Řada lidí se mylně domnívá, že téměř každý správce musí mít pověřence pro ochranu osobních údajů. Ve skutečnosti však správce musí jmenovat pověřence jen v případě splnění jedné ze tří podmínek.
Kdo musí mít pověřence
Úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR. V praxi se často také vyskytuje mylné přesvědčení, že pověřenec musí mít zvláštní vzdělání, kvalifikaci či certifikaci. Opak je pravdou – GDPR ani český právní řád s ničím takovým nepočítají a je na zodpovědnosti každé firmy či organizace, aby si zajistila služby takového pověřence a v takovém rozsahu, který vyhoví jejím potřebám.
Povinnost jmenovat pověřence nastává ve třech případech:
- Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů).
- Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů.
- Hlavní činností správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Za hlavní činnosti lze považovat klíčové operace směrující k dosažení cílů správce. Jak upozorňuje v příručce Hospodářská komora ČR, aby se jednalo o hlavní činnost podnikatele, musí být osobní údaje zpracovávány rozsáhle a musí souviset se základními činnostmi právnické osoby. Jde o veškeré aktivity podnikatele, kdy je zpracování osobních dat nedílnou součástí činnosti podnikatele.
Příklady rozsáhlého zpracování:
- zpracování údajů o pacientech v rámci běžné činnosti nemocnice
- zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
- zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost
- zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
- zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
- zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb
Úkoly pověřence:
- shromažďovat informace za účelem zjišťování zpracovatelských činností
- analyzovat a prověřovat právní soulad zpracovatelských činností
- informovat, radit a vydávat doporučení správci nebo zpracovateli
- poskytovat poradenství/posudku při posuzování vlivu na ochranu osobních údajů a monitorování jeho uplatňování.
V neposlední řadě by firmy měly pamatovat na to, že pověřenec nenese osobní odpovědnost za nedodržování GDPR a že odpovědnost za dodržení povinností zůstává na bedrech firmy samotné.
ČLÁNKY DO MAILU