slider

Pověřenec pro ochranu osobních údajů podle GDPR

08.09.2017

Nejenom správci, ale i zpracovatelé mají povinnost jmenovat pověřence pro ochranu osobních údajů (dále jen „pověřenec”, jinak také „DPO” jako „Data Protection Officer”).

Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing PrahaSprávce a zpracovatel jmenují pověřence pro ochranu osobních údajů v případě, že:

• hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

• hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů; nebo

• hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

To znamená, že v každém případě se musí jednat o:

• zpracování osobních údajů, které představuje hlavní činnost správce nebo zpracovatele;

• zpracování osobních údajů, které je rozsáhlé.

Hlavní činností se rozumí klíčové operace k dosažení cílů správce nebo zpracovatele. Pokud by se pojem hlavní činnosti měl vymezit negativně, tak lze říci, že nejde o činnost, která je součástí provozní činnosti správce nebo zpracovatele, např. zpracování osobních údajů vlastních zaměstnanců. Hlavní činnost představuje i zpracování osobních údajů, bez kterých by nebylo možno dosáhnout cílů správce nebo zpracovatele. Například hlavní činností nemocnice je péče o nemocné, ale ta není možná bez zpracování jejich osobních údajů, proto v takovém případě představuje zpracování osobních údajů pacientů hlavní činnost správce, kterým je např. nemocnice. Mimo jiné jde také o činnost, při které zpracování osobních údajů představuje službu, kterou zpracovatel osobních údajů poskytuje třetím osobám, ať už za účelem zisku či nikoliv, například pokud zpracovatel uchovává či jinak zpracovává osobní údaje na pokyn správce, jako předmět své podnikatelské činnosti.

Na rozsáhlé zpracování lze usuzovat z počtu subjektů údajů, jejichž osobní údaje správce nebo zpracovatel zpracovává, z objemu a rozsahu zpracovávaných dat, z trvání zpracování údajů a ze zeměpisného zpracování údajů.

Povinnost jmenovat pověřence pro ochranu osobních údajů však nemají všichni správci či zpracovatelé, kteří v rámci své hlavní činnosti zpracovávají osobní údaje ve velkém rozsahu. K tomu je třeba naplnění třetího kvalifikačního kritéria. Buď půjde o pravidelné a systematické monitorování subjektů údajů nebo zpracování zvláštní kategorie osobních údajů nebo zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Na úrovni členských států GDPR zachovává dále povinnost jmenovat pověřence pro ochranu osobních údajů, pokud to vyžaduje národní právo (např. právo SRN). Český zákon o ochraně osobních údajů takovou povinnost zatím neupravuje.

Monitorování subjektů údajů

GDPR nedefinuje pojem „monitorování subjektů údajů“, ale v preambuli k GDPR se uvádí, že jde zejména o využití online prostředků pro sledování a profilování subjektů údajů v EU, zejména s cílem přijímat rozhodnutí týkající se subjektů údajů nebo analyzovat nebo předvídat jeho preference, chování a postoje. Půjde zejména o profilování a cílenou reklamu v rámci behaviorálního marketingu.

Zvláštní kategorie údajů

Zvláštní kategorii údajů představují osobní údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Z většiny se tato kategorie osobních údajů shoduje se současným pojmem citlivé údaje [1] našeho zákona o ochraně osobních údajů.

S výjimkou případů, kdy je zjevné, že povinnost jmenovat pověřence pro ochranu osobních údajů a správce či zpracovatele zjevně nedopadá, se doporučuje, aby správce a zpracovatelé písemně zdokumentovali proces analýzy a vyhodnocení rozhodnutí, zda jmenují pověřence či nikoliv.

I když správci nebo zpracovateli nevznikne povinnost jmenovat pověřence pro ochranu osobních údajů, doporučujeme v rámci podniku určit jednu osobu, která bude zodpovědná za evidenci, jaké osobní údaje podnik zpracovává, za jakým účelem, po jak dlouhou dobu, zda se souhlasem, či ze zákona, za komunikaci s dozorovými orgány na ochranu osobních údajů (poté co vstoupí GDPR v platnost může teoreticky vykonávat dozorovou činnost i jiný dotčený úřad v rámci EU, nejen ÚOOÚ), a v neposlední řadě za management krizových situací, kdy by došlo k ohrožení či k úniku zpracovávaných osobních údajů. Taková osoba by však neměla povinnosti dle GDPR, šlo by čistě o organizačně-administrativní rozhodnutí správce či zpracovatele.

