Současnou právní úpravu ochrany osobních údajů představuje zákon č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, která stejně jako národní úpravy ostatních států Evropské unie vznikla na základě Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Pověřenec pro ochranu osobních údajů
JUDr.
Eva
Janečková
Nové nařízení EU č. 2016/679
V posledních letech se však stále více ukazovalo, že jak směrnice, tak prováděcí právní předpisy jednotlivých států jsou zastaralé a nereflektují současný vývoj ve zpracování osobních údajů ani potřebu předávat osobní údaje mezi jednotlivými státy, což nejednotná právní úprava značně komplikuje.
Dne 27. dubna 2016 proto schválil Evropský parlament konečnou podobu Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Jedná se o nová pravidla v oblasti ochrany osobních údajů. Nařízení EU jsou pro členské státy závazná a přímo použitelná.
Platí v celém svém rozsahu v celé EU. To znamená, že zmíněné nařízení nahradí dosud platnou národní právní úpravu, realizovanou zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Nařízení musí členské země do 6. května 2018 převést do vnitrostátní legislativy, nařízení začne platit od 25. května 2018.
Nařízení přináší některé úplné novinky. Mezi ně patří i povinnost některých správců a zpracovatelů osobních údajů jmenovat tzv. pověřence pro ochranu osobních údajů. Tento institut se již v některých členských zemích objevil, u nás je však úplnou novinkou. Úpravu pověřence obsahuje 4. oddíl nařízení.
Povinnost jmenovat pověřence se nevztahuje na všechny subjekty, které zpracovávají osobní údaje. Tato povinnost podle článku 37 odst. 1 nařízení vzniká ve třech případech:
a)
pokud zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí),
b)
pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
c)
pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Je tedy zřejmé, že subjekty spadající mezi orgány veřejné moci a veřejné subjekty (s výjimkou soudů jednajících v rámci svých soudních pravomocí) mají povinnost jmenovat pověřence vždy, tedy bez zohledňování dalších kritérií, která se týkají soukromého sektoru.
Nařízení však nevysvětluje, co znamená
„veřejný orgán nebo veřejný subjekt“.
WP291) došla k závěru, že by tyto pojmy měly být definovány národním právem. Veřejnými orgány a subjekty jsou národní, regionální a místní úřady, ale tento koncept podle platného národního práva typicky zahrnuje řadu dalších subjektů řídících se veřejným právem.Veřejný orgán nebo veřejný subjekt v českém právu
Český právní řád zná oba pojmy. Orgán veřejné moci je definován také právní teorií. Pojem „orgán veřejné moci“ je obecným označením vykonavatele veřejné moci, kterému jsou zákonem nebo na základě zákona stanoveny určité
kompetence
a k jejich výkonu potřebné pravomoci a povinnosti. Je to termín obsahově nejširší, protože zahrnuje vykonavatele všech složek veřejné moci, tj. moci zákonodárné, výkonné i soudní. Obsahově užšími pojmy lze pak označovat vykonavatele jednotlivých složek veřejné moci, např. pojmem „orgán veřejné správy“ vykonavatele veřejné správy. V tomto významu, tedy jako nejobecnější a nejširší označení orgánních vykonavatelů veřejné moci, je pojem „orgán veřejné moci“ standardně používán doktrinálně i v pozitivním právu.2)I veřejný subjekt může být chápán různě. Jedna z definic obsahuje tyto znaky:
1.
je založen nebo zřízen za zvláštním účelem uspokojování potřeb obecného zájmu,
2.
má právní subjektivitu,
3.
je financován převážně státem, orgány územní samosprávy nebo jinými veřejnoprávními subjekty nebo je těmito orgány řízen nebo je v jeho správním, řídícím nebo dozorčím orgánu více než polovina členů jmenovaná státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty.
Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom veřejným orgánem nebo subjektem, ale také jinými fyzickými nebo právnickými osobami řídícími se veřejným nebo soukromým právem v oblastech specifikovaných národními předpisy členských států, jako jsou veřejná doprava, zásobování vodou a energiemi, silniční infrastruktura, veřejnoprávní vysílání, veřejné bydlení nebo disciplinární orgány pro vázané profese.
V těchto případech mohou být subjekty údajů v situaci velmi podobné té, kdy jejich data jsou zpracována veřejným orgánem nebo subjektem. Zvláště proto, že data mohou být zpracována pro podobné účely, přičemž jednotlivci často mají malý nebo nemají žádný vliv na to, zda a jak budou jejich data zpracována, a mohou tedy požadovat dodatečnou ochranu, jakou může přinést jmenování pověřence.3)
V takových případech WP29 doporučuje, aby i soukromé organizace vykonávající úkol ve veřejném zájmu zadání nebo funkci orgánu veřejné moci jmenovaly pověřence.
Z článku 37 odst. 3 nařízení vyplývá, že každý orgán veřejné moci či veřejný subjekt nemusí mít vlastního pověřence. Podle tohoto ustanovení je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.
Pověřenec pro ochranu osobních údajů
Nařízení nestanoví kvalifikaci pověřence přesně, ale pouze uvádí, že pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly. Recitál 97 nařízení dále zpřesňuje, když uvádí, že potřebná úroveň odborných znalostí by měla být určena zejména podle prováděných operací zpracování a podle ochrany, která je vyžadována pro osobní údaje zpracovávané správcem nebo zpracovatelem. Tito pověřenci pro ochranu osobních údajů bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.
