Pověřenci pro zpracování osobních údajů

V roce 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Svaz průmyslu a dopravy ČR připravil sérii článků, které se zabývají danou problematikou. V tomto článku naleznete informace o tom, co smí a nesmí dělat takzvaný pověřenec.

Omyl první: pověřenec nesmí od vedení dostávat žádné instrukce, aby byla zachována jeho nezávislost

Firmy si často stěžují na to, že pověřenec je pro ně jakýsi „nad-zaměstnanec“, protože pokud by jej jmenovaly, nesmí podle GDPR dostávat od vedení své firmy žádné úkoly, prý aby byl ve své pověřenecké činnosti nezávislý. Obecné nařízení k této tematice ve svém článku 38 přesně stanovuje:

Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Důležité zde je povšimnout si formulace „těchto úkolů“ nebo „svých úkolů“. Těmi totiž obecné nařízení rozumí úkoly pověřence vyplývající z nařízení a nikoli obecně všechny úkoly pověřence jako zaměstnance nebo i mandatáře či příkazníka firmy. Bylo by skutečně absurdní si představovat, že pro všechny zaměstnance platí např. zákaz vstupu do rizikových nebo vyhrazených prostor, pracovní doba, povinnosti jako zpracovávat pravidelné reporty či pracovní výkazy, předkládat zaměstnavateli doklady k pracovním cestám apod., jen pověřenci jsou těchto povinností zproštěni kvůli privilegovanosti svého postavení oproti ostatním zaměstnancům.

Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy

Opak je pravdou – běžné povinnosti platí pro pověřence úplně stejně jako pro všechny ostatní zaměstnance organizace správce a za jejich neplnění či nesplnění mohou být stejně jako všichni ostatní sankcionováni. Zákaz udílení pokynů a zákaz propuštění i sankcionování platí tedy výlučně na činnosti související s odborným výkonem funkce pověřence a nevztahuje se na jeho běžné zaměstnanecké povinnosti. Současně je třeba pamatovat na to, že pověřence nelze sankcionovat v souvislosti s plněním jeho povinností – v případě jejich neplnění to však neplatí a liknavý či nečinný pověřenec může být svým zaměstnavatelem nebo správcem, který jej do funkce jmenoval, samozřejmě sankcionován za zanedbání jeho povinností.

Omyl druhý: pověřenec vůbec nesmí sám pracovat s osobními údaji, aby nebyl ve střetu zájmů

GDPR ke střetu zájmů uvádí lakonicky pouze to, že pověřenec může vykonávat i jiné úkoly, při jejichž plnění by však každopádně nemělo dojít ke střetu zájmů. Širší kontext výkladu střetu zájmů však uvádí ve svých vodítkách bývalá tzv. WP29 (Pracovní skupina podle čl. 29 směrnice 95/46/ES), která praví, že

  • pověřenec pro ochranu osobních údajů nemůže v rámci organizace zastávat pozici, ve které by měl určovat účely a prostředky zpracování osobních údajů.

Přičemž situaci pověřence nelze paušalizovat vzhledem k rozdílným poměrům v každé organizaci správce. Současně WP29 uvádí důležitou informaci, že

  • může ke střetu zájmů dojít rovněž například tehdy, je-li externí pověřenec pro ochranu osobních údajů požádán, aby správce nebo zpracovatele zastupoval před soudy v případech týkajících se otázek ochrany osobních údajů.

Pověřencem zcela jistě nemůže být CEO firmy, manažer rozhodující o nastavení procesů ani firemní advokát.

Z uvedeného vyplývá, že každý správce by si měl identifikovat pozice, které jsou vyloučeny z kumulace s funkcí pověřence, a naopak i ty, které jsou s touto pozicí kompatibilní. Pověřencem zcela jistě nemůže být CEO firmy ani manažer rozhodující o nastavení procesů, vývoji služeb zaměřených na zákazníka nebo práci s osobními daty zaměstnanců. Nemůže jím být ani advokát, který poskytuje firmě právní služby v záležitostech, které se mohou týkat i osobních údajů a hrozí tedy, že by měl zájmy organizace správce hájit u soudu.

