Autoři: Robert Nešpůrek (partner), Jaroslav Šuchman (senior advokát), Ján Jaroš (advokátní koncipient)
Zdroj: EPRAVO.CZ (26. 3. 2018)
Mnohaleté zákonodárné úsilí loni vyústilo v zásadní změnu regulace ochrany osobních údajů na úrovni Evropské unie přijetím nařízení Evropského parlamentu a Rady č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)(„GDPR[1]“ nebo „nařízení“). GDPR, jako nový právní předpis, sebou přináší řadu nových konceptů a právních institutů v souvislosti s ochranou osobních údajů. Jedním z nich je povinnost, stanovená pro určité kategorie správců a zpracovatelů, nominovat pověřence pro ochranu osobních údajů – Data Protection Officer („DPO“). Nařízení vnímá postavení pověřence v systému ochrany osobních údajů jako klíčové a stanoví podmínky pro jeho jmenování, postavení v rámci správce/zpracovatele a specifikuje jeho úkoly.
Jaký správce musí pověřence jmenovat?
Pod pojmem jmenování DPO,[2] tedy pojmem užívaném zejména ve státní správě, se rozumí ustanovení osoby, fyzické či právnické, do funkce pověřence pro ochranu osobních údajů. S jistotou lze říci, že tuto povinnost mají orgány veřejné moci či veřejný subjekt[3] s výjimkou soudů jednajících v rámci svých soudních pravomocí. Složitější již bude určení, na které správce povinnost jmenovat DPO dopadá v soukromé sféře.
Další případy povinného jmenování, které nařízení výslovně předpokládá, lze dovozovat pouze výkladem, jelikož povinnost jmenovat DPO je vztažena (i) k povaze, rozsahu, nebo účelu rozsáhlého pravidelného a systematického zpracování a také (ii) ke kategorii osobních údajů, které jsou zpracovávány.[4]Vodítkem správné interpretace uvedených neurčitých právních pojmů mohou být pokyny vydávané pracovní skupinou zřízenou na základě čl. 29 Směrnice 95/46/ES[5] („WP29“). Mezi již vydanými pokyny jsou právě též vodítka k DPO,[6] které se mimo jiné věnují výkladu rozsáhlosti zpracování. Dle těchto pokynů se rozsáhlost zpracování odvíjí od počtu subjektů údajů, rozsahu sbíraných dat, konstantnosti zpracování a zeměpisného přesahu. I další z nařízením užitých pojmů by zasluhovaly širší právní rozbor, jako např. systematičnost a pravidelnost, avšak jejich výklad by přesahoval rozsah tohoto článku.
Soukromoprávní subjekty by tedy měly nejprve vyhodnotit výše zmíněné atributy vztahující se k rozsáhlosti zpracování, aby nebylo pochyb o (ne)jmenování pověřence. V pochybnostech lze správcům doporučit vypracování analýzy – dokumentu, ve kterém by byly rozpracovány důvody zejména pro nejmenování DPO, čímž by současně byla naplněna jedna z povinností GDPR,[7] dle které musí správce být schopen prokázat soulad své činnosti s nařízením. Pracovní skupina WP29 obdobně ve svém stanovisku k DPO doporučuje, aby ti správci, kteří povinnost jmenovat pověřence nemají a nejmenují ho ani dobrovolně, doložili interní vyhodnocení se zohledněním relevantních faktorů, proč nebyl pověřenec jmenován. Taková analýza se s největší pravděpodobností bude dokládat dozorovému orgánu, a to v průběhu kontrolní neboli dozorové činnosti nebo v rámci případné předchozí konzultace s dozorovým orgánem.
Požadavky na osobu pověřence
Základní požadavky na osobu pověřence stanoví čl. 37 odst. 5 nařízení. Pověřenec by především měl být ustanoven na základě svých profesních kvalit.
Požadavky na profesní kvality definuje nařízení tak, že se jedná zejména o odborné znalosti práva a praxe v oblasti ochrany osobních údajů. Je zřejmé, že vyžadována bude znalost národního a evropského práva v oblasti ochrany osobních údajů, odpovídající praxe a samozřejmě zejména precizní znalost GDPR, a to také s ohledem na odchylky, které jednotlivé státy mohou zapracovat do svých národních předpisů.[8] Výše zmíněné znalosti DPO jsou pouze nezbytným předpokladem pro výkon funkce, přičemž lze předpokládat, že šíře znalostí by se neměla omezovat pouze na nařízení, ale měla by zahrnovat také předpisy příslušného odvětví, ve kterém správce či zpracovatel působí. Např. v souvislosti se zpracováním zdravotní dokumentace bude nezbytná víc než elementární znalost zákona o zdravotních službách.
