Postavení ČIA – správce nebo zpracovatel?
Správcem je podle GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení. Správce odpovídá za dodržení povinností plynoucích z GDPR.
Zpracovatelem je podle GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Činí tak na základě smlouvy se správcem a svěřené osobní údaje zpracovává v souladu s pokyny správce.
ČIA jako akreditační orgán je správcem osobních údajů, které zpracovává v rozsahu nezbytném při výkonu veřejné moci. Jedná se o zákonné zpracování osobních údajů podle čl. 6 odst. 1 písm. e) GDPR, které nevyžaduje souhlas subjektu údajů. Při plnění úkolů národního akreditačního orgánu vystupuje ČIA jako orgán veřejné moci, jeho postup je pevně vymezen právní úpravou akreditace (zejm. nařízení Evropského parlamentu a Rady (ES) č. 765/2008, zákon č. 22/1997 Sb., o technických požadavcích na výrobky [dále jen „ZTPV“], zákon č. 500/2004 Sb., správní řád [dále jen „správní řád“]). ČIA není zpracovatelem ve smyslu GDPR.
Opatřování údajů při posuzování – příjemce osobních údajů?
Podle článku 4 bodu 9 GDPR se příjemcem rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování“.
V tomto kontextu je vhodné připomenout § 16 odst. 3 větu prvou ZTPV, podle které akreditační orgán udělí akreditaci subjektu posuzování shody, který prokáže, že splňuje akreditační požadavky, § 16 odst. 2 větu druhou, v souladu s níž si akreditační orgán může vyžádat další informace nebo dokumenty, pokud jsou k posouzení požadovaného rozsahu akreditace nezbytné, a § 50 odst. 2 větu třetí správního řádu, zakládající povinnost účastníků správního řízení poskytovat správnímu orgánu veškerou potřebnou součinnost při opatřování podkladů pro vydání rozhodnutí.
ČIA jako akreditační orgán provádí akreditaci jako orgán veřejné moci, a to zvláštním šetřením – „posuzováním plnění akreditačních požadavků“, které je zakotveno v § 16 ZTPV, ve znění pozdějších předpisů, a řídí se postupem stanoveným zákonem č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů. Při provádění akreditace (včetně následného prověřování plnění akreditačních požadavků – dozoru) ČIA není příjemcem osobních údajů, nýbrž orgánem veřejné moci provádějícím zvláštní šetření, při kterém je svázán platnou legislativou.
Co je to nezbytný rozsah?
Nezbytný rozsah je rozsah právě takový, aby umožnil dosáhnout daného účelu. Při provádění akreditace je to rozsah umožňující posoudit akreditačnímu orgánu, zda subjekt akreditační požadavky splňuje, nebo nesplňuje.
ČIA je při provádění akreditace povinen postupovat v souladu s tzv. zásadou materiální pravdy, zakotvenou v § 3 správního řádu v podobě povinnosti postupovat (z úřední povinnosti) tak, aby byl zjištěn stav věci, o němž nejsou důvodné pochybnosti, a to v rozsahu, který je nezbytný pro soulad úkonu akreditačního orgánu s požadavky uvedenými v § 2 téhož zákona – tedy aby byly úkony ČIA zákonné, přiměřené, šetřily práva nabytá v dobré víře a oprávněné zájmy dotčených osob, odpovídaly okolnostem konkrétního případu a byly v souladu s veřejným zájmem.
Aby mohl ČIA činit rozhodnutí vztahující se k akreditaci, musí mít k dispozici informace nezbytné k posouzení, zda subjekt splňuje akreditační požadavky nezbytné pro udělení akreditace v požadovaném rozsahu (či pro její zachování v případě dozoru), či nikoli. Podle platné právní úpravy příslušné informace ČIA poskytuje subjekt, který jimi prokazuje plnění akreditačních požadavků.
V souladu se zásadou minimalizace zpracování osobních údajů členové skupiny posuzovatelů ČIA informace poskytnuté subjektem ověřují především při posuzování na místě (mohou nahlížet do citlivých záznamů subjektu, výstupních dokumentů obsahujících osobní údaje klientů, ověřovat totožnost osob, s nimiž hovoří, atp.); do svých zpráv však zapisují pouze nezbytné minimum osobních údajů, potřebné k zachycení výsledků posuzování.
Příklad: Posuzovatelé ČIA jsou oprávněni ověřit totožnost pracovníka subjektu, s nímž vedou rozhovor, podle jeho dokladu totožnosti. Do zpráv však neuvedou číslo takového dokladu ani jeho jiné označení, pouze skutečnost, že totožnost byla ověřena. Do zprávy však musí uvést jméno, příjmení a funkci pracovníka subjektu, s nímž hovořili, a výsledek provedeného rozhovoru, aby mohla zpráva sloužit jako podklad pro vydání rozhodnutí ve smyslu § 50 správního řádu.
Má GDPR vliv na provádění akreditace?
Z kontextu výše uvedených odpovědí lze uzavřít, že GDPR nemá na praktické provádění akreditace vliv. Subjektům nebrání prokazovat plnění akreditační požadavky dosavadním způsobem, ani jim nebrání poskytovat skupině posuzovatelů osobní údaje (v rozsahu nezbytném pro posouzení plnění akreditačních požadavků). Naopak, stanoví pro ČIA přísnější pravidla ochrany získaných osobních údajů. Akreditační proces se nadále řídí národní právní úpravou, v souladu s níž ČIA jako orgán veřejné moci provádějící zvláštním zákonem upravené šetření není příjemcem osobních údajů. ČIA není ani zpracovatelem osobních údajů. ČIA je správcem osobních údajů, plně odpovídá za soulad jejich zpracování s GDPR i dalšími právními předpisy, jejich ochranu a dodržení zákonné povinnosti mlčenlivosti (časově neomezené). K tomuto zpracování nepotřebuje souhlas subjektů údajů, ani není nutno s ČIA uzavírat zvláštní dohody o mlčenlivosti.
Kdo je pověřencem pro ochranu osobních údajů?
Jelikož ČIA provádí zpracování osobních údajů jako orgán veřejné moci, jmenoval v souladu s čl. 37 odst. 1 písm. a) GDPR pověřence pro ochranu osobních údajů, jímž je Mgr. Kamila Prokopcová, advokát, evidenční číslo České advokátní komory 11592, se sídlem Karlovo náměstí 19, Praha 2, 120 00.
POKRAČOVAT DÁL:
Časté dotazy >
