Povinnost jmenovat pověřence pro ochranu osobních údajů je uvedena v článku 37 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“. Toto Nařízení také uvádí, kdy mají soukromé subjekty povinnost jmenovat pověřence.
Otázky a odpovědi – Jsme soukromá firma. Jak zjistíme, zda máme povinnost jmenovat pověřence pro ochranu osobních údajů?
JUDr.
Eva
Janečková
Tato povinnost podle článku 37 odst. 1 Nařízení vzniká u soukromých subjektů ve dvou případech:
a)
pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
b)
pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Jinak řečeno, povinnost jmenovat pověřence se bude vztahovat na subjekty, pro které zpracování znamená podpůrnou činnost k dosažení základních cílů hlavní činnosti a bez zpracování osobních údajů by dosažení těchto cílů nebylo možné.
Je nepochybné, že osobní údaje zpracovává prakticky každý. Nově vzniklá povinnost se však nebude například vztahovat na toho, kdo bude provádět jen zpracování osobních dat zaměstnanců, která potřebuje zpracovávat za účelem vedení personální a mzdové evidence. Tyto činnosti ve většině případů nebudou považovány za hlavní činnost správce.
Rozsáhlé zpracování je vztahováno ke zvláštním kategoriím údajů.
Příklady činností, které mohou zakládat pravidelné a systematické monitorování subjektů údajů: provozování telekomunikační sítě, poskytování telekomunikačních služeb, cílení internetové reklamy pomocí e-mailu,
marketing
řízený daty, profilování věrnostními programy atd.Zdroj: Odborný portál DAUC.cz, 2018.