízení EU o ochraně osobních údajů (GDPR),[1] které bylo přijato v květnu 2016 a bude účinné od května 2018.[2] V tomto článku se zaměříme na konkrétní zcela nový institut pověřence pro ochranu osobních údajů. Přestože na úrovni EU tato funkce doposud zavedena nebyla, v některých členských státech ji znají již nyní. Například v Německu povinnost jmenovat osobu, které má dohlížet na ochranu osobních údajů, existuje již od 70. let.

 
 CHSH Kališ & Partners s.r.o., advokátní kancelář
 
Kdo musí pověřence jmenovat?

Pověřence pro ochranu osobních údajů musí správce nebo zpracovatel jmenovat v každém z těchto případů:

  • a) zpracování provádí
    orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí);
  • b) hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  • c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo
  • d) vyžaduje-li to právo EU nebo členského státu.
Bez výjimky tedy budou povinny jmenovat pověřence pro ochranu osobních údajů orgány veřejné moci, které zpracovávají osobní údaje.

Problematické však může být posouzení povinnosti jmenovat pověřence v případech uvedených výše pod písmeny b) a c). Pojmy „hlavní činnosti“ a „rozsáhlé“ jsou vágní a připouští více výkladů.

Jako vodítko lze použít odůvodnění nařízení, které v bodě 97 naznačuje, že zpracování údajů bude považováno za „hlavní činnosti“, pokud souvisí s jeho základními činnostmi. Naopak v případě, kdy bude zpracování údajů pouze pomocnou činností (jako například při zpracování údajů vlastních zaměstnanců), tak správce nebude povinen pověřence jmenovat, a to i přestože zpracování údajů jeho zaměstnanců dosáhne rozsáhlého měřítka. Jestliže však správce nebo zpracovatel bude v rámci svých hlavních činností provádět zpracování údajů, které vyžaduje rozsáhlé a pravidelné monitorování subjektů údajů nebo které spočívá v rozsáhlém zpracování zvláštních kategorií údajů, tak mu již vznikne povinnost pověřence jmenovat.

Z bodu 24 odůvodnění nařízení vyplývá, že za účelem posouzení, zda zpracování údajů lze klasifikovat jako „monitorování subjektů“, by mělo být zjištěno, zda jsou subjekty údajů sledovány na internetu a zda dochází k profilování dotčené osoby, zejména za účelem přijetí rozhodnutí, která se jí týkají, nebo za účelem analýzy či odhadu jejích osobních preferencí, postojů a chování. Definici „rozsáhlého zpracování“ je možné částečně dovodit z bodu 91 odůvodnění nařízení, podle něhož by se mělo jednat zejména o rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni a jež by mohly mít dopad na velký počet subjektů údajů. Typickým příkladem správce či zpracovatele údajů, který nepochybně patří do kategorie uvedené výše pod písmenem b) a který tedy musí funkci pověřence zavést, jsou online sociální sítě nebo společnosti poskytující služby cílené reklamy.

Relativně jednodušší by mělo být posouzení povinnosti jmenovat pověřence v případě správců nebo zpracovatelů, jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v čl. 9 nařízení, tj. citlivých údajů, jakými jsou například údaje o rasovém či etnickém původu, politických názorech, zdravotním stavu, biometrické údaje apod. V tomto případě povinnost jmenovat pověřence dopadne například na zdravotní pojišťovny a pravděpodobně i zdravotnická zařízení.

Správce nebo zpracovatel musí sledovat také národní legislativu, neboť nařízení připouští, aby členský stát přijal právní předpis, který může specifikovat požadavky na jmenování pověřence odlišně.

Vzhledem k výše uvedeným interpretačním nejasnostem nezbývá než si počkat na výkladové stanovisko pracovní skupiny W29, která má vydat pokyny mj. k problematice pověřence pro ochranu osobních údajů přednostně. Tyto pokyny snad blíže a přesněji vymezí, na jaké zpracování osobních údajů dopadá povinnost správce či zpracovatele jmenovat pověřence.

Postavení a kvalifikační předpoklady pověřence

Osoba vykonávající úkoly pověřence může být ve vztahu ke správci nebo zpracovateli údajů buď přímo jejich zaměstnancem, anebo může plnit své úkoly jako externista na základě smlouvy o poskytování služeb. Nařízení dovoluje, aby jedna osoba zastávala funkci pověřence pro skupinu podniků anebo několik orgánů veřejné moci, což představuje velkou výhodu a možnost snížení nákladů na straně správců nebo zpracovatelů. U skupiny podniků lze jmenovat jediného pověřence pouze za podmínky, že je snadno dosažitelný z každého podniku. V případě společného pověřence pro více orgánů veřejné moci to zase musí umožňovat jejich organizační struktura a velikost. Navíc pověřenec může současně plnit i jiné úkoly a povinnosti nesouvisející s ochranou osobních údajů. Žádné z těchto jiných úkolů a povinností však nesmí vést ke střetu zájmů s jeho funkcí pověřence.