Pakliže má správce nebo zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů, pak má povinnost zveřejnit kontaktní údaje pověřence pro ochranu osobních údajů a sdělit je také dozorovému úřadu. Pro zveřejnění není předepsaná žádná forma. Doporučujeme tuto osobu uvést na webových stránkách správce nebo zpracovatele, dále pak jeho jméno a kontakt na něj uvádět zejména v souhlasu se zpracováním osobních údajů, v informacích o zpracování osobních údajů povinně sdělovaným subjektům údajů, v textu věnujícím se Cookies zveřejňovaném prostřednictvím webových stránek správce nebo zpracovatele, v interních směrnicích věnovaných ochraně osobních údajů.

Dobrovolné jmenování pověřence pro ochranu osobních údajů

Správce nebo zpracovatel se mohou dobrovolně rozhodnout pro jmenování pověřence pro ochranu osobních údajů. Taková osoba, její jmenování a činnost v rámci organizace pak musí splňovat veškeré podmínky stanovené GDPR. Vedle pověřence pro ochranu osobních údajů však správci nebo zpracovatelé mohou v rámci interního organizačního řádu ustanovit zvláštního zaměstnance, který bude vykonávat interně činnost vážící se ke zpracování a ochraně osobních údajů, ale nepůjde o pověřence pro ochranu osobních údajů podle GDPR. Pak je nutné v organizačním řádu a v pracovní smlouvě jasně stanovit, že nejde o pověřence pro ochranu osobních údajů ve smyslu GDPR. Z toho plyne, že by i název této pozice či funkce neměl znít „pověřenec pro ochranu osobních údajů nebo DPO resp. Data Protection Officer“, ale například „manažer pro správu a evidenci osobních údajů“.

Jmenování pověřence pro ochranu osobních údajů, ani osoby zodpovědné za zpracování osobních údajů v podniku mimo rámec GDPR, nevylučuje zodpovědnost jednotlivých manažerů za legální zpracování osobních údajů na jejich úseku (např. v personální oddělení za zpracování osobních údajů zaměstnanců, v obchodním oddělení za zpracování osobních údajů dodavatelů či zákazníků, v IT oddělení za bezpečnost uložených a zpracovávaných osobních údajů), ani vyvinění organizace jako takové z odpovědnosti za řádné zpracování osobních údajů.

Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku, tzn., že může být jeden pověřenec i pro vícero členských států EU.

Kdo může vykonávat funkci pověřence pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v GDPR, zejména i) poskytovat poradenství správcům a zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR a dalších právních předpisech na ochranu osobních údajů; ii) monitorovat plnění povinností podle právních předpisů na ochranu osobních údajů v podniku při zpracování osobních údajů; a iii) poskytovat poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů.

Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.

Právní vztah pověřence pro ochranu osobních údajů ke správci či zpracovateli může být založen jak smlouvou o dílo, tak pracovní smlouvou. Pověřenec může být do své funkce jmenován, může uzavřít jen dohodu o pracovní činnosti či o provedení práce.

Požadavek GDPR na to, aby pověřenec měl odborné znalosti práva v oblasti ochrany osobních údajů, neznamená, že pověřencem může být pouze kvalifikovaný právník. Jde o osobu, která by měla dobře rozumět vnitřním procesům v podniku, v případě rozsáhlého automatizovaného zpracování osobních údajů (což se u profilingu předpokládá) by vhodným pověřencem mohla být například osoba, která má znalosti v oblasti analýzy dat a kybernetické bezpečnosti.

Postavení pověřence pro ochranu osobních údajů v organizaci

Správce a zpracovatel mají povinnost zajistit, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Správce a zpracovatel mají povinnost podporovat pověřence pro ochranu osobních údajů při plnění úkolů tím, že mu poskytnou zdroje nezbytné k plnění těchto úkolů, přístup k osobním údajům a operacím zpracování a poskytnou mu zdroje k udržování jeho odborných znalostí.

Zejména to znamená, že pověřenec má právo na informace od ostatních zaměstnanců organizace a statutárních orgánů, zda v rámci jejich plnění povinností zpracovávají osobní údaje, pokud ano, k jakým účelům je zpracovávají. Pověřenec má nejenom právo, ale i povinnost zkoumat, zda zpracování osobních údajů je zákonné, tj. zda k němu dochází buď na základě zákonného zmocnění či na základě souhlasu. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení. Pověřenec je zodpovědný za poskytnutí porady v rámci podniku ve všech otázkách týkajících se zpracování osobních údajů.