DPO by měl být podrobně seznámen s procesy a technologiemi zpracování osobních údajů u správce či zpracovatele, pro kterého bude tuto funkci vykonávat. Míra jeho potřebné odbornosti bude však různá, a to v závislosti na citlivosti, složitosti a rozsahu zpracovávaných osobních údajů. Dále lze předpokládat, že v souvislosti s možnými přeshraničními kontrolami dozorových úřadů členských států EU, by měl DPO ovládat minimálně jeden z úředních jazyků EU na takové úrovni, aby mohl v případě potřeby komunikovat s těmito zahraničními dozorovými úřady,[9] příp. s nově zřízeným Evropským sborem pro ochranu osobních údajů.
DPO bude hrát klíčovou roli v procesech ochrany osobních údajů, a proto musí mít odpovídající schopnosti, mimo jiné osobnostní, aby byl schopen veškeré úkoly na něj kladené správcem naplnit. Byť na první pohled může mít nejlepší předpoklady pro výkon funkce DPO osoba, která je v pracovním nebo obdobném poměru ke správci, a případně již vykonává funkci, díky které je obeznámena s toky dat ve společnosti, nebude v některých případech přípustné, aby pozici DPO tato osoba zastávala, s ohledem na neslučitelnost výkonu některých funkcí, které GDPR předpokládá. Platí, že pozice v rámci organizace, které by mohly vést ke střetu zájmů, zejména např. jsou-li na těchto pozicích plněny úlohy určující účely a prostředky zpracování (zejména tedy vedoucí pozice), nemohou být zároveň pověřovány coby DPO.[10]
Plnění úkolů pověřencem
Základní úkoly pověřence definuje čl. 39 nařízení, přičemž další povinnosti nalézáme v dalších částech GDPR[11] Hlavním úkolem pověřence je monitorování souladu činností zpracování osobních údajů s nařízením. Za tímto účelem by měl pověřenec se správcem či zpracovatelem spolupracovat při zavádění vhodných technických a organizačních opatření k zajištění souladu a v souvislosti s tím poskytovat poradenství a doporučení. Spolupráce s dozorovými úřady bude klíčová, neboť znalosti v oblasti ochrany osobních údajů by měly přispět k zefektivnění vzájemné komunikace. Úřad by měl pověřence v problematice ochrany údajů považovat za své „rovnocenné partnery“. DPO bude dle nařízení působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování údajů. Veškeré interní předpisy, postupy, ad. by měly být vyhotoveny nebo připomínkovány právě pověřencem.
Pověřenec je oprávněn s dozorovým úřadem konzultovat jakékoliv věci, ve kterých není vázán důvěrností. Zaváhání DPO anebo špatně formulovaná rada správci/zpracovateli může být podnětem k zahájení dozorové činnosti. Výběr pověřence by i proto měl být řádně uvážen, neboť výše nařízením stanovených pokut je značná.
DPO bude mít důležité postavení mimo jiné také při plnění další z nových povinností dle GDPR – hodnocení posouzení vlivu na ochranu osobních údajů. WP29 výslovně doporučuje, aby si správce vyžádal stanovisko pověřence k otázkám týkajícím se posouzení vlivu na ochranu osobních údajů,[12] a to zejména v otázce, zda v konkrétním případě posouzení vlivu provést, jakou metodologii při provádění použít, jaké prostředky ochrany ke snížení rizika porušení práv subjektů údajů implementovat, zda bylo posouzení řádně provedeno anebo zda jsou závěry posouzení v souladu s požadavky nařízení. Vzhledem ke komplexnosti témat, které má DPO řešit, je žádoucí jeho vysoká odbornost.
Zaměstnanec správce, či externí subjekt?
