Níže uvádíme stanovisko ÚOOÚ ke jmenování pověřence (DPO) pro ochranu osobních údajů:

Vážený pane Svobodo,

děkujeme Vám za zaslání mailového dotazu ze dne 9. 5. 2018 týkajícího se jmenování pověřence pro ochranu osobních údajů v rámci Centra technických služeb Kuřim (dále jen „Centrum technických služeb“) a za důvěru, se kterou jste se na nás obrátil. K dané problematice Vám sdělujeme následující:

V souvislosti s Vaším dotazem je především potřebné zdůraznit, že obecné nařízení[1] je koncipováno tak, že sám správce je plně odpovědný za posouzení, zda jmenuje pověřence pro ochranu osobních údajů na základě obecného nařízení. Podle čl. 37 obecného nařízení je povinností každého správce či zpracovatele posoudit, s přihlédnutím k individuálním okolnostem předmětného zpracování osobních údajů, zda se jedná o případ, kdy je správce či zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů. Úkolem Úřadu tedy není posuzovat, zda je správce či zpracovatel v konkrétním případě povinen jmenovat pověřence pro ochranu osobních údajů. V pochybnostech však Úřad doporučuje pověřence jmenovat a upřednostnit pověřence obligatorního. Pokud tak správce neučiní, lze mu doporučit, aby důvody pro své negativní rozhodnutí písemně sepsal a přiložil do složky dokumentů, ve které eviduje plnění povinností podle obecného nařízení.

Nad rámec svých povinností Vám Úřad sděluje, a to v návaznosti na plnění poradní funkce v počátečním období účinnosti nové právní úpravy ochrany osobních údajů, další informace a postup, které by měly vést ke správnému zhodnocení Vaší případné povinnosti jmenovat pověřence:

Právní úprava

Případy, kdy je správce či zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů, upravuje článek 37 odst. 1 obecného nařízení následujícím způsobem:

„a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.“

Aplikace právní úpravy na konkrétní situaci

Z informací, které jste nám poskytl, vyplývá, že se ve Vašem případě jedná o společnost s ručením omezeným, jejímž předmětem činnosti je svoz odpadu, údržba zeleně, doprava, údržba komunikací, zajištění provozu sběrného dvora, údržba veřejného osvětlení, dláždění chodníků, výroba elektřiny a ostatní drobné činnosti. Pro objednání některé z uvedených služeb jsou po zájemcích vyžadovány osobní údaje v rozsahu jméno, příjmení, emailová adresa a telefon. Nejedná se tedy o orgán veřejné moci nebo veřejný subjekt a nedohází k rozsáhlému zpracování zvláštních kategorií osobních údajů či osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. V souvislosti s uvedeným lze konstatovat, že se nejedná o subjekt patřící do kategorií čl. 37 odst. 1 písm. a), čl. 37 odst. 1 písm. c) obecného nařízení.

Pro posouzení, zda se jedná o subjekt, který spadá do čl. 37 odst. 1 písm. b) je nezbytné zahrnout zhodnocení hlavní činnosti správce z hlediska prvků, jimiž jsou pravidelnost, systematičnost a rozsah zpracování osobních údajů. Bližší informace pro relevantní vyhodnocení dané věci jsou obsaženy v pokynech pracovní skupiny WP29[2]  týkajících se pověřenců pro ochranu osobních údajů.[3]

Pracovní skupina WP29 vykládá pojem „pravidelné“ v tom smyslu, že znamená jedno nebo více z níže uvedeného:

• probíhající nebo vyskytující se po určité období v určitých intervalech,

• opakovaně se vyskytující nebo opakovaný ve stanovených časech,

• odehrávající se nepřetržitě nebo pravidelně. [4]

Činnosti poskytované Centrem technických služeb jsou vykonávány nepřetržitě nebo pravidelně. Výjimku může představovat údržba zeleně či dláždění chodníků, kdy nejsou tyto činnosti pravděpodobně činěny v zimních měsících, avšak lze je zařadit do kategorie činností probíhajících nebo vyskytujících se po určité období v určitých intervalech.

Systematické monitorování subjektu údajů je definováno jako činnost vyskytující se se v souladu se systémem či jde o zpracování předem naplánované, organizované nebo metodické.[5] Vzhledem k povaze výše uvedených služeb, které jsou poskytovány Centrem technických služeb, lze konstatovat, že se jedná o systematické monitorování subjektů údajů.

Posledním prvkem posouzení zmíněné kategorie správců či zpracovatelů je rozsah zpracování Čl. 37 odst. 1 písm. b) stanoví, že k tomu, aby vznikla povinnost jmenovat pověřence pro ochranu osobních údajů, se musí jednat o rozsáhlé zpracování osobních údajů. Konkrétní definici, co znamená rozsáhlé zpracování, obecné nařízení neuvádí. Podle pokynů pracovní skupiny WP29 je nutno vzít v úvahu především tyto faktory:

• počet dotčených subjektů údajů – buď jako konkrétní číslo, nebo jako podíl příslušné skupiny obyvatelstva,

• objem údajů a/nebo škálu různých údajových položek, které jsou zpracovávány,

• trvání nebo stálost činnosti zpracování údajů,

• zeměpisný rozsah činnosti zpracování.[6]

   

V posuzovaném případě se jedná o poskytování služeb na území města Kuřim, celoročně či opakovaně v určitém období, v rozsahu informací týkajících se 1500 osob v souvislosti se správou hřbitova a 150 osob při objednávání služeb Centra technických služeb, vedení těchto osob v informačním systému Money S3 a v systému FUSIO (přehled objednávek a smluv).

Na základě zohlednění rozsahu, kategorie a účelu zpracování Úřad pro ochranu osobních údajů (dále jen „Úřad“) doporučuje zřízení funkce pověřence pro ochranu osobních údajů v rámci Centra technických služeb na dobrovolné bázi. Jmenováním pověřence získá správce či zpracovatel nezávislou osobu, která dohlíží na soulad  zpracování s právními předpisy (především s obecným nařízením), zároveň tato osoba zajišťuje spolupráci s dozorovým úřadem a poskytuje správcům, zpracovatelům nebo zaměstnancům poradenství týkající se jejich povinností v souvislosti se zpracováním. Jmenování pověřence rovněž prokazuje péči správce či zpracovatele o zajištění odpovídající úrovně ochrany osobních údajů a jeho zájem na prevenci potenciálních škod.

Závěrem lze zmínit, že město Kuřim jakožto orgán veřejné moci má zákonnou povinnost zřídit funkci pověřence pro ochranu osobních údajů. Vhodnou variantou by mohlo být jmenování této osoby, detailně seznámené s individuálními okolnostmi zpracování osobních údajů v obci, pověřencem i pro Centrum technických služeb. Kromě toho, že pověřence můžete sdílet, může svou funkci vykonávat na částečný úvazek. V tomto ohledu je obecné nařízení velice pružné a umožňuje řešení, které bude nejlépe vyhovovat Vaší organizaci.

Stanovisko obdrženo dne: 12.06.2018