Naopak pověřencem se stát mohou běžní zaměstnanci – např. pracovník HR oddělení, účetní, ale i poradce šéfa firmy, ovšem vždy jen za předpokladu, že současně plní další požadavek nařízení, kterým je, že

  • pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Další častá nepochopení institutu pověřenců nebo nesprávný výklad jejich postavení

Pověřence mohu bez omezení sdílet s ostatními firmami/organizacemi – I v těchto případech je třeba myslet na střet zájmů. A ten praví, že pověřenec by neměl být ve střetu zájmů ani v externím slova smyslu, neměl by tedy poskytovat své služby správcům údajů, kteří jsou v potenciálně konkurenčním postavení na trhu.

Je obecně lepší mít interního/externího pověřence – Není možné doporučení paušalizovat. Nejprve je třeba, aby si organizace, resp. vedení organizace správce identifikovalo, zda má daná organizace povinnost jmenovat pověřence pro ochranu osobních údajů. A pokud už je tato povinnost dána, jaký je odhad kapacity potřebné pro výkon funkce pověřence a nakolik komplikované úkony pověřenec pravděpodobně bude plnit. V návaznosti na tento odhad je možné zvážit obě možnosti – jak jmenování interního zaměstnance, tak i najmutí externího odborníka. Obojí je aplikovatelné a obojí může být právě tím nejvhodnějším řešením pro některé typy organizací.

Pro výkon funkce pověřence je nutná certifikace nebo zápis do seznamu pověřenců – Nikoliv. V Česku nemáme a nebudeme mít žádný veřejnoprávní seznam pověřenců obdobný seznamu znalců a tlumočníků – je tedy zcela na soukromém sektoru, resp. na trhu, aby zvolil možné cesty k publikaci nabídky služeb pověřenců a je na každém pověřenci, jak se bude snažit stát se na trhu co nejviditelnější. Existují různé seznamy pověřenců vedené soukromoprávními organizacemi, existují různé soukromoprávní certifikáty, které mohou určitému pověřenci dát jistou konkurenční nebo kvalifikační výhodu před pověřenci jinými. Ve výsledku je však vždy na organizaci správce, jakou osobu právě svým pověřencem jmenuje.

Pověřenec musí být jmenován pro každý typ veřejnoprávní organizace – Ne všechny veřejnoprávní organizace musejí mít svého pověřence – jsou to pouze ty, které spadají pod definici „veřejného subjektu“, o které hovoří ve svém čl. 37 GDPR. Výklad tohoto pojmu poskytuje moudře a v českých podmínkách srozumitelně český zákonodárce, který v aktuálně platném návrhu zákona uvádí, že takovými subjekty jsou orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu. Z dosavadní výkladové činnosti ÚOOÚ přitom vyplývá, že za takové subjekty se mj. nepovažují veřejné knihovny, poskytovatelé sociálních služeb, organizace poskytující volnočasové aktivity jako domy dětí a mládeže nebo jiná volnočasová centra či základní umělecké školy. Naopak pověřence mít musejí všechny typy veřejnoprávních škol včetně škol mateřských, samozřejmě úřady státní správy i samosprávy, mezi jimi zřizovanými organizacemi je však třeba pečlivě filtrovat ty, které do definice „veřejných organizací“ spadají a které již nikoli.

Jak tyto omyly řešit v praxi

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Buďte u vědomí toho, že v ČR aktuálně neexistuje ani se nepřipravuje žádný systém veřejnoprávní certifikace pověřenců nebo veřejnoprávní seznam pověřenců a všechny certifikace i seznamy tedy pocházejí výlučně ze soukromých iniciativ.

K tematice pověřenců pro Vás mohou být užitečné následující odkazy:

Redakčně upraveno

Doporučujeme