ACRESIA

V poslední době se hodně diskutuje role pověřence pro ochranu osobních údajů a to jak z hlediska pověřenců samotných, tak i vzhledem k soudním rozhodnutím z poslední doby.

V případě soudních rozhodnutí je třeba zdůraznit následující:
- nejmenování pověřence pro ochranu osobních údajů, pokud to vyžaduje zákon, (Agencia Española de Protección de Datos - AEPD vs městská rada Glovo, Conseguridad a Arroyomolinos a italský úřad pro ochranu údajů vs Ministero dello Sviluppo Economico)
- nebo neúčasti pověřence pro ochranu osobních údajů v otázkách ochrany osobních údajů (LUX DPA vs Délibération č. 18FR / 2021 du 31 mai 2021)

Pracovní skupina WP29 vydala pokyny pro pověřence pro ochranu osobních údajů, které schválil Evropský sbor pro ochranu osobních údajů.

Zajímavé rozhodnutí je právě z Lucemburského dozorového orgánu, kde orgán dohledu pokutoval správce za neúčast pověřence v otázkách zpracování osobních údajů správcem. Pokuta ve výši 18.000 EUR byla udělena v souvislosti se šetřením, které odhalilo, že pokutovaný správce nenavrhl a nejmenoval svého interního pověřence pro ochranu osobních údajů (DPO) v souladu s GDPR. Pověřenec tak nebyl zapojen do všech otázek týkajících se ochrany osobních údajů a nebyl mu poskytnut dostatek zdrojů k výkonu jeho povinností. Společnost navíc nemohla prokázat, že její nově jmenovaný pověřenec absolvoval dostatečné školení, aby mohl řádně a nezávisle zastupovat svou funkci, radit a informovat správce v oblasti ochrany osobních údajů.

Italský úřad pro ochranu osobních údajů uložil pokutu ve výši 75 000 EUR ministerstvu pro hospodářský rozvoj mimo jiné za to, že nebyl řádně jmenován pověřenec po vstupu Obecného nařízení GDPR v platnost. Je to poprvé, co italský dozorový orgán penalizuje orgán veřejné správy za to, že nejmenoval pověřence. Italský dozorový úřad v roce 2017 zahájil kampaně s cílem zajistit, aby orgány veřejné správy byly schopny vyhovět novým požadavkům GDPR. Poté, co Obecné nařízení vstoupilo v květnu 2018 v platnost, ministerstvo pověřence nejmenovalo a k nápravě došlo až v říjnu 2019, kdy jmenování sdělilo dozorovému orgánu. V této souvislosti by bylo zajímavé podívat se na skutečný stav na ministerstvech ČR, protože nepokutování státní správy za prohřešky proti soukromí ve veřejné sféře nelze z pohledu občanů chápat jako smysluplné.

Sankce uložil také španělský dorový úřad Agencia Española de Protección de Datos - AEPD a to městu Arroyomolinos. Město bylo pokáráno za porušení čl. 37 odst. 1 písm. a) orgán veřejné moci, s výjimkou soudů v soudní moci (2020) Conseguridad (50 000 EUR), dále obec Glovo (25 000 EUR) za porušení čl. 37 odst. 1 písm. b) pravidelné a systematické sledování osob ve velkém měřítku (2020).

V příloze najdete souhrn těchto pokynů.

Pokyny WP29 ke jmenování pověřence
Rozhodnutí Lucembursko
Rozhodnutí Itálie
Rozhodnutí Španělsko 1
Rozhodnutí Španělsko 2
Rozhodnutí Španělsko 2
Job description Pověřenec