Nové evropské nařízení o ochraně osobních údajů přineslo jako zcela nový institut v českém právním řádu institut pověřence pro ochranu osobních údajů. Ačkoliv jeho definice v nařízení chybí, v zásadě se jím rozumí nezávislá osoba s odbornými znalostmi v oblasti ochrany osobních údajů, která bude společnostem, jež spravují či zpracovávají osobní údaje, pomáhat při zajišťování vnitřního souladu s nařízením.

Nová pravidla stanoví tři skupiny osob, pro které vzniká povinnost pověřence jmenovat. V ostatních případech je možné pověřence jmenovat dobrovolně. První skupinou jsou orgány veřejné moci či veřejné subjekty, které provádí zpracování údajů.

Druhou skupinou jsou společnosti, které data systematicky a pravidelně monitorují. Příkladem může být řada společností podnikajících na internetu, které využívají monitoring k získávání osobních údajů uživatelů, a to například za účelem zprostředkování cílené reklamy.

Třetí a poslední povinnou skupinou jsou společnosti, jejichž hlavní činnost spočívá v rozsáhlém zpracování takzvaných citlivých údajů, jako jsou politické názory, náboženské vyznání, údaje o zdravotním stavu či sexuální orientaci. Tuto poslední skupinu tak budou tvořit zejména poskytovatelé zdravotních služeb, pojišťovny či společnosti poskytující cloudové služby.

U druhé a třetí skupiny musí být dále naplněn požadavek "hlavní činnosti". Tento vágní pojem není v nařízení blíže definován. Domníváme se, že kritérium hlavní činnosti nebude naplňovat například běžné zpracování osobních údajů zaměstnanců zaměstnavateli anebo monitoring internetových uživatelů za účelem podpory vlastního prodeje zboží a služeb. Povinnost jmenovat pověřence naopak vznikne při získávání údajů za účelem přijetí individuálního rozhodnutí například na poli poskytování finančních služeb či při provádění monitoringu pro třetí osoby.

V neposlední řadě je potřeba, aby monitorování či zpracovávání citlivých údajů bylo "rozsáhlé". V přijaté verzi nařízení přitom nejsou stanoveny konkrétní minimální hranice, při jejichž překročení by nastala povinnost pověřence jmenovat. Jako částečné vodítko mohou nicméně sloužit původní návrhy nařízení. Evropský parlament navrhoval povinnost jmenovat pověřence, pokud společnosti zpracuje data alespoň pět tisíc subjektů za 12 kalendářních měsíců. Naproti tomu Evropská komise navrhovala uložit povinnost pro společnosti s více než 250 zaměstnanci.

Nařízení pak upravuje dva způsoby, jakými mohou správci a zpracovatelé činnost pověřence zajistit. Buď mohou pověřencem jmenovat dostatečně kvalifikovaného zaměstnance, který musí být podřízen přímo vrcholovému managementu. V takovém případě zaměstnanec nesmí být propuštěn či sankcionován v souvislosti s plněním svých úkolů pověřence. Dá se tak předpokládat, že malé a střední podniky budou preferovat druhou možnost, a to zajištění služeb pověřence prostřednictvím externích poradenských kanceláří. To představuje pro odborníky v oblasti ochrany osobních údajů velkou podnikatelskou příležitost.

Související