Pověřenec pro ochranu osobních údajů v poradenských zařízeních

Pověřenec pro ochranu osobních údajů je institut přejatý z německého práva, kde funguje již od roku 2009. Zjednodušeně se jedná o poradce v oblasti ochrany osobních údajů. Pověřenec má na starosti poskytovat informace a poradenství ohledně osobních údajů a monitorovat soulad s GDPR. Další jeho povinností je spolupracovat s Úřadem pro ochranu osobních údajů a zároveň pro tento úřad působit jako kontaktní místo. Nicméně pověřenec není odpovědný za dodržování GDPR a jiných předpisů, odpovědným subjektem zůstává vždy správce osobních údajů.

Mít ho musejí jen některá. GDPR stanoví, že pověřence musejí mít všechny orgány veřejné moci či veřejné subjekty s výjimkou soudů jednajících v rámci svých soudních pravomocí. Dále musejí mít pověřence subjekty, jejichž hlavní činnost spočívá v rozsáhlém a pravidelném monitorování subjektů údajů nebo v rozsáhlém zpracování zvláštních kategorií osobních údajů, příp. rozsudků v trestních věcech. Pro poradenská zařízení, která nemají sama právní subjektivitu a jsou součástí škol, je situace relativně jednoduchá. Existuje konsenzus, že školy jsou orgány veřejné moci, a tudíž pověřence mít musejí. Pověřenec tak bude mít uzavřenou smlouvu se školou – právnickou osobou a bude dohlížet i na činnost poradenského zařízení.

Nicméně některá poradenská zařízení, ať už pedagogicko­psychologické poradny, nebo speciálně pedagogická centra, jsou samostatnými právnickými osobami, a disponují tedy právní subjektivitou. Nejčastěji jsou příspěvkovými organizacemi, výjimečně též společnostmi s ručením omezeným, zapsaným ústavem či školskou právnickou osobou (dle údajů v rejstříku škol). Je tedy nutné posoudit, zda tato samostatná zařízení „spadnou“ do kategorie „orgán veřejné moci“, „veřejný subjekt“ nebo „organizace, jejíž činnost spočívá v rozsáhlém zpracování citlivých osobních údajů“, tj. údajů o zdravotním stavu.

V současnosti je v české teorii za orgán veřejné moci považován orgán, který reprezentuje veřejnou moc a je ze zákona oprávněn autoritativně rozhodovat o právech a povinnostech fyzických či právnických osob nebo jinak zasahovat do jejich právní sféry, a to buď přímo, zejména v případě orgánů moci výkonné nebo soudní, nebo zprostředkovaně, pokud jde o orgány moci zákonodárné. Poradenská zařízení o právech a povinnostech autoritativně nerozhodují, už z názvu vyplývá, že poskytují primárně veřejné služby. Dle názoru autorek se tak o orgány veřejné moci ve smyslu GDPR nejedná. Opačný názor zaujalo Ministerstvo školství, mládeže a tělovýchovy ve své Metodické pomůcce k aplikaci obecného nařízení o ochraně osobních údajů v podmínkách školství (dostupné z http://www.msmt.cz/dokumenty-3/metodicka-pomucka-k-aplikaci-obecneho-narizeni-o-ochrane), ve které říká, že všechny školy a školská zařízení jsou orgány veřejné moci, a musejí tedy jmenovat pověřence pro ochranu osobních údajů.

Druhou možností, kdy by samostatná poradenská zařízení musela jmenovat pověřence pro ochranu osobních údajů, je situace, kdy by poradenská zařízení mohla být považována za veřejné subjekty ve smyslu GDPR. Zde panuje větší shoda na tom, že poradenská zařízení nejsou veřejnými subjekty ve smyslu GDPR. Adaptační zákon ke GDPR totiž stanoví, že veřejnými subjekty jsou pouze subjekty zřízené zákonem (např. VZP), nikoliv zřízené na základě zákona (většina příspěvkových organizací). Poradenská zařízení tedy nejsou veřejnými subjekty ve smyslu GDPR.

Pověřence musejí jmenovat též organizace, jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií osobních údajů. Hlavní činnosti poradenských zařízení můžeme charakterizovat tak, že zpracovávají údaje o zdravotním stavu žáků. Proto je nutné posoudit, zda je toto zpracování možné považovat za rozsáhlé zpracování citlivých osobních údajů. Pojem „rozsáhlé zpracování“ je pojmem velmi neurčitým, nicméně některá vodítka nám poskytuje stanovisko pracovní skupiny WP 29 při Evropské komisi (dostupné z https://www.uoou.cz/assets/File.ashx?id_ org=200144 & id_dokumenty=29166), které se problematice stanovení, co je rozsáhlé zpracování citlivých osobních údajů, věnuje. Pracovní skupina doporučuje, aby byly při určování toho, zda je zpracování prováděno ve velkém rozsahu, vzaty v úvahu především tyto faktory:

WP 29 ve stanovisku uvádí, že za rozsáhlé zpracování citlivých osobních údajů je nutné považovat zpracování údajů pacientů v rámci pravidelné činnosti nemocnic, naopak rozsáhlým zpracováním není zpracování údajů pacientů provedené jednotlivým lékařem. Pokud se tato doporučení pracovní skupiny WP 29 pokusíme převést do prostředí poradenských zařízení, domníváme se, že zpracování osobních údajů poradenskými zařízeními s celokrajovou působností bude považováno za rozsáhlé zpracování osobních údajů, čímž těmto zařízením vznikne povinnost jmenovat pověřence pro ochranu osobních údajů.

Pro poradenská zařízení, která sama nemají právní subjektivitu a jsou součástí škol, bude činnost pověřence zajišťovat pověřenec školy. U poradenských zařízení, která naopak právní subjektivitou disponují, je situace velmi nepřehledná. Autorky se domnívají, že poradenská zařízení s celokrajovým zeměpisným rozsahem budou podléhat povinnosti jmenovat pověřence pro ochranu osobních údajů, některá malá poradenská zařízení však nikoliv. Ministerstvo školství, mládeže a tělovýchovy však ve své metodické pomůcce doporučuje všem školám a školským zařízením, tedy i poradenským zařízením, jmenovat pověřence pro ochranu osobních údajů. Nicméně je nutné si uvědomit, že tím, kdo v této problematice bude mít poslední slovo, je Úřad pro ochranu osobních údajů, nikoliv ministerstvo školství.