Stručný výklad konceptu DPO GDPR pověřence

Jmenování pověřence

Které organizace musí jmenovat pověřence?

Jmenovat pověřence je povinné, pokud:

zpracování provádí orgán veřejné moci či veřejný subjekt (bez ohledu na to, jaká data jsou zpracovávána)
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Navíc, právo Unie nebo členských států může vyžadovat jmenování pověřence také v dalších situacích. I v případech, kdy Obecné nařízení nevyžaduje jmenování pověřence, mohou organizace dojít k rozhodnutí, že dobrovolné ustavení pověřence bude užitečné. WP29 takovou dobrovolnou iniciativu podporuje. Pokud organizace jmenuje pověřence dobrovolně, platí pro jeho jmenování, postavení a úkoly stejné požadavky jako kdyby byl ustaven povinně. [viz GDPR článek 37, odst. 1]

Co se rozumí pojmem „hlavní činnosti“?

Za „hlavní činnosti“ lze považovat klíčové operace směřující k dosažení cílů správce nebo zpracovatele. Sem také patří veškeré aktivity, kde zpracování dat je nedílnou součástí činnosti správce nebo zpracovatele. Například zpracování zdravotních dat, jako jsou zdravotní záznamy pacienta, by mělo být považováno za jednu z hlavních činností a nemocnice tak musí jmenovat pověřence.

Na druhé straně, všechny organizace vykonávají určité podpůrné činnosti, kupříkladu vyplácení zaměstnanců nebo standardní podporu výpočetní a informační techniky. Jde o nezbytné funkce podporující hlavní činnost nebo podnikání organizace. Byť nutné nebo podstatné, jsou tyto činnosti považovány spíše za pomocné funkce, než za klíčovou aktivitu. [viz GDPR článek 37, odst. 1, písm. b) a c)]

Co znamená „rozsáhlý“?

Obecné nařízení nedefinuje pojem rozsáhlé zpracování. WP29 doporučuje při určování, zda zpracování je rozsáhlé, vzít v úvahu zejména následující faktory:

počet dotčených subjektů údajů – buď v absolutním vyjádření nebo podílem na relevantní populaci
objem zpracovávaných dat a/nebo rozsah datových položek
doba trvání nebo nepřetržitost zpracovatelské činnosti
územní rozsah zpracovatelské činnosti

Příklady rozsáhlého zpracování:

zpracování údajů o pacientech v rámci běžné činnosti nemocnice
zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové tramvajenky)
zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost
zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb

Příklady zpracování, která nejsou rozsáhlá:

zpracování údajů o pacientech jednotlivým lékařem
zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů individuálním právníkem

[viz GDPR článek 37, odst. 1, písm. b) a c)]

Co znamená „pravidelné a systematické monitorování“?

Pojem pravidelné a systematické monitorování subjektů údajů Obecné nařízení nedefinuje, jasně však tento výraz zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. Pojem monitorování není ovšem omezen pouze na prostředí online.

Příklady činností, které mohou zakládat pravidelné a systematické monitorování subjektů údajů: provozování telekomunikační sítě; poskytování telekomunikačních služeb; cílení internetové reklamy pomocí e-mailového retargetingu, marketing řízený daty, profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní špinavých peněz), sledování polohy, například u mobilních aplikací; věrnostní programy; behaviorální reklama; sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení, kamerové systémy, propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy (domotika), atd.

WP29 vykládá slovo „pravidelný“ jednou nebo kombinací více následujících charakteristik:

průběžný nebo v pravidelných intervalech a po určitou dobu se opakující
stále se opakující nebo opakovaný ve stanovených časech
neustále nebo pravidelně se vyskytující

WP29 vykládá slovo „systematický“ jednou nebo kombinací více následujících charakteristik:

vyskytující se podle určitého systému
přednastavený, organizovaný nebo metodický
uskutečňující se jako součást obecného plánu pro sběr dat
vykonávaný jako součást strategie

[viz GDPR článek 37, odst. 1, písm. b)]

Mohou organizace jmenovat pověřence společně? Pokud ano, za jakých podmínek?

