Jednou z hlavních novinek, kterou přináší Nařízení, je zavedení funkce tzv. pověřence pro ochranu osobních údajů (Data Protection Officer - DPO). Tuto funkci budou povinni zřídit ti správci a zpracovatelé osobních údajů, u kterých to nařízení vyžaduje. Správci a zpracovatelé, kteří chtějí proklamovat soulad své činnosti s GDPR, mohou však pověřence ustanovit i tehdy, jestliže se jich tato povinnost netýká.
Tento článek navazuje na texty z předchozích dvou čísel věnovaných Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále také "GDPR" nebo "Nařízení"),1 přičemž především objasňuje, v jakých případech bude třeba funkci pověřence zřizovat, jaké bude jeho postavení v organizaci, jakož i které úkoly budou pověřenci z jeho funkce vyplývat.
Kdy pověřence ustanovit
Povinnost zřídit funkci pověřence pro ochranu osobních údajů dopadá podle čl. 37 Nařízení na několik kategorií správců a zpracovatelů osobních údajů. V prvé řadě budou muset pověřence ustanovit orgány veřejné moci a veřejné subjekty. Pověřenci budou tedy činní v nejrůznějších veřejných institucích, ať už jde o obecní a krajské úřady či ministerstva, jiné ústřední úřady (ÚOHS, ERÚ aj.), nebo v orgánech profesní samosprávy (Česká advokátní komora, Česká lékařská komora aj.) či na veřejných vysokých školách. Naopak povinnost zřídit funkci pověřence plošně nedopadá na příspěvkové organizace, u kterých se bude muset existence této povinnosti posuzovat dle obecného pravidla rozsáhlosti, pravidelnosti a systematičnosti zpracování osobních údajů. Nařízení nestanovuje minimální velikost orgánu, povinnost mít pověřence se tedy bude vztahovat i na ty nejmenší obecní úřady. Určité zmírnění přináší čl. 37 odst. 3 GDPR, podle kterého může být v případě orgánů veřejné moci s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec současně pro několik takových subjektů. Ministerstvo vnitra ve svém metodickém doporučení hovoří o tom, že vhodným počtem obcí, pro které bude moci vykonávat činnost pověřence jedna osoba, je přibližně 10 obcí, nevylučuje však i vyšší počet.2
Vedle první velké skupiny subjektů, u kterých bude muset pověřenec působit, se bude tato povinnost vztahovat především na ostatní (tedy i soukromé) subjekty, jejichž hlavní (primární) činnost spočívá v operacích zpracování osobních údajů, které kvůli své povaze, svému rozsahu nebo svému účelu vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů. O rozsáhlé operace se jedná tehdy, jestliže má sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a při nichž hrozí vysoké riziko zneužití. Toto vymezení je velmi vágní, což potvrzuje i stanovisko pracovní skupiny WP29, nezávislého poradního orgánu Evropské komise v oblasti ochrany osobních údajů, dle kterého existuje velmi široká zóna bez zřejmého zařazení mezi zpracování osobních údajů rozsáhlá či nikoliv rozsáhlá.3 Samotné stanovisko jako rozsáhlé uvádí zpracování údajů pacientů v nemocnicích, zákazníků mezinárodních řetězců, bank, pojišťoven. Naopak mezi zpracování, která nejsou rozsáhlá, řadí zpracování pacientů jednotlivým, například obvodním lékařem. Zcela jasné vodítko pro malé nebo středně velké podniky, polikliniky atd., které zpracovávají osobní údaje jednotek tisíc osob (zákazníků, pacientů nebo zaměstnanců), stanovisko nepřináší, a ani odborná literatura prozatím nevymezila jasné hranice.
Monitorováním osob se pak rozumí činnosti bezpečnostních agentur, provozování kamerových systémů, sledování polohy apod. Aby povinnost ustanovit pověřence skutečně na správce nebo zpracovatele dopadla, musí být naplněny oba znaky, tedy jak monitorování, tak jeho rozsáhlost, systematičnost a pravidelnost. Stejně jako v případě orgánů veřejné moci může i skupina společností jmenovat jediného pověřence, a to za podmínky, že tento bude snadno dosažitelný z každé z nich. Obdobně jako u společného pověřence několika orgánů veřejné moci není ani v tomto případě stanoven maximální počet společností, pro které může pověřenec svoji funkci vykonávat. Vzhledem k požadavku dosažitelnosti (i jazykové) se však pravděpodobně bude jednat o skupiny společností v rámci jednotlivých států. Dosažitelnost neznamená toliko přítomnost fyzickou, lze si představit i pověřence, který bude dosažitelný pouze telefonicky či online. Dovozuje se, že požadavek dosažitelnosti platí i pro pověřence společného několika orgánům veřejné moci.
Poslední skupinu subjektů povinných zřídit funkci pověřence tvoří správci a zpracovatelé osobních údajů, jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 Nařízení (např. údaje o rasovém a etnickém původu či o náboženském či politickém přesvědčení) a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.4
Každý správce či zpracovatel osobních údajů, přestože se na něj povinnost ustanovit pověřence dle výše uvedených kritérií nebude vztahovat, může pověřence ve své organizaci dobrovolně ustanovit. V takovém případě bude ale pověřenec muset plnit všechny povinnosti, které od jeho funkce Nařízení vyžaduje.
