#Osobné údaje #VZOR: #Zodpovedná osoba
Updated: May 4, 2022
VYHODNOTENIE čl. 37 a nasl. nariadenia #GDPR
Nariadenie GDPR v zmysle čl. 37 ods. 1 a nasl. stanovuje povinnosť v taxatívne vymedzených prípadoch určiť zodpovednú osobu u prevádzkovateľa.
1. Podľa čl. 37 ods. 1 písm. a) nariadenia GDPR je Prevádzkovateľ povinný určiť zodpovednú osobu ak:
Prevádzkovateľ určí zodpovednú osobu v prípade, ak: spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci.
Definíciou orgánu verejnej moci na tieto účely je:
1. štátny orgán, obec, vyšší územný celok;
2. právnická osoba zriadená zákonom a právnická osoba zriadená štátnym orgánom, obcou alebo vyšším územným celkom;
3. právnická osoba založená osobou v prvom bode alebo druhom bode, právnická osoba a fyzická osoba, ktorej zákon zveruje právomoc rozhodovať o právach a povinnostiach fyzických osôb alebo právnických osôb v oblasti verejnej správy.
Pre potreby tejto Analýzy, Spoločnosť v súvislosti s vymedzením pojmu orgán verejnej moci odkazuje na uznesenie Ústavného súdu Českej a Slovenskej Federatívnej Republiky zo dňa 9. júna 1992 sp. zn. I. ÚS 191/92:
Verejnou mocou je taká moc, ktorá autoritatívne rozhoduje o právach a povinnostiach subjektov, či už priamo, alebo sprostredkovane. Subjekt, o ktorého právach alebo povinnostiach rozhoduje orgán verejnej moci, nie je v rovnoprávnom postavení s týmto orgánom a obsah rozhodnutia tohto orgánu nezávisí od vôle subjektu.
Verejnú moc vykonáva štát predovšetkým prostredníctvom orgánov moci zákonodarnej, výkonnej a súdnej a za určitých podmienok ju môže vykonávať aj prostredníctvom ďalších subjektov. Kritériom pre určenie, či iný subjekt koná ako orgán verejnej moci je skutočnosť, či konkrétny subjekt rozhoduje o právach a povinnostiach iných osôb a tieto rozhodnutia sú štátnou mocou vynútiteľné, či môže štát do týchto práv a povinností zasahovať.
Orgánom v právnom slova zmysle je právnická osoba, vykonávajúca svoju činnosť ako povinnosť alebo kompetenciu a je zriadená k trvalému a opakujúcemu sa výkonu činnosti.
Spoločnosť nie je zriadená zákonom a nie je zriadená ani na základe zákona, pričom prostredníctvom Spoločnosti nevykonáva Slovenská republika žiadne svoje úlohy a povinnosti ktoré sú jej priznané právnymi predpismi. Vlastníkmi Spoločnosti sú súkromné, fyzické osoby, pričom Spoločnosť nemá žiadnu účasť na majetku Slovenskej republiky a ani naopak.
Z Usmernenia týkajúceho sa zodpovedných osôb pracovnej skupiny zriadenej podľa článku29 smernice 95/46/ES; WP29, 16/SK WP 243 rev. 01 naposledy revidované a prijaté 5. apríla 2017, (ďalej len ako „usmernenie WP29“):
úlohu vo verejnom záujme môžu vykonávať a verejnú moc môžu uplatňovať nielen orgány verejnej moci, alebo verejnoprávne subjekty, ale aj iné fyzické alebo právnické osoby, ktoré sa riadia verejným alebo súkromným právom, v sektoroch, ako sú služby verejnej dopravy, dodávky vody a energií, cestná infraštruktúra, verejnoprávne vysielanie, sociálne bývanie, alebo disciplinárne orgány pre regulované povolania.
Spoločnosť vykonáva svoju podnikateľskú činnosť okrem iného najmä na úseku [•]
Usmernenie WP29 chápe plnenie úloh vo verejnom záujme ako naplnenie podmienky pre určenie zodpovednej osoby podľa čl. 37 ods. 1 písm. a). Odôvodňuje to tým, že v prípadoch, kedy aj súkromná obchodná spoločnosť vykonáva úlohy vo verejnom záujme, môžu sa dotknuté osoby nachádzať vo veľmi podobnej situácií, ako keď ich údaje spracúva orgán verejnej moci alebo verejnoprávny subjekt. Osobné údaje sa predovšetkým môžu spracúvať na podobné účely a jednotlivci majú často podobne malú alebo žiadnu možnosť ovplyvniť, či a ako sa ich údaje budú spracúvať, na základe čoho môžu žiadať dodatočnú ochranu, ktorú im môže priniesť určenie zodpovednej osoby. Spoločnosť však na základe vyššie uvedeného preukazuje, že jej podnikateľská a iná činnosť v žiadnom rozsahu nie je vykonávaná vo verejnom záujme.
Spoločnosť priznáva ochrane osobných údajov dôležité miesto pri výkone svojej podnikateľskej činnosti na najvyššej profesionálnej úrovni, preto na základe vyššie uvedenej analýzy a z toho vzniknutých pochybností potreby určenia zodpovednej osoby sa prikláňa k záveru, že nespĺňa podmienky na obligatórne vymenovanie zodpovednej osoby podľa ustanovenia čl. 37 ods. 1 písm. a) nariadenia GDPR.
