Úřad na ochranu osobních údajů začíná zveřejňovat dotazy k GDPR

Úřad na ochranu osobních údajů, který bude od května 2018 zodpovědný za dohled nad dodržování nového Nařízení na ochranu osobních údajů začal na svém webu zveřejňovat nejčastější odpovědi na nejčastější dotazy.

Nařízení  o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (General data protection -GDPR) začne platit 25. května příštího roku. Od tohoto data bude také Úřad pro ochranu osobních údajů (ÚOOÚ) zodpovědný za jeho dodržování. Do té doby tento úkol připadá vládě. Na vládní úrovni funguje pracovní skupina k legislativě v oblasti ochrany osobních údajů, v níž zasedají nejen zástupci ministerstev a Úřadu pro ochranu osobních údajů, ale také podnikatelé a jejich sdružení – například Svaz průmyslu a dopravy (SP ČR). I

Podle mluvčího ÚOOÚ Tomáše Patáka provedli zaměstnanci úřadu základní rozbor pravomocí a úkolů dozorového úřadu podle GDPR a na jeho základě zpracovali podklady, které byly předány ministerstvu vnitra k využití při novelizaci zákona o ochraně osobních údajů (psali jsme v textu Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek či Zákon o GDPR: vnitro dostalo stovky připomínek. Chvojka normu označil za hranou srozumitelnosti). Podle Patáka se problematice GDPR, včetně  expertní podpory poskytované úřadem, se věnují zvlášť určení zaměstnanci. „Do prací na výkladu GDPR jsou zapojeny konzultační útvary ÚOOÚ. Úřad má od počátku roku 2017 k dispozici pět tabulkových míst, (konkrétně pro legislativu, zahraniční a vládní agendu, analytickou činnost a kontrolní odbor), které postupně obsazuje odborníky na GDPR,“ uvádí ÚOOÚ na svých stránkách.

 

Zaměstnanci úřadu vyslyšeli přání všech, kteří se problematikou dopadu povinností stanovených v Nařízení zabývají a začal zveřejňovat odpovědi na nejčastější dotazy. Vzhledem k tomu, že se Ekonomický deník problematice GDPR věnuje podrobně, přinášíme první sérii otázek a odpovědí.

Jsme nezisková organizace – domov pro seniory s počtem 133 zaměstnanců. Musíme jmenovat pověřence pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které zavádí Obecné nařízení (GDPR) k datu své účinnosti od 25. května 2018. Počet zaměstnanců pro jmenování pověřence pro ochranu osobních údajů není rozhodný, jmenuje ho správce pouze za splnění jedné ze tří podmínek. Těmi jsou:

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Dle Vašeho popisu organizace se na Vás nevztahuje ani jedna ze tří podmínek, tedy pověřence pro ochranu osobních údajů mít nemusíte. Můžete si ho však zřídit dobrovolně, pokud uznáte, že zřízení pověřence pro Vás bude užitečné, v takovém případě by pověřenec měl mít odpovídající odborné znalosti práva v oblasti ochrany osobních údajů a schopnosti plnit úkoly stanovené v čl. 39 Obecného nařízení.

I v případě, že pověřence jmenovat nebudete, je vítané mít v organizaci určenou osobu, která se bude ochraně osobních údajů věnovat.

Anketa mezi obcemi o GDPR: Některá města nevědí, o co jde

Musí mít pověřenec pro ochranu osobních údajů nějakou certifikaci? Spousta firem certifikaci na DPO nabízí.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i „necertifikovanou“ osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů a citovaném obecném nařízení.

Není vyloučeno, že některé firmy „certifikaci“ pověřenců nabízejí, nicméně využití certifikace pověřence bude na dobrovolné bázi, a to jak ze strany pověřence, tak ze strany správce, který nemá povinnost vybírat certifikovaného pověřence.

Budou muset společenství vlastníků jednotek jmenovat pověřence pro ochranu osobních údajů?

Společenství vlastníků jednotek, jestliže provádějí pouze zpracování osobních údajů v souvislosti s činnostmi spočívajícími v zajišťování výkonu bytových spoluvlastnických práv a povinností tak, jak je upravuje zákon č. 89/2012 Sb., občanský zákoník (viz § 1158 a násl. občanského zákoníku), pověřence jmenovat nemusejí.

Co se rozumí pod pojmem „rozsáhlé zpracování a rozsáhlé systematické monitorování“? Je možno tyto pojmy vyjádřit nějak kvantitativně?

K výkladu pojmu „rozsáhlé zpracování a rozsáhlé systematické monitorování“, nejspíše myšleno ve vztahu k povinnosti jmenovat pověřence pro ochranu osobních údajů, doporučuji vycházet z vodítek pracovní skupiny WP29 k pověřencům. Vodítka jsou k dispozici na stránce https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750.

Ve zmíněných vodítkách jsou tyto pojmy rozebrány.

Jiří Reichl

O tématu GDPR jsme již psali:

Zákon o GDPR: vnitro dostalo stovky připomínek. Chvojka normu označil za hranou srozumitelnosti 

Anketa mezi obcemi o GDPR: Některá města nevědí, o co jde 28.9.2017

Tuzemské pokuty nemohou být výrazně nižší než v západní EvropěPetr Woff –  21.9.2017

I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl –  15.9.2017

Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence”Petr Woff – 13.9.2017

Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl –  8.9.2017

GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017

Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017

GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017

Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017

Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017

Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017

Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcíJiří Reichl – 30.8.2017

Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13…Jiří Reichl – 24.8.2017

Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017

Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017

EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017