Postavení pověřence v organizaci
Podle čl. 37 odst. 6 GDPR může být pověřencem zaměstnanec správce či zpracovatele nebo se může jednat o externí osobu, která bude funkci vykonávat jako službu na smluvním základě. V každém případě je klíčové, aby byl správce nezávislý a nepodléhal při výkonu své funkce pokynům svých nadřízených či smluvních partnerů. Za výkon své funkce nesmí být pověřenec propuštěn ani jinak sankcionován. Pověřenec pro ochranu osobních údajů má být při své činnosti přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Podle čl. 38 odst. 6 Nařízení může pověřenec plnit i jiné úkoly a povinnosti. Toto ustanovení znamená, že funkce pověřence nemusí být vykonávána "na plný úvazek" a že může tvořit pouze jednu z mnoha činností, kterou daný pracovník (obvykle zaměstnanec) u správce či zpracovatele vykonává. Proto, pokud by pověřenec vykonával u správce další činnosti (lze si představit například kumulaci s funkcemi, jako je právník nebo compliance officer), neznamená to zřejmě, že by měl být v rámci organizační struktury nutně zařazen pod vrcholové řídící pracovníky. Pouze je nezbytné, aby při výkonu své činnosti těmto pracovníkům odpovídal (například v rámci maticové organizační struktury).
Lze očekávat velký rozmach výkonu funkce pověřence jako služby, neboť pověřenec-zaměstnanec bude z hlediska nákladů i pracovního vytížení dávat smysl zřejmě pouze mezi většími správci a zpracovateli.
Pověřenec pro ochranu osobních údajů může po správci či zpracovateli požadovat, aby byl náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů v dané organizaci. Má rovněž právo na poskytnutí podpory z jejich strany, zejména mu musí být umožněn přístup k osobním údajům a k operacím s nimi. Může rovněž požadovat podporu v souvislosti s udržováním svých odborných znalostí.
Subjektům, jejichž osobní údaje jsou zpracovávány, musí být umožněno, aby se v souvislosti s ochranou jejich údajů na pověřence kdykoliv a v jakékoliv záležitosti mohly obrátit.
Úkoly pověřence
Nařízení stanovuje v čl. 39 odst. 1 základní výčet úkolů, které musí pověřenec u správce či zpracovatele údajů vykonávat. Jde zejména o poskytování informací a poradenství organizaci a jejím zaměstnancům, monitorování souladu nakládání s osobními údaji s právními předpisy a poskytování poradenství souvisejícího s posuzováním vlivu na ochranu osobních údajů. V neposlední řadě také pověřenec plní funkci kontaktního místa pro dozorový úřad (v ČR je tímto orgánem Úřad pro ochranu osobních údajů), kterému musí pověřenec rovněž poskytnout součinnost a spolupráci.
Pokud jde o monitorování souladu s právními předpisy, nemá vymezení tohoto úkolu za následek osobní odpovědnost pověřence v případě zjištěného pochybení. Správné nakládání s osobními údaji v souladu se zákonem zůstává odpovědností správce, popř. zpracovatele. Stejně tak posouzení vlivu zamýšlených operací zpracování osobních údajů na jejich ochranu, které musí za podmínek čl. 35 odst. 1 Nařízení v některých situacích správci a zpracovatelé vypracovat, je primárně jejich povinností a odpovědností. Pověřenec však může sehrát velmi důležitou a užitečnou roli při zpracování posouzení, neboť správce i zpracovatel jsou povinni vyžádat si k němu posudek pověřence, byl-li jmenován. Pracovní skupina WP29 ve svém vodítku doporučuje pověřencům, aby posudek vypracovali např. i k otázce, zda je nebo není nutné provést posouzení vlivu, jakou metodiku k němu použít či zda je vhodné si k němu přizvat externího posuzovatele. Jakýkoliv posudek pověřence není sice pro správce či zpracovatele závazný, případný nesouhlas s ním by však správce či zpracovatel měl přinejmenším odůvodnit v dokumentaci k posouzení.5
Při spolupráci s dozorovým úřadem je pověřenec považován za nápomocnou osobu. Má mimo jiné usnadnit dozorujícímu orgánu přístup k dokumentům a informacím při výkonu jeho pravomoci. Může se rovněž na dozorový orgán obrátit s žádostí o radu či konzultaci - přitom není vázán povinností mlčenlivosti, která se na něj ve všech ostatních situacích vztahuje.6
V nařízení stanovené úkoly, které musí pověřenec vykonávat, představují pouze minimum požadovaných činností. Pověřenci tedy mohou být přiděleny další úkoly, které bude v souvislosti s ochranou osobních údajů vykonávat, či mohou být v nařízení stanovené úkoly více specifikovány.
Při všech činnostech, které pověřenec vykonává, bere patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování. Podle této zásady by činnost pověřenců měla být zaměřena primárně na takové problémy, které představují z hlediska ochrany osobních údajů větší riziko.