2. Podľa čl. 37 ods. 1 písm. b) nariadenia GDPR je Prevádzkovateľ povinný určiť zodpovednú osobu ak:
Prevádzkovateľ určí zodpovednú osobu v prípade, ak: hlavnými činnosťami prevádzkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
Článok 37 ods. 1 písm. b) nariadenia GDPR obsahuje odkaz na „hlavné činnosti prevádzkovateľa“. V odôvodnení recitálu 97 nariadenia GDPR sa konkretizuje, že hlavné činnosti prevádzkovateľa sa týkajú jeho „primárnych činností a nie spracúvania osobných údajov ako vedľajšej činnosti“. „Hlavné činnosti“ možno považovať za kľúčové operácie nevyhnutné na dosiahnutie cieľov prevádzkovateľa.
V tejto súvislosti usmernenie WP29 upozorňuje, že hlavnou činnosťou nie je len samostatná obchodná činnosť, ku ktorej je spracúvanie osobných údajov vo vzťahu ako činnosť doplnková. Ako príklad uvádza, že hlavnou činnosťou nemocnice je poskytovanie zdravotnej starostlivosti. Nemocnica by však nemohla bezpečne a účinne poskytovať zdravotnú starostlivosť bez toho, aby spracúvala údaje o zdravotnom stave pacientov vo veľkom rozsahu. Veľký rozsah usmernenie WP29 chápe napríklad ako vyjadrenie podielu populácie, alebo konkrétne číslo. Ako príklad spracúvania vo veľkom rozsahu možno uviesť spracúvanie údajov pacientov v rámci bežnej činnosti nemocnice, spracúvanie cestovných údajov jednotlivcov používajúcich systém mestskej hromadnej dopravy (tzv. cestovné karty), spracúvanie geolokalizačných údajov zákazníkov medzinárodného reťazca rýchleho občerstvenia v reálnom čase na štatistické účely, spracúvanie osobných údajov zákazníkov v rámci bežnej činnosti poisťovne alebo banky, spracúvanie osobných údajov na účely behaviorálnej reklamy a pod.
Spoločnosť spracúva osobné údaje klientom, ktorým poskytuje služby v súvislosti s hlavnou podnikateľskou činnosťou Spoločnosti, v rozsahu potrebnom na uzatvorenie zmluvy. Spoločnosť nevykonáva žiadne spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb.
Pojem pravidelné a systematické monitorovanie dotknutých osôb zahŕňa najmä všetky formy sledovania a profilovania na internete vrátane sledovania a profilovania na účely behaviorálnej reklamy.
Výklad výrazu „pravidelné“ zahŕňa podľa pracovnej skupiny WP29 jeden alebo viacero z týchto významov: prebiehajúce alebo vyskytujúce sa v určitých intervaloch počas určitého obdobia, opakovane sa vyskytujúce alebo opakované v pevne stanovených časoch, odohrávajúce sa nepretržite alebo pravidelne.
Výklad výrazu „systematické“ zahŕňa podľa pracovnej skupiny WP29 jeden alebo viacero z týchto významov: vyskytujúce sa v súlade so systémom, vopred naplánované, organizované alebo metodické, odohrávajúce sa ako súčasť všeobecného plánu zberu údajov, vykonávané v rámci stratégie.
Príklady činností, ktoré môžu predstavovať pravidelné a systematické monitorovanie dotknutých osôb sú: prevádzka telekomunikačnej siete; poskytovanie telekomunikačných služieb; presmerovanie emailov; marketingové činnosti založené na údajoch; profilovanie a bodovanie na účely posudzovania rizík (napr. na účely bodového hodnotenia úverového rizika, určenia výšky poistného, predchádzania podvodom, odhaľovania prania špinavých peňazí); sledovanie polohy, napríklad s použitím mobilných aplikácií; vernostné programy; behaviorálna reklama; monitorovanie údajov o psychickej a fyzickej zdatnosti a o zdravotnom stave prostredníctvom zariadení nosených na tele; priemyselná televízia; hybridné zariadenia, napr. inteligentné meracie prístroje, inteligentné vozidlá, automatizácia domácnosti atď.
3. Podľa čl. 37 ods. 1 písm. c) nariadenia GDPR je Prevádzkovateľ povinný určiť zodpovednú osobu ak:
Hlavnými činnosťami prevádzkovateľa je spracúvanie osobných údajov podľa čl. 9 nariadenia vo veľkom rozsahu, alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestní činy a priestupky podľa čl. 10 nariadenia.
Spoločnosť spracúva osobné údaje na základe zmluvných vzťahov uzatvorených medzi prevádzkovateľom a jeho klientom, ktorý je fyzická osoba, pričom prevádzkovateľ spracúva osobné údaje záujemcov o tovary a služby, a to v rozsahu a na účely prípravy zmluvnej dokumentácie na predaj tovarov a služieb. Spoločnosť nespracúva osobné údaje týkajúce sa uznania viny za trestné činy a priestupky a ani osobné údaje osobitnej povahy – osobitná kategória podľa čl. 9 GDPR.
Osobitnou kategóriou osobných údajov podľa článku 9 nariadenia GDPR sú osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby (ďalej len „citlivé údaje“).