WP29 zpracovala požadavky na pověřence poněkud podrobněji. Pokud jde o úroveň odborných znalostí, měla by být úměrná citlivosti, složitosti a množství dat, které organizace zpracovává. Např. tam, kde činnost zpracování dat je obzvláště složitá nebo zahrnuje velké množství dat, bude zřejmě pověřenec potřebovat vyšší úroveň znalostí a větší podporu. Je také rozdíl, zda organizace předává osobní údaje mimo Evropskou unii systematicky nebo příležitostně. Pověřenec by tedy měl být vybrán pečlivě, s náležitým zvážením specifických otázek ochrany dat, které organizace řeší.
Podstatné by měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost obecného nařízení. Znalost oboru podnikání a chodu organizace, která je správcem, je užitečná. Pověřenec by také měl mít dostatečnou znalost zpracování prováděných operací stejně jako informačních systémů, bezpečnosti dat a správcových potřeb v oblasti ochrany osobních údajů. V případě orgánu veřejné moci nebo veřejného subjektu by pověřenec měl dobře znát také administrativní pravidla a postupy dané organizace.
Schopnost plnit úkoly přináležející pověřenci by měla být vykládána jednak ve vztahu k jeho osobním kvalitám a znalostem, ale také s ohledem na jeho postavení v organizaci. Osobní kvality by měly zahrnovat např. integritu a vysokou úroveň profesionální etiky. Pověřencův prvotní zájem by měl být v souladu s obecným nařízením. Pověřenec hraje klíčovou roli při rozvoji kultury ochrany dat uvnitř organizace a pomáhá zavádět základní prvky obecného nařízení, jako jsou zásady zpracování dat, práva subjektu údajů, záměrná a standardní ochrana osobních údajů, záznamy o činnostech zpracování, zabezpečení zpracování a ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů.4)
Pevná kvalifikační kritéria tedy neexistují, a proto lze očekávat, že úroveň odbornosti každého pověřence požadovaná jednotlivými správci se bude lišit podle konkrétní organizace a rozsahu zpracování osobních údajů. Např. nemocnice nakládající s velkým množstvím citlivých údajů bude potřebovat pověřence s větší odborností než malá společnost zabývající se marketingem.
Minimální rozsah činnosti pověřence
Článek 39 odst. 1 nařízení uvádí minimální rozsah činnosti pověřence:
a)
poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b)
monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c)
poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
d)
spolupráce s dozorovým úřadem a
e)
působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.
Článek 38 nařízení zakotvuje poměrně přesně postavení pověřence v rámci organizace. Odstavec 1 tohoto ustanovení požaduje, aby pověřenec „byl náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů“. Zapojení pověřence ihned při zahajování zpracování osobních údajů je velmi podstatné pro možnost případného provedení posouzení vlivu na ochranu osobních údajů.
Pověřenec by měl vždy mít jako jeden z prvních informace o zpracováních osobních údajů, která v organizaci probíhají nebo budou probíhat.
Z toho důvodu by organizace např. měla zajistit, aby:
–
byl pověřenec pravidelně zván na schůze vyššího a středního managementu,
–
byla jeho přítomnost doporučena vždy tam, kde se dělají rozhodnutí s dopadem do ochrany osobních údajů. Pověřenec musí včas obdržet všechny podstatné informace, aby mohl poskytnout odpovídající radu,
–
byla stanovisku pověřence vždy přiznána patřičná závažnost,
–
byly případné porušení zabezpečení ochrany osobních údajů nebo jiné události s pověřencem bezodkladně konzultovány.5)
Podle článku 38 odst. 2 nařízení správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
Podle názoru WP29 je třeba zvážit především tyto aspekty:
–
aktivní podpora od vyššího vedení (na úrovni představenstva),
–
dostatečný čas pro plnění povinností,
–
odpovídající podpora z hlediska peněžních zdrojů, infrastruktury (prostory, vybavení, zařízení) a personálu, pokud je třeba,
–
oficiální oznámení o jmenování pověřence všem zaměstnancům, aby bylo zajištěno, že jeho existence a funkce jsou v organizaci známy,
–
nezbytný přístup do jiných útvarů v organizaci, např. personálního, právního, IT, bezpečnosti atd., aby měl pověřenec nezbytnou podporu a informace z těchto útvarů,
–
průběžné školení,
–
v závislosti na velikosti a struktuře organizace se může ukázat nezbytné sestavit celý tým (pověřenec a jeho personál).
Pověřenec má být podle článku 38 odst. 3 nařízení samostatný a nezávislý. Nemá dostávat žádné pokyny týkající se jeho úkolů, a to ani formou stanovení cílů nebo poskytnutím výkladů práva. Článek 38 odst. 3 nařízení také stanoví, že pověřenec „není správcem nebo zpracovatelem propuštěn ani sankcionován v souvislosti s plněním svých úkolů“.
Plnění výše zmíněných povinností však nedělá z hlediska nařízení z pověřence osobu odpovědnou za zpracování osobních údajů. Primární odpovědnost stále leží na správci či zpracovateli.
Sankce
Z uvedeného je zřejmé, že najít člověka, který by splňoval všechny podmínky, nebude jednoduché. Povinnost jmenovat pověřence však bude nutné splnit, neboť za porušení povinností správce a zpracovatele mimo jiné podle článků 25 až 39 (mezi něž spadá i povinnost jmenovat pověřence – článek 37) lze uložit pokutu až do výše 10 mil. EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
1) Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená směrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995.
2) Hálová, M., Matejka, J.
K vymezení a aplikaci pojmu „orgán veřejné moci“ podle zákona o základních registrech.
Dostupné z: http://www.mvcr.cz/clanek/k-vymezeni-a-aplikaci-pojmu-organ-verejne-moci-podle-zakona-o-zakladnich-registrech.aspx.3) Vodítka k pověřencům pro ochranu osobních údajů, dostupné z: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=23463.
4) Tamtéž.
5) Vodítka k pověřencům pro ochranu osobních údajů, dostupné z: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=23463.