Ano. Skupina podniků může jmenovat jediného pověřence, pokud bude „snadno dosažitelný z každého podniku“. Pojem dosažitelnost se vztahuje k úkolům pověřence coby kontaktního místa pro subjekty údajů, dozorové úřady a platí také interně, uvnitř organizace. Pro zabezpečení dosažitelnosti pověřence, interního nebo externího, je důležité zajistit dostupnost jeho kontaktních údajů. Pověřenec, pokud nutno s pomocí týmu, musí být schopen účinně komunikovat se subjekty údajů a spolupracovat s dotčenými dozorovými orgány. To znamená, že komunikace musí probíhat v jazyce nebo jazycích užívaných dotčenými dozorovými orgány a subjekty údajů. Dosažitelnost pověřence (fyzicky na stejném pracovišti jako zaměstnanci, přes horkou linku nebo bezpečné komunikační prostředky) je zásadní pro zajištění, že subjekty údajů budou schopny pověřence kontaktovat.

Jediný pověřenec může být jmenován pro několik orgánů veřejné moci nebo veřejných subjektů s přihlédnutím k jejich organizační struktuře a velikosti. Pro zdroje a komunikaci platí stejná kritéria. Vzhledem k tomu, že pověřenec má rozmanité úkoly, musí správce nebo zpracovatel zajistit, aby je jediný pověřenec, pokud nutno s pomocí týmu, mohl vykonávat efektivně i navzdory skutečnosti, že byl jmenován pro několik orgánů veřejné moci nebo veřejných subjektů. [viz GDPR článek 37, odst. 2 a 3]

Kde má pověřenec sídlit?

WP29 doporučuje, jako obecné pravidlo, aby pověřenec v zájmu dosažitelnosti sídlil v Evropské unii, bez ohledu, zda správce nebo zpracovatel je v Evropské unii usazen. Nelze však vyloučit, že v některých situacích, kdy správce nebo zpracovatel nebude mít provozovnu v Evropské unii, může pověřenec vyvíjet činnost účinněji, pokud bude sídlit mimo EU.

Lze jmenovat externího pověřence?

Ano. Pověřencem může být pracovník správce nebo zpracovatele (interní pověřenec) nebo může úkoly plnit na základě smlouvy o poskytování služeb. To znamená, že pověřencem může být externista a v takovém případě vykonává svoji funkci na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo organizací.

Vykonává-li funkci pověřence externí poskytovatel, pak úkoly pověřence mohou být plněny týmově jednotlivci pracujícími pro daného externistu, přičemž odpovědnost nese určená vedoucí kontaktní osoba pověřená péčí o klienta. V tomto případě je nezbytné, aby každý člen externí organizace vykonávající funkci pověřence plnil všechny příslušné požadavky Obecného nařízení.

V zájmu právní jasnosti a dobré organizace a také kvůli prevenci konfliktu zájmů se doporučuje mít ve smlouvě o poskytování služeb jasné rozdělení úkolů v rámci týmu externího pověřence a ustanovit jednu určitou osobu jako hlavní kontakt pověřený péčí o klienta. [viz GDPR článek 37, odst. 6]

Jaké profesní kvality by pověřenec měl mít?

Pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly.

Potřebná úroveň odborných znalostí by měla být určena v závislosti na prováděných zpracovatelských operacích a požadované ochraně zpracovávaných osobních údajů. Pokud například je zpracovatelská činnost zvláště složitá nebo je prováděna s velkým množstvím citlivých údajů, bude pověřenec potřebovat znalosti a podporu na vyšší úrovni.

Mezi důležité dovednosti a zkušenosti patří:

znalost národního a unijního práva v oblasti ochrany dat a praktické zkušenosti včetně hluboké znalosti Obecného nařízení
znalost prováděných zpracovatelských operací
znalost informačních technologií a bezpečnosti dat
znalost dané oblasti podnikání a organizace
schopnost propagovat kulturu ochrany dat v organizaci

[viz GDPR článek 37, odst. 5]

Postavení pověřence

Jaké zdroje by správce nebo zpracovatel měl pověřenci poskytnout pro plnění úkolů?

Pověřenec musí mít zdroje potřebné k výkonu svých úkolů.

V závislosti na povaze zpracovatelských operací a činností a velikosti organizace jsou zdroje, které by pověřenec měl mít k dispozici, následující:

aktivní podpora ze strany vyššího managementu
dostatek času k plnění úkolů
odpovídající podpora finanční, technická (kancelářské prostory, vybavení, zařízení) a personální pokud je potřeba
oficiální oznámení o jmenování pověřence všem zaměstnancům
přístup do jiných útvarů v organizaci, aby měl pověřenec nezbytnou podporu a informace z těchto útvarů
průběžné školení

[viz GDPR článek 38, odst. 2]

Jaké jsou záruky umožňující pověřenci plnit úkoly nezávislým způsobem? Co znamená „konflikt zájmů“?