Pověřenec by měl mít v rámci výkonu své funkce nezávislé postavení na správci či zpracovateli, neboť mu nelze udělovat žádné pokyny týkající se výkonu úkolů pověřence. Nařízení dále zajišťuje pověřenci zvláštní ochranu. Pověřenec totiž nemůže být propuštěn ani jinak sankcionován z důvodu souvisejícího se samotným plněním své funkce. Správce nebo zpracovatel je rovněž povinen poskytnout pověřenci veškeré zdroje a nezbytnou součinnost pro plnění jeho úkolů a zajistit mu tak nerušený výkon jeho funkce.

Pověřen bude jakýmsi prostředníkem mezi správcem či zpracovatelem a dozorovým orgánem (v ČR Úřadem pro ochranu osobních údajů), kterému musí sdělit kontaktní údaje na pověřence, a také mezi správcem či zpracovatelem a subjekty údajů, které se mohou na pověřence obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkon jejich práv.

Z nařízení přímo nevyplývají žádné konkrétní kvalifikační požadavky na osobu pověřence, nicméně pověřenec musí být jmenován na základě svých profesních kvalit a zejména odborných znalostí práva a praxe v oblasti ochrany údajů a schopnosti plnit úkoly pověřence. Přestože právnické vzdělání nařízení výslovně nevyžaduje, lze doporučit, aby si správce či zpracovatel pro pozici pověřence právníka vybral anebo aby alespoň ověřil, zda se příslušná osoba v problematice ochrany osobních údajů orientuje. V každém případě musí být pověřenec seznámen s organizační strukturou správce nebo zpracovatele a technickými a dalšími podmínkami zpracování údajů.

Úkoly pověřence

Výčet úkolů pověřence pro ochranu osobních údajů obsahuje článek 39 nařízení. K základním úkolům pověřence patří zejména:

  • a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech v oblasti ochrany údajů;
  • b) monitorování souladu zpracování údajů s tímto nařízením, dalšími předpisy EU nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně školení pracovníků zapojených do operací zpracování a souvisejících auditů;
  • c) poskytování poradenství při posouzení vlivu zpracování na ochranu osobních údajů;
  • d) spolupráce s dozorovým úřadem; a
  • e) působení jako kontaktní místo pro dozorový úřad.
Pověřenec by tedy měl implementovat a dohlížet na plnění opatření k zajištění povinností vyplývajících pro správce či zpracovatele údajů z nařízení. Tato opatření zahrnují především vhodná technická a organizační opatření k zajištění zpracování v souladu s nařízením (tzn. přijetí a dodržování příslušných interních předpisů), řádné a včasné plnění informační povinnosti ve vztahu k subjektům údajů (tzn. příprava informačních sdělení a žádostí o souhlas subjektů údajů se zpracováním údajů), vedení záznamů o všech činnostech zpracování údajů správce či zpracovatele, ohlašování případného narušení ochrany osobních údajů dozorovému úřadu a oznamování těchto případů subjektů údajů, poradenství při posuzování vlivu zpracování na ochranu osobních údajů a mnoho dalších opatření.

Sankce

Správci a zpracovatelé údajů by měli důkladně vyhodnotit, zda se na ně povinnost jmenovat správce vztahuje, neboť při porušení této povinnosti může dozorový orgán uložit pokutu až do výše 10 mil. eur anebo u podniků až do výše 2 % celosvětového celkového ročního obratu za předchozí finanční rok (uplatní se vždy vyšší hodnota).

Jmenovat či nejmenovat pověřence?

I přestože správce nebo zpracovatel dospěje k závěru, že podle nařízení ani podle českých právních předpisů pověřence pro ochranu osobních údajů jmenovat nemusí, doporučujeme zvážit jmenovat pověřence dobrovolně, což nařízení samozřejmě umožňuje. Pověřenec totiž usnadní správci zajištění plnění povinnosti v oblasti ochrany osobních údajů a zprostředkuje komunikaci s dozorovým úřadem. Kromě toho v případě porušení povinností v oblasti ochrany osobních údajů bude jmenování pověřence určitě bráno v úvahu při posuzování vzniku odpovědnosti a zejména při případném stanovení výše sankce, neboť jmenování pověřence nepochybně prokazuje maximální péči správce či zpracovatele o zajištění odpovídající úrovně ochrany osobních údajů a jeho zájem na prevenci potenciálních škod.


JUDr. Martin Kartner

JUDr. Martin Kartner,
partner

Mgr. Jiří Prouza,
advokátní koncipient

 
CHSH Kališ & Partners s.r.o., advokátní kancelář

Týn 639/1
110 00  Praha 1 – Staré Město

Tel.:    +420 221 111 711
Fax:    +420 221 111 725
e-mail:    office@chsh.cz


____________________________
[1] Nařízení č. 2016/679. Dostupné na www, k dispozici >>> zde.
[2] Článek je dostupný na www, k dispozici >>> zde.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

JUDr. Martin Kartner, Mgr. Jiří Prouza (CHSH Kališ & Partners)
16. 11. 2016
pošli emailem
vytiskni článek

Další články: