Pověřenec DPO – Povinné jmenování pověřence

2 Jmenování pověřence

2.1. Povinné jmenování

Obecné nařízení v článku 37, odst. 1 požaduje jmenovat pověřence ve třech konkrétních případech:5

a) pokud zpracování provádí orgán veřejné moci či veřejný subjekt6
b) pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
c) pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů7 nebo8 osobních údajů týkajících se rozsudků v trestních věcech a trestných činů9

V dalším textu poskytuje WP29 rady ohledně kritérií a terminologie v článku 37, odst. 1.

Není-li zřejmé, že organizace nemusí pověřence jmenovat, doporučuje WP29 správcům a zpracovatelům, aby doložili interní analýzou, zda je nebo není nutné pověřence ustavit a mohli tak prokázat, že řádně zohlednili důležité faktory.10 Tato analýza bude součástí dokumentace pořízené podle zásady odpovědnosti. Dozorový úřad o ni může požádat a měla by být podle potřeby aktualizována, například když správce nebo zpracovatel začne vykonávat nové činnosti nebo poskytovat nové služby, jež mohou spadat mezi případy uvedené v článku 37 odst. 1.

Ustanoví-li organizace pověřence dobrovolně, podléhá jeho jmenování, postavení a úkoly článkům 37 až 39 stejně jako kdyby jmenování bylo povinné.

Nic nebrání organizaci, která není ze zákona povinná jmenovat pověřence a ani ho nechce jmenovat dobrovolně, přesto najmout zaměstnance nebo externí konzultanty pro úkoly související s ochranou osobních údajů. V takovém případě je nutné zajistit, aby nedocházelo k nedorozumění ohledně jejich funkce, postavení a úkolů. Mělo by tedy být uvnitř společnosti i navenek vůči orgánům dozoru, subjektům údajů a široké veřejnosti jasně sděleno, že takový pracovník nebo konzultant není v postavení pověřence pro ochranu osobních údajů.11

Pověřenec, povinný nebo dobrovolný, je jmenován pro veškeré operace zpracování prováděné správcem nebo zpracovatelem.

2.1.1 Veřejný orgán nebo veřejný subjekt

Obecné nařízení nevysvětluje, co znamená „veřejný orgán nebo veřejný subjekt“. WP29 se domnívá, že tento pojem by měl být definován národním právem. Veřejnými orgány a subjekty jsou národní, regionální a místní úřady, ale tento koncept podle platného národního práva typicky zahrnuje řadu dalších subjektů řídících se veřejným právem.12 V takových případech je jmenování pověřence povinné.

Úkol ve veřejném zájmu a výkon veřejné moci může být plněn13 nejenom veřejným orgánem nebo subjektem, ale také jinými fyzickými nebo právnickými osobami řídícími se veřejným nebo soukromým právem v oblastech specifikovaných národními předpisy členských států, jako je veřejná doprava, zásobování vodou a energiemi, silniční infrastruktura, veřejnoprávní vysílání, veřejné bydlení nebo disciplinární orgány pro vázané profese.

V těchto případech mohou být subjekty údajů v situaci velmi podobné té, kdy jejich data jsou zpracována veřejným orgánem nebo subjektem. Zvláště proto, že data mohou být zpracována pro podobné účely, přičemž jednotlivci často mají malý nebo nemají žádný vliv na to, zda a jak budou jejich data zpracována a mohou tedy požadovat dodatečnou ochranu, jakou může přinést jmenování pověřence.

Ačkoliv v těchto případech to není povinné, WP29 doporučuje jako osvědčený postup, aby soukromé organizace vykonávající úkol ve veřejném zájmu zadání nebo funkci orgánu veřejné moci jmenovaly pověřence. Činnost tohoto pověřence se vztahuje na veškeré operace zpracování včetně těch, které nesouvisí s plněním úkolu ve veřejném zájmu nebo úřední povinnosti (např. správa databáze zaměstnanců).

2.1.2 Hlavní činnosti

Obecné nařízení v článku 37, odst. 1, písm. b) a c) pojednává o „hlavních činnostech správce nebo zpracovatele“. Recitál 97 upřesňuje, že hlavní činnosti správce souvisejí „s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost“. „Hlavní činnosti“ mohou být chápány jako klíčové operace nezbytné k dosažení cílů správce nebo zpracovatele.

„Hlavní činnosti“ by však neměly být interpretovány způsobem vydělujícím aktivity, při nichž zpracování dat tvoří nedílnou součást činnosti správce nebo zpracovatele. Například, hlavní činnost nemocnice je poskytovat zdravotní péči. Nemocnice však nemůže poskytovat zdravotní péči bezpečně a účinně bez zpracování zdravotních dat, jako jsou zdravotní záznamy o pacientovi. Zpracování těchto údajů by tedy mělo být považováno za jednu z hlavních činností a nemocnice proto musí jmenovat pověřence.

Jiným příkladem je soukromá bezpečnostní agentura vykonávající dohled v určitém počtu soukromých nákupních center a veřejných míst. Hlídání je hlavní činností firmy, je ovšem neoddělitelně spjato se zpracováním osobních údajů. Tato agentura musí proto jmenovat pověřence.

Na druhé straně, všechny organizace provádějí určité činnosti, například vyplácení zaměstnanců nebo poskytování standardní podpory informační a komunikační techniky. To jsou příklady potřebných funkcí podporujících hlavní činnost nebo podnikání organizace. Byť nutné nebo důležité, jsou tyto aktivity obvykle brány spíše jako pomocné funkce než hlavní činnost.

2.1.3 Rozsáhlé zpracování

Podle článku 37, odst. 1, písm. b) a c) musí být zpracování osobních údajů prováděno ve velkém rozsahu, aby to vyvolalo povinnost jmenovat pověřence. Obecné nařízení nedefinuje, co činí zpracování rozsáhlým, určitý návod poskytuje recitál 91. 14

Vskutku není možné uvést nějaké přesné, pro všechny situace použitelné, číslo udávající množství zpracovávaných dat nebo počet dotčených jednotlivců. Není vyloučeno, že se časem vyvine standardní praxe jak přesněji určit a/nebo množstevně vyjádřit pojem „rozsáhlý“ ve vztahu k určitým typům obvyklých činností zpracování. WP29 plánuje přispět k tomuto vývoji sdílením a uveřejňováním příkladů relevantních ukazatelů signalizujících nutnost jmenovat pověřence.

WP29 každopádně doporučuje vzít při určování rozsáhlosti zpracování v úvahu následující faktory:

  • počet dotčených subjektů údajů – vyjádřený buď konkrétním číslem, nebo podílem na relevantní populaci
  • objem dat a/nebo rozsah různých datových položek
  • doba trvání nebo nepřetržitost zpracování
  • územní rozsah zpracování

Příklady rozsáhlého zpracování:

  • zpracování údajů o pacientech v rámci běžné činnosti nemocnice
  • zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
  • zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost
  • zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
  • zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
  • zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb

Příklady zpracování, která nejsou rozsáhlá:

  • zpracování údajů o pacientech jednotlivým lékařem
  • zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem

2.1.4 Pravidelné a systematické monitorování

Pojem pravidelného a systematického monitorování subjektů údajů není v Obecném nařízení definován, avšak koncept „monitorování chování subjektů údajů“ je zmíněn v recitálu 2415 a jasně zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy.

Pojem sledování není však omezen pouze na prostředí online, přičemž sledování na internetu by mělo být bráno jen jako jeden z příkladů monitorování chování subjektů údajů.16

WP29 vykládá slovo „pravidelný“ jednou nebo kombinací více následujících charakteristik:

  • průběžný nebo v pravidelných intervalech a po určitou dobu se opakující
  • stále se opakující nebo opakovaný ve stanoveném čase
  • neustále nebo pravidelně se vyskytující

WP29 vykládá slovo „systematický“ jednou nebo kombinací více následujících charakteristik:

  • vyskytující se podle určitého systému
  • přednastavený, organizovaný nebo metodický
  • uskutečňující se jako součást obecného plánu pro sběr dat
  • vykonávaný jako součást strategie

Příklady činností, které mohou zakládat pravidelné a systematické monitorování subjektů údajů: provozování telekomunikační sítě; poskytování telekomunikačních služeb; cílení internetové reklamy pomocí e-mailu, marketing řízený daty, profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní špinavých peněz), sledování polohy, například u mobilních aplikací, věrnostní programy; behaviorální reklama, sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení, kamerové systémy; propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy, atd.

2.1.5 Zvláštní kategorie údajů a údaje týkající se rozsudků v trestních věcech a trestných činů

Článek 37, odst. 1, písm. c) se vztahuje na zpracování zvláštních kategorií údajů podle článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů podle článku 10. I když je v ustanovení užita spojka „a“, není důvod tato dvě kritéria aplikovat zároveň. Text by proto měl být chápán, jako kdyby v něm stálo „nebo“.

Mohlo by vás zajímat


5 Podle článku 37, odst. 4 může Unie nebo členské státy zákonem vyžadovat jmenování pověřence i v jiných případech.
6 S výjimkou soudů jednajících v rámci svých soudních pravomocí. Viz článek 32 Směrnice (EU) 2016/680.
7 Podle článku 9 sem patří osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení či odborovou příslušnost a dále zpracování genetických a biometrických dat za účelem jednoznačné identifikace fyzické osoby, údaje týkající se zdraví nebo údaje o pohlavním životě nebo orientaci fyzické osoby.
8 V článku 37, odst. 1, písm. c je použita spojka „a“. Použití „nebo“ namísto „a“ je vysvětleno v kapitole 2.1.5 níže.
9 Článek 10.
10 Viz článek 24, odst. 1.
11 Platí to i pro členy vedení organizace pověřených ochranou soukromí (Chief Privacy Officers) a ostatní odborníky na tuto oblast již dnes působících v některých firmách, kteří nemusí vždy splňovat kritéria Obecného nařízení, například pokud jde o dostupné zdroje nebo záruky nezávislosti a pokud je skutečně nesplňují, nemohou být považováni za pověřence.
12 Viz například definice pojmů „subjekt veřejného zájmu“ a „veřejnoprávní subjekt“ v článku 2, odst. 1 a 2 směrnice 2003/98/ES Evropského parlamentu a Rady ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru (Úř. věst. L 345, 31.12.1995, str.90).
13 Článek 6, odst. 1, písm. e.
14 Jde především o citaci „rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko“. Recitál na druhé straně konkrétně stanoví, že „zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky“. Je třeba si uvědomit, že příklady uvedené v recitálu představují krajní body na opačných koncích pomyslné stupnice (zpracování jednotlivým lékařem v protikladu k zpracování osobních údajů za celou zemi nebo Evropu) a mezi nimi leží velká šedá zóna. Také je třeba mít na paměti, že tento recitál se týká posouzení vlivu na ochranu osobních údajů. Některé prvky mohou tedy být specifické v tomto kontextu a nemusí nutně platit stejným způsobem pro jmenování pověřenců.
15 „Aby se určilo, zda může být činnost zpracování považována za monitorování chování subjektů údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného použití technik zpracování osobních údajů, které spočívají v profilování fyzické osoby, zejména za účelem přijetí rozhodnutí, která se jí týkají, nebo za účelem analýzy či odhadu jejích osobních preferencí, postojů a chování.“
16 Recitál 24 se zaměřuje na extrateritoriální uplatnění Obecného nařízení. Navíc je zde rozdíl mezi formulací „monitorování jejich chování“ (článek 3, odst. 2, písm. b) a „pravidelné a systematické monitorování subjektů údajů“ (článek 37, odst. 1, písm. b), který by mohl vést k domněnce, že jde o dva odlišné pojmy.


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 4.7.2017

Košík