GDPR a pověřenec v podmínkách obcí
Ministerstvo vnitra ČR v minulém měsíci vydalo Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí (podle právního stavu k 10. srpnu 2017). Vzhledem k aktuálnosti tohoto tématu a skutečnosti, že obce doposud nezačaly implementovat pravidla pro jmenování pověřence, zde shrneme základní praktické informace, které toto metodické doporučení obsahuje.
***
Povinnost jmenovat pověřence se vztahuje nejen na obce samotné, ale také na příspěvkové organizace obce, jsou-li v postavení orgánu veřejné moci (týká se zejména škol). Orgány veřejné moci či veřejné subjekty, které rozhodují o právech a povinnostech osob, jsou povinny jmenovat pověřence bez dalšího. Tedy bez ohledu na to, v jakém rozsahu zpracovávají osobní informace. Nicméně tyto instituce mohou využít možnosti jmenovat společného pověřence, bez nutnosti mít každá svého pověřence samostatně. V takovém případě je však třeba smluvně zabezpečit postavení pověřence ke každé instituci. Bližší návod pak dává právě metodické doporučení.
***
Pověřenec nemusí být pouze fyzická osoba, lze do funkce pověřence ustanovit také právnickou osobu (např. advokátní kancelář). V takovém případě obec (či příspěvková organizace v postavení orgánu veřejné moci) podepíše s danou právnickou osobou smlouvu o poskytování služeb. Osoba, která vykonává funkci externího pověřence však již nemůže obec zastupovat např. u soudu nebo Úřadu na ochranu osobních údajů ve věci týkající se ochrany osobních údajů. Výkon funkce pověřence je totiž ovládán principem nezávislosti a nestrannosti, a tudíž plnění jiných úkolů pověřence nemůže vést ke střetu zájmů.
Je třeba podotknout, že v případě, kdy obec jmenuje externího pověřence se takto nezbavuje odpovědnosti za zpracování v souladu s obecným nařízením, odpovědným subjektem zůstává obec jakožto správce osobních údajů.
Pokud dojde ke jmenování právnické osoby jako externího pověřence, je třeba jmenovitě určit konkrétní fyzickou osobu, která bude funkci pověřence fakticky vykonávat a bude dosažitelná pro potřeby obce, Úřadu na ochranu osobních údajů i veřejnosti. Samozřejmě, že kontaktní údaje takovéto osoby musí být také zveřejněny na úřední desce obecního úřadu (včetně té elektronické).
U externího pověřence je však třeba zajistit, aby detailně poznal vnitřní chod a organizaci správce, neboť jedině tak dokáže stanovit problémy a odhadnout případná rizika spojená se zpracováním osobních údajů.
***
Pokud se týká organizací, které nejsou orgánem veřejné moci (nerozhodují o právech a povinnostech osob), tyto organizace musí mít pověřence jen pokud jejich hlavní činností je pravidelné a systematické monitorování subjektu údajů ve velkém měřítku či pokud jejich hlavní činnost spočívá v rozsáhlém zpracování citlivých údajů. Pověřence tak musí mít např. dopravní podnik, který zpracovává evidenci cestujících, či nemocnice nebo sociální zařízení. Nemusí ho však mít např. městská knihovna či technická správa komunikací.
***
Pověřenec musí být přímo podřízen vrcholovým řídícím pracovníkům, resp. mít přímý přístup k vedení obce či příslušné organizace. Pověřencem tedy nemůže být starosta, místostarosta či tajemník obecního úřadu. Funkce pověřence však může být vykována zastupitelem obce na základě pracovní nebo jiné smlouvy s obcí, splňuje-li zastupitel všechny předpoklady pro výkon funkce pověřence v podmínkách dané obce. Pověřencem mohou být vedoucí odborů či oddělení, případně jiní zaměstnanci, kteří nevykonávají pracovní činnosti, které by vedly ke střetu jejich zájmů. Např. je vyloučeno, aby vedoucí odboru personálního nebo odboru informačních technologií vykonával funkci pověřence, zatímco např. referent či vedoucí právního odboru či odboru vnitřní kontroly se pověřencem může stát. Bude-li pověřenec zaměstnancem obce, má být organizačně podřízen přímo tajemníkovi, případně starostovi. Pokud pověřenec v pracovněprávním vztahu nebude, má být jeho „partnerem“ za obec přímo starosta obce.
***
Odpovědnost za výběr „odborně způsobilé“ osoby jako pověřence nesou přímo správci. Ačkoli jsou u pověřence požadovány odborné znalosti práva a praxe v oblasti ochrany údajů, není vyžadováno, aby měl vysokoškolské vzdělání. V podmínkách obcí je však žádoucí, aby měl i profesní vědomosti o fungování veřejné správy, praktickou znalost organizace, chodu a vnitřních předpisů obce, u které působí. Nutná je pak odpovídající znalost informačních technologií a bezpečnosti dat.
***
Ačkoliv plnění úkolů pověřence souvisí s výkonem řady různých činností vykonávaných obcí na úseku státní správy či samosprávy (např. zpracování osobních údajů při vedení matriky, které je výkonem přenesené působnosti obce), samotnou činnost obce s cílem zajištění osoby pověřence a plnění souvisejících povinností je třeba chápat jako výkon samostatné působnosti obce. Pokud je pověřenec zaměstnancem zařazeným do obecního úřadu, jedná se o úředníka ve smyslu zákona č. 312/2002 Sb, neboť povaha činnosti pověřence má povahu tzv. správní činnosti podle tohoto zákona.
{{ 'Comments (%count%)' | trans {count:count} }}
{{ 'Comments are closed.' | trans }}