Hlavní navigace

Mýty o GDPR: Skoro každá firma musí mít pověřence pro ochranu osobních údajů

Daniel Morávek

Mezi mýty, které se okolo GDPR objevují, patří podle Úřadu pro ochranu osobních údajů i role pověřence.

Doba čtení: 2 minuty

Řada lidí se mylně domnívá, že téměř každý správce musí mít pověřence pro ochranu osobních údajů. Ve skutečnosti však správce musí jmenovat pověřence jen v případě splnění jedné ze tří podmínek.

Kdo musí mít pověřence

Úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR. V praxi se často také vyskytuje mylné přesvědčení, že pověřenec musí mít zvláštní vzdělání, kvalifikaci či certifikaci. Opak je pravdou – GDPR ani český právní řád s ničím takovým nepočítají a je na zodpovědnosti každé firmy či organizace, aby si zajistila služby takového pověřence a v takovém rozsahu, který vyhoví jejím potřebám.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Povinnost jmenovat pověřence nastává ve třech případech:

  1. Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů).
  2. Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů.
  3. Hlavní činností správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Za hlavní činnosti lze považovat klíčové operace směrující k dosažení cílů správce. Jak upozorňuje v příručce Hospodářská komora ČR, aby se jednalo o hlavní činnost podnikatele, musí být osobní údaje zpracovávány rozsáhle a musí souviset se základními činnostmi právnické osoby. Jde o veškeré aktivity podnikatele, kdy je zpracování osobních dat nedílnou součástí činnosti podnikatele.

Příklady rozsáhlého zpracování:

WT100 tip v článku Ilinčev

  • zpracování údajů o pacientech v rámci běžné činnosti nemocnice
  • zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
  • zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost
  • zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
  • zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
  • zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb

Úkoly pověřence:

  • shromažďovat informace za účelem zjišťování zpracovatelských činností
  • analyzovat a prověřovat právní soulad zpracovatelských činností
  • informovat, radit a vydávat doporučení správci nebo zpracovateli
  • poskytovat poradenství/posudku při posuzování vlivu na ochranu osobních údajů a monitorování jeho uplatňování.

V neposlední řadě by firmy měly pamatovat na to, že pověřenec nenese osobní odpovědnost za nedodržování GDPR a že odpovědnost za dodržení povinností zůstává na bedrech firmy samotné.