Správce má povinnost provést posouzení vlivu zamýšlených operací zpracování osobních údajů na ochranu osobních údajů, pokud je pravděpodobné, že určitý druh zpracování, bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Pokud byl u správce povinně jmenován pověřenec pro ochranu osobních údajů, správce má povinnosti vyžádat si jeho posudek.

Pověřenec má být přizván i při přípravě nových projektů, aby posoudil, zda nové projekty mohou zahrnovat zpracování osobních údajů a zda pro subjekty údajů z projektu nevyplývají nepřiměřená rizika v souvislosti se zpracováním jejich osobních údajů. Pověřenec zodpovídá za nastavení interních postupů, které mají zajistit preventivní ochranu zpracovávaných osobních údajů před neautorizovaným přístupem, změnou, likvidací, kopírováním apod.

Dle textu GDPR by pověřenec neměl být propuštěn ani sankciován v souvislosti s plněním svých úkolů. Tím se jistě nemyslí ukončení smlouvy s pověřencem, pokud by neplnil své povinnosti a nedbal na ochranu osobních údajů, resp. pokud by opakovaně či hrubým způsobem porušil své povinnosti ze smlouvy, ať už ze smlouvy o dílo či pracovní smlouvy. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů. V diskuzích se zdůrazňuje, že pověřenec má mít takové postavení, aby nebyl v konfliktu zájmu s ochranou osobních údajů subjektů údajů, a to zejména, že by pověřencem neměl být člen statutárního orgánu. Z povahy odpovědnosti pověřence rovněž vyplývá, že konflikt je dán i u ostatních členů managementu, tj. neměl by to být ani generální ředitel, personální ředitel, obchodní nebo finanční ředitel apod. Pověřenec by v hierarchii měl stát na manažerské pozici na úrovni vyššího managementu, ale měl by mít de facto nezávislou pozici. Zejména by neměl dostávat od správce či zpracovatele žádné pokyny týkající se výkonu jeho úkolů dle GDPR, rovněž by jeho odměňování nemělo být závislé na hospodářském výsledku organizace.

Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán povinností mlčenlivosti v souladu s právem Unie nebo členského státu. Obecně platí, jak podle současného zákona, tak podle GDPR, že osoby podílející se na zpracování osobních údajů jsou povinny o nich zachovávat mlčenlivost. Pro praxi to má velký význam, protože to znamená, že bez dalšího se orgány činné v trestním řízení, zejména policie, nesmí dotazovat na osobní údaje, o nichž má taková osoba povědomost, ale je k tomu potřeba přivolení soudu.

Jednou ze zásad práce s osobními údaji je, že by tyto měly být přístupny pouze na „need-to-know basis“. To znamená, že přístup ke zpracovávaným osobním údajům mají mít osoby pouze v rozsahu naprosto nezbytném pro plnění svých úkolů. Z postavení pověřence pro ochranu osobních údajů nelze dovozovat, že pověřenec má vždy a neomezeně přístup ke všem zpracovávaným osobním údajům u správce či zpracovatele.

Úkoly pověřence pro ochranu osobních údajů

Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:

• poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

• monitorování souladu s GDPR, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

• poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování;

• spolupráce s dozorovým úřadem; a

• působení jako kontaktní osoba pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace, a případně vedení konzultací v jakékoli jiné věci.

Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.

- - - -

[1] Ustanovení § 4 písm. b), zák. č. 101/2000 Sb., o ochraně osobních údajů v platném znění: citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

Autorka: Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha

Související články

Advokátní kancelář má novou posilu do týmu Real Estate

Taylor Wessing Praha rozšiřuje své řady o novou advokátku Ivanu Meňhartovou (31). Ta se bude orientovat především na klienty z oblasti Real Estate. Erwin Hanslik, vedoucí partner...

kalendář akcí
SimpleCell / Sigfox

Sigfox World IoT Expo

25.9.2017 - 26.9.2017
VŠE

Startup Festival 2017

27.9.2017
Acomware

Emailing 2020

5.10.2017
Veletrhy Brno

Automatizace 2017

9.10.2017 - 13.10.2017
Progres Partners Advertising s.r.o.

SCADA BEZPEČNOSTNÍ KONFERENCE 2017

12.10.2017 - 13.10.2017
Sabris

DOCURIDE

12.10.2017
UNIT s.r.o.

Konference Radiokomunikace

17.10.2017 - 19.10.2017
IDC

IOT FORUM 2017

19.10.2017
Reliant Group

SpeedCHAIN

1.11.2017 - 2.11.2017
Internet Info

WebTop100

15.11.2017
BusinessIT

Datová centra pro business 2017

23.11.2017
Terinvest

Amper 2018

20.3.2018 - 23.3.2018