14.310
Zpracování osobních údajů – role pověřence
Ing. Růžena Klímová
Jednou z významných novinek, kterou přináší do českého právního řádu GDPR, je role tzv. pověřence pro ochranu osobních údajů. Pověřenec pro ochranu osobních údajů má plnit funkci pomocníka či koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a zároveň funkci kontaktního bodu pro jeho komunikaci s dozorovými úřady (v ČR s Úřadem pro ochranu osobních údajů).
Pracovní skupina WP29 vydala výkladová stanoviska k některým významným otázkám nařízení GDPR; jedno z nich se podrobněji zabývá právě pověřencem pro ochranu osobních údajů.
Jmenování pověřence pro ochranu osobních údajů
Povinné jmenování pověřence předepisuje nařízení GDPR v článku 37 pro následující případy:
- zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (nehledě na to, jaké kategorie osobních údajů a v jaké míře zpracovává);
- hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo vyžaduje-li tak právo Evropské unie nebo členského státu.
Ad a) Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom veřejným orgánem nebo subjektem, ale také jinými fyzickými nebo právnickými osobami řídícími se veřejným nebo soukromým právem v oblastech specifikovaných národními předpisy členských států, jako je veřejná doprava, zásobování vodou a energiemi, silniční infrastruktura, veřejnoprávní vysílání, veřejné bydlení nebo disciplinární orgány pro vázané profese.
Ad b) "Hlavní činnosti" by však neměly být interpretovány způsobem vydělujícím aktivity, při nichž zpracování dat tvoří nedílnou součást činnosti správce nebo zpracovatele. Například hlavní činnost nemocnice je poskytovat zdravotní péči. Nemocnice však nemůže poskytovat zdravotní péči bezpečně a účinně bez zpracování zdravotních dat, jako jsou zdravotní záznamy o pacientovi. Zpracování těchto údajů by tedy mělo být považováno za jednu z hlavních činností a nemocnice proto musí jmenovat pověřence. Jiným příkladem je soukromá bezpečnostní agentura vykonávající dohled v určitém počtu soukromých nákupních center a veřejných míst. Hlídání je hlavní činností firmy, je ovšem neoddělitelně spjato se zpracováním osobních údajů. Tato agentura musí proto jmenovat pověřence.
Na druhé straně, všechny organizace provádějí určité činnosti, například vyplácení zaměstnanců nebo poskytování standardní podpory informační a komunikační techniky. Jde o činnosti nezbytně podporující hlavní činnost nebo podnikání organizace. I když jsou tyto aktivity nutné nebo důležité, jsou vnímány spíše jako pomocné funkce než hlavní činnost.
Podle článku 37 musí být zpracování osobních údajů prováděno ve velkém rozsahu, aby to vyvolalo povinnost jmenovat pověřence. Obecné nařízení nedefinuje, v čem rozsáhlost spočívá. Není vyloučeno, že se během času vyvine standardní praxe, jak objektivně a kvantitativně vyjádřit výraz "rozsáhlý" ve vztahu k určitým typům obvyklých činností zpracování.
Příklady rozsáhlého zpracování:
-
zpracování údajů o pacientech v rámci běžné činnosti nemocnice,
-
zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky),
-
zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost,
-
zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky,
-
zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy,
-
zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb.
Příklady zpracování, která nejsou rozsáhlá:
-
zpracování údajů o pacientech jednotlivým lékařem,
-
zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem.
Pravidelné a systematické monitorování
Pojem pravidelného a systematického monitorování subjektů údajů není v Nařízení definován. Aby některá činnost byla považována za monitorování chování subjektu údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného profilování.
Uveďme některé příklady pravidelného a systematického monitorování:
-
provozování telekomunikační sítě;
-
poskytování telekomunikačních služeb;
-
cílení internetové reklamy pomocí e-mailu, profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz);
-
sledování polohy, například u mobilních aplikací;
-
věrnostní programy;
-
sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení;
-
kamerové systémy;
-
propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy atd.
Pravidelné a systematické je definováno podle činnosti, nikoliv podle použitých prostředků.
Upozornění: Kamerový systém u zaměstnavatele není důvodem pro povinnost jmenovat pověřence. Aby tato povinnost vznikla, muselo by se jednat o hlavní činnost správce nebo zpracovatele spočívajících v operacích zpracování, které by kvůli své povaze vyžadovaly pravidelné a systematické monitorování subjektů údajů. Taková povinnost by se týkala bezpečnostních agentur, které provozují kamerové systémy, např. v obchodních centrech.
Jmenování pověřence by tak nemělo být pro správce povinné v případě zpracování osobních údajů, které je prováděno pouze jako pomocná činnost k dosažení základních cílů činnosti správce. Pracovní skupina WP29 výslovně uvádí, že společnosti běžně provádějí různé podpůrné činnosti (jako například vedení evidence za účelem vyplácení mezd zaměstnancům), které jsou nezbytné k zajištění hlavní činnosti společnosti. Tyto činnosti však nelze ve většině případů považovat za hlavní činnost správce. Na druhou stranu v případech, kdy zpracování osobních údajů je neodmyslitelnou součástí činnosti správce nebo zpracovatele, mělo by být považováno za hlavní činnost – jako příklad se uvádí zpracování zdravotních údajů pacientů jako jednu z hlavních činností nemocnice (nikoliv však zpracování osobních údajů jednotlivým lékařem), zpracování osobních údajů zákazníků pojišťovnou nebo bankou či zpracování osobních údajů za účelem personalizování obsahu a cílení reklamy na základě chování při používání vyhledávacích nástrojů.
Povinnost ustavit funkci pověřence pro ochranu osobních údajů,…