Pověřenec DPO – Pověřenec pro více organizací a dostupnost

2.2. Pověřenec zpracovatele

Článek 37 platí pro správce17 i zpracovatele18 pokud jde o jmenování pověřence. V některých případech může pověřence ustanovit jen správce nebo jen zpracovatel, podle toho, kdo z nich splňuje kritéria povinného jmenování. V jiných případech musí pověřence jmenovat správce i zpracovatel (oba by pak měli vzájemně spolupracovat).

Je důležité vyzdvihnout, že i pokud správce splňuje kritéria povinného jmenování, jeho zpracovatel nemusí nutně pověřence jmenovat. Může to však být dobrou praxí.

Příklady:

  • Malý rodinný podnik prodávající domácí spotřebiče v jediném městě využívá služeb zpracovatele, jehož hlavní činností je analýza webových stránek a pomoc s cílenou reklamou a marketingem. Činnost rodinného podniku ani jeho zákazníci nezavdávají důvod k rozsáhlému zpracování dat vzhledem k jejich malému počtu a poměrně omezeným aktivitám. Zato zpracovatel, maje dohromady mnoho takových klientů jako zmíněná malá firma, rozsáhlé zpracování provádí. Musí tedy jmenovat pověřence podle článku 37, odst. 1, písm. b). Naproti tomu tento rodinný podnik povinnosti jmenovat pověřence nepodléhá.
  • Středně velký výrobce obkladaček zajišťuje ochranu zdraví zaměstnanců smluvně přes externí firmu, která má velký počet podobných klientů. Tato firma (zpracovatel) musí jmenovat pověřence podle článku 37, odst. 1, písm. c) za předpokladu, že se jedná o rozsáhlé zpracování. Výrobce však povinnosti jmenovat pověřence nutně nepodléhá.

Pověřenec jmenovaný zpracovatelem dohlíží rovněž na činnosti, které zpracovatelská organizace vykonává pro sebe jako správce (např. personalistika, IT, logistika).

2.3. Jmenování jediného pověřence pro více organizací

Článek 37, odst. 2 dovoluje skupině podniků jmenovat jediného pověřence, pokud bude „snadno dosažitelný z každého podniku“. Pojem dosažitelnosti se vztahuje k úkolům pověřence jako kontaktního bodu pro subjekty údajů19, orgány dozoru20, ale také uvnitř organizace, vzhledem k tomu, že jedním z úkolů pověřence je „poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení“.21

K zajištění dostupnosti pověřence, ať interního nebo externího, je důležité, aby byly k dispozici jeho kontaktní údaje v souladu s požadavky Obecného nařízení.22

Pověřenec, pokud nutno s pomocí týmu, musí být schopen účinně komunikovat se subjekty údajů23 a spolupracovat24 s příslušným dozorovým úřadem. Také to znamená, že komunikovat se musí v jazyce nebo jazycích užívaných dotčenými orgány dozoru a subjekty údajů. Dosažitelnost pověřence (fyzicky na stejném pracovišti jako zaměstnanci, přes horkou linku nebo bezpečné komunikační prostředky) je zásadní pro zajištění, že subjekty údajů budou schopny pověřence kontaktovat.

Podle článku 37, odst. 3, může jediný pověřenec být jmenován pro několik orgánů veřejné moci či veřejných subjektů při zohlednění jejich organizační struktury a velikosti. Totéž platí pro zdroje a komunikaci. V odpovědnosti pověřence jsou rozmanité úkoly, proto musí správce nebo zpracovatel zajistit, aby jediný pověřenec, s pomocí týmu, bude-li nezbytné, je zvládnul plnit efektivně i přesto, že byl jmenován pro několik orgánů veřejné moci nebo veřejných subjektů.

2.4. Dosažitelnost a sídlo pověřence

Pověřenec by měl být, podle Oddílu 4 Obecného nařízení, skutečně dostupný.

WP29 doporučuje jako obecné pravidlo, aby v zájmu dosažitelnosti pověřenec sídlil v Evropské unii, bez ohledu, zda správce nebo zpracovatel je v Evropské unii usazen.

Nelze však vyloučit, že v některých situacích, kdy správce nebo zpracovatel nebude mít provozovnu v Evropské unii25, může pověřenec vyvíjet činnost účinněji, bude-li sídlit mimo EU.


Viz také:


17 Správce je definován v článku 4, odst. 7 jako osoba nebo orgán, který určuje účely a prostředky zpracování.
18 Zpracovatel je definován v článku 4, odst. 8 jako osoba nebo orgán, který zpracovává osobní údaje pro správce.
19 Článek 38, odst. 4: „Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení“.
20 Článek 39, odst. 1, písm. e): působí jako „kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci“.
21 Článek 39, odst. 1, písm. a).
22 Viz také oddíl 2.6. níže.
23 Článek 12, odst. 1: „Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti.“
24 Článek 39, odst. 1, písm. d): „spolupráce s dozorovým úřadem“
25 Viz článek 3 Obecného nařízení o místní působnosti


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 4.7.2017

Košík