Existuje několik záruk umožňujících pověřenci konat nezávisle:

žádné pokyny od správce nebo zpracovatele týkající se výkonu úkolů pověřence
nemožnost propuštění nebo sankcionování v souvislosti s plněním úkolů
zajištění správcem nebo zpracovatelem, aby žádné pověřencovy úkoly nebo povinnosti nevedly ke střetu zájmů

Jiné úkoly pověřence nesmějí vést ke konfliktu zájmů. V první řadě to znamená, že pověřenec nemůže v organizaci zastávat místo, na kterém by musel stanovovat účely a prostředky zpracování osobních údajů. Vzhledem k organizační struktuře specifické pro každou organizaci, je potřeba tuto otázku řešit případ od případu.

V konfliktním postavení uvnitř organizace mohou typicky být pozice ve vyšším managementu (výkonný ředitel, provozní ředitel, finanční ředitel, zdravotní ředitel, vedoucí marketingového oddělení, vedoucí personálního oddělení nebo vedoucí oddělení IT), ale i pozice na nižším stupni organizační struktury, pokud v takovém postavení dochází k rozhodování o účelech a prostředcích zpracování. Konflikt zájmů může také kupříkladu vzniknout, pokud externí pověřenec bude požádán o zastupování správce nebo zpracovatele před soudem v případě týkajícím se ochrany osobních údajů. [viz GDPR článek 38, odst. 3 a článek 38, odst. 6]

Úkoly pověřence

Co znamená „monitorování souladu“?

Pověřenec, v rámci svých povinností, může zejména:

shromažďovat informace za účelem zjišťování zpracovatelských činností
analyzovat a prověřovat právní soulad zpracovatelských činností
informovat, radit a vydávat doporučení správci nebo zpracovateli

[viz GDPR článek 39, odst. 1, písm. b)]

Je pověřenec osobně odpovědný v případě nesouladu s požadavky ohledně ochrany osobních údajů?

Ne. Pověřenci nejsou osobně odpovědni za nesoulad s požadavky ochrany osobních údajů. Je to správce nebo zpracovatel, kdo musí zajistit a doložit, že zpracování probíhá ve shodě s Obecným nařízením. Dodržování předpisů pro ochranu osobních údajů je odpovědností správce nebo zpracovatele.

Jaká je role pověřence v souvislosti s posudky vlivu na ochranu osobních údajů a se záznamy o činnostech zpracování?

Pokud jde o posouzení vlivu na ochranu osobních údajů, správce nebo zpracovatel by si měl nechat pověřencem poradit, mimo jiné v následujících věcech:

zda je potřeba, případně není potřeba, vypracovat posouzení vlivu na ochranu osobních údajů (dále jen „posouzení vlivu“)
jakou metodiku při zpracování posouzení vlivu uplatnit
zda posouzení vlivu vypracovat vlastními silami nebo jeho zpracování zadat externě
jaká ochranná opatření (včetně technických a organizačních) uplatnit pro zmírnění rizik vůči právům a zájmům subjektů údajů
zda posouzení vlivu bylo zpracováno správně a zda jeho závěry (ať už vedou či ne k pokračování zpracovatelské operace a bez ohledu na to, jaká ochranná opatření určují uplatnit) jsou v souladu s požadavky na ochranu osobních údajů

V případě záznamů o činnostech zpracování má povinnost vést záznamy o zpracovatelských operacích správce nebo zpracovatel, nikoliv pověřenec. Nic ovšem nebrání správci nebo zpracovateli, aby pověřenci zadal úkol vést záznamy o operacích zpracování, přičemž odpovědnost nese správce nebo zpracovatel. Tyto záznamy by měly být chápány jako jeden z nástrojů umožňující pověřenci vykonávat úkoly spočívající v monitorování souladu, informování a poskytování rad správci nebo zpracovateli. [viz GDPR článek 39, odst. 1, písm. c) a GDPR článek 30]

V Bruselu dne 13. prosince 2016

Za pracovní skupinu
předsedkyně Isabelle FALQUE-PIERROTIN

Posledně revidováno a schváleno 5. dubna 2017

Mohlo by vás zajímat

zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 4.7.2017