GDPR - musí mít příspěvková organizace pověřence?

O GDPR se v poslední době hodně mluví a hodně se s ním straší. Jedním z termínů, který je velmi často používán je tzv. pověřenec pro ochranu osobních údajů. Zjednodušeně „někdo, kdo bude mít materii na starost“. Musí mít takového pověřence obce, měst a kraj, nebo příspěvková organizace?

GDPR je nařízení Evropského parlamentu a Rady (EU) 2016/679. Jde o nařízení O ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Toto nařízení ukládá v některých případech, aby správce a zpracovatel jmenovali tzv. pověřence pro ochranu osobních údajů. Tyto případy jsou vyjmenovány v čl. 37 GDPR. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt. Otázkou je, zda se v takovém případě jedná obec, kraj a zda se tato úprava vztahuje i na jejich příspěvkové organizace? Odpověď nabízí aktuální návrh adaptačního zákona k GDPR.[1] Ten v § 13 veřejný subjekt definuje. Za veřejný subjekt podle článku 37 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 se považuje orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Jak uvádí důvodová zpráva tohoto zákona, Orgány veřejné moci a veřejné subjekty [2] lze chápat velmi široce podle logiky předpisů o přístupu k informacím jako:

Ministerstva, další ústřední orgány státní správy, další jim podřízené úřady (cca 50)

Obce všech kategorií (cca 6 250) a kraje (14)

Všechny soudy (97)

Všechny příspěvkové organizace (přes 10 000)

Státní podniky (20) a případně další veřejné ústavy atd.

Veřejné školy (asi 10 000)

Veřejné nebo ozbrojené sbory (Policie, HZS, Armáda …)

Komory (ČAK, ČLK, …).

Důležité ovšem je sledovat i recitály (úvodní ustanovení). Odpovídající recitál GDPR čl. 97 [3] o „veřejných subjektech“ vůbec nehovoří, uvádí jen orgány veřejné moci. Z toho lze dovodit, že veřejné subjekty se mají svou povahou orgánům veřejné moci pouze blížit. Smyslem článku 37(1)(a) není kontrola moci ze strany veřejnosti, ani kontrola hospodaření s veřejnými prostředky, jako u zákona 106/1999 Sb. a dalších předpisů o přístupu k informacím. Pokud například obec založí s.r.o. na opravu silnic, nemá zřízení pověřence pro ochranu dat v takové s.r.o. žádnou přidanou hodnotu a představuje administrativní zátěž a náklad navíc. Pojem z české ústavy „orgán veřejné moci“ je chápán jako „orgán, který autoritativně zasahuje do práv a povinností fyzických nebo právnických osob“. V praxi se tím rozumí orgány moci výkonné a soudní včetně územní a zákonem regulované profesní samosprávy, tedy zejména:

Ministerstva, další ústřední orgány státní správy a další úřady jim podřízené (asi 50)

Veřejné sbory, ozbrojené sbory, veřejné školy (cca 10 000),

Kraje (14), obce (asi 6 250)

Komory (ČAK, ČLK …)

Soudy (vč. Ústavního) mimo soudní rozhodování – max. 97

Smyslem ustanovení čl. 37 je lépe chránit osobní údaje v případech, kdy existuje dostatečná formální nerovnováha mezi subjektem údajů a správcem, například protože příslušný zákon, podle kterého se správce řídí, může stanovit řadu omezení práv subjektu údajů. Jak uvádí důvodová zpráva, definice naopak záměrně nedopadá např. na příspěvkové organizace či jiné pomocné instituce, protože v případech, kdy taková instituce provádí zpracování, jež vyžaduje nasazení pověřence, bude pokryta ustanoveními čl. 37 odst. 1 písm. b) nebo c) nařízení (například zdravotnická nebo pečovatelská zařízení, protože provádějí systematický monitoring subjektů údajů nebo rozsáhlé zpracování citlivých údajů). Naopak pokud takové zpracování neprovádí, ani není ve zvláštním vztahu k subjektům údajů, bylo by zavádění pověřenců zbytečnou administrativní zátěží.   JUDr. Jakub Dohnal, Ph.D., advokát -- Zdroje: [1] https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW [2] podle překladu čl. 37 odst. 1 písm. a) Obecného nařízení o ochraně osobních údajů (anglicky a public authority or body, francouzsky une autorité publique ou un organisme public, německy Behörde oder öffentlichen Stelle) [3] Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem. Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.  

Photo by Markus Spiske on Unsplash