Nařízení předpokládá, že DPO může být zaměstnancem správce či zpracovatele anebo také externím subjektem, který může plnit úkoly na základě smlouvy o poskytování služeb. Plněním úkolů lze tedy pověřit nejen fyzickou, ale též právnickou osobu. Při této úvaze je třeba připomenout požadavek čl. 38 odst. 6 nařízení, který vyžaduje, aby žádný z úkolů a povinností, kterými DPO pověřil zaměstnavatel v rámci pracovně právního vztahu, nevedly ke střetu zájmů.
Za stěžejní lze považovat čl. 38 odst. 3 GDPR, který garantuje autonomii DPO při výkonu jeho činností. Ustanovení konkrétně požaduje, aby DPO nedostával žádné pokyny týkající se výkonu svých úkolů na poli ochrany osobních údajů, a dokonce, aby v souvislosti s plněním svých úkolů nebyl správcem nebo zpracovatelem propuštěn ani jinak sankcionován. Pověřenec tedy nesmí dostávat žádné pokyny ohledně toho, jakého výsledku má být dosaženo, či např. jak vyřizovat stížnosti od subjektů údajů.
S ohledem na již existující institut DPO v některých státech EU, a procesní a administrativní komplikace se zakotvením této ze zákona autonomní funkce do struktury podniku, je zřejmé, že výkon funkce bude často svěřen nikoli zaměstnancům správce, ale také externím subjektům, včetně specializovaných společností. Domníváme se, že právě z důvodu vyšší odbornosti, kterou může představovat tým lidí specializovaných nejen na ochranu osobních údajů, a který využívá vnitřních synergií v rámci specializované společnosti k vyšší operativnosti, může vytvářet podmínky pro výkon této funkce lépe a efektivněji, než pověřený zaměstnanec. Pro zajištění plynulé spolupráce se správcem nebo zpracovatelem by však v rámci týmu externího pověřence měla vždy být stanovena konkrétní osoba, která má daného správce/zpracovatele na starosti a působí vzhledem k němu jako osoba odpovědná.
Nelze též přehlédnout důležitou skutečnost, že dle nařízení má být DPO včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Za včasné zapojení bude odpovídat správce/zpracovatel, který by měl s ohledem na brzké nabytí účinnosti GDPR řešit otázku volby a včasného zapojení pověřence již dnes.
Závěr
Nařízení je postaveno na přístupu založeném na riziku. I institut pověřence, který zohledňuje riziko spojené s konkrétními operacemi zpracování, je navržen tak, aby s ohledem na povahu, rozsah, kontext a účel zpracování pomohl dosáhnout jednoho z hlavních cílů regulace – minimalizace rizika zásahu do práv a svobod fyzických osob při zpracování osobních údajů. GDPR cílí na nastavení podmínek výkonu funkce pověřence tak, aby byla garantována dostatečná míra nezávislosti a současně poskytnuta potřebná ochrana při plnění specifických úkolů. Vzhledem k náročnosti a komplexnosti operací zpracování osobních údajů v některých společnostech, bude osoba pověřence hrát zásadní roli při zajišťování souladu s právní regulací ochrany osobních údajů. Volba pověřence by proto měla být uvážená, jelikož koncepčně nevhodné nastavení či z něho plynoucí chybná řešení a rozhodnutí mohou znamenat pro správce nemalé finanční, ale případně též reputační náklady vynaložené v budoucnu.
[1]General Data Protection Regulation.
[2]Anglické znění GDPR užívá pojem „designate“.
[3]Orgánem veřejné moci či veřejným subjektem se rozumí veškeré orgány veřejné správy, tedy státní správy i samosprávy (územní i zájmové).
[4]Dalšími případy povinného ustanovení pověřence jsou: hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů (čl. 37 odst. 1 písm. b) GDPR); nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 (čl. 37 odst. 1 písm. c) GDPR).
[5]Stávající Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[6]WP29. Pokyny týkající se pověřenců pro ochranu osobních údajů. 16/CS. WP243 rev.01.
[7]Čl. 24 odst. 1 GDPR.
[8]Např. dle čl. 88 odst. 1 GDPR členské státy mohou právním předpisem nebo kolektivními smlouvami stanovit konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.
[9]Výčet všech dozorových úřadů je zde: http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.
[10]WP29. Pokyny týkající se pověřenců pro ochranu osobních údajů. 16/CS. WP243 rev.01.
[11]Např. dle čl. 35 odst. 2 GDPR, při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.
[12]Data Protection Impact Assessment.
Radka Rainová