GDPR a pověřenec v sociálních službách z pohledu střetu zájmů

V dnešním článku bychom se rádi vrátili k tématu funkce pověřence pro ochranu osobních údajů u poskytovatelů sociálních služeb. V souvislosti se zaváděním souladu s nařízením GDPR řeší poskytovatelé sociálních služeb v zásadě dvě základní otázky, a to, zda daná organizace musí opravdu pověřence pro ochranu osobních údajů jmenovat a kdo může takovou funkci vykonávat, zejména z řad stávajících zaměstnanců nebo členů orgánů poskytovatele.

Otázky jsou logické, neboť zavedení funkce pověřence je spojena jednak s nezbytnou odborností a určitou mírou odpovědnosti dané osoby, jednak jde mj. i o otázku nákladů samotného poskytovatele.

Musí mít poskytovatel sociálních služeb skutečně pověřence?

Byli bychom velice rádi, kdyby odpověď na tuto otázku byla jednoznačná, ale…

Převážná většina poskytovatelů sociálních služeb nakládá s osobními údaji klientů, zaměstnanců, ale i dalších osob, jako jsou rodinní příslušníci klientů, dobrovolníci či sponzoři. U převážné většiny poskytovatelů se pak zpracovávají také citlivé údaje (zvláštní kategorie osobních údajů), např. o zdravotním stavu, rasovém či etnickém původu nebo i sexuálním životě klientů.

V článku Nařízení GDPR – strašák na poskytovatele sociálních služeb? z 2. 10. 2017 jsme nastínili, že GDPR v čl. 37 odst. 1 písm. b) nebo c) spojuje povinnost jmenovat pověřence pro ochranu osobních údajů s tzv. rozsáhlým zpracováním osobních údajů.

Situace u každého poskytovatele může být jiná, a to mj. s ohledem na druh a formu poskytované služby. Pobytové služby u jednotlivého poskytovatele jsou vzhledem k omezené kapacitě poskytovány v průměru desítkám klientů. Ambulantní nebo terénní služby jsou mírně kapacitnější a jsou poskytovány řádově stovkám klientů, nejedná-li se specificky o poskytovatele sociálních služeb s celostátní působností. Poskytovatelé dle klientské základny pak mají odpovídající počet zaměstnanců (úvazků), u nichž se osobní údaje zpravidla zpracovávají výlučně z titulu plněních povinností zaměstnavatelů v rámci běžné zaměstnanecké agendy (např. mzdová agenda či agenda sociálního a zdravotního pojištění).

Přestože GDPR klíčový pojem „rozsáhlosti“ nikterak blíže nespecifikuje, výkladová stanoviska k tomuto pojmu uvádějí určitá vodítka na příkladech. Za rozsáhlé zpracování osobních údajů je považováno např. zpracování údajů krajskou nemocnicí, naopak u praxe jednotlivých lékařů je dovozováno, že nejde o zpracování rozsáhlé. Srovnání těchto příkladů poskytovatelů zdravotních služeb s poskytovateli sociálních služeb se nabízí a lze určitě dospět k závěru, že mnoho poskytovatelů sociálních služeb zpracovává osobní údaje spíše v objemu praktického lékaře, než na úrovni krajské nemocnice.

Počet klientů u řady poskytovatelů sociálních služeb je dokonce nižší, než průměrný počet registrovaných pacientů u jednotlivého praktického lékaře (dle zdravotnických statistik připadá na 1 lékaře pro dospělé kolem 1 500 – 1 700 registrovaných pacientů).

Podle našich informací se výkladovým problémem rozsáhlého zpracování osobních údajů zabývá MPSV a požádalo v tomto ohledu o stanovisko Úřad pro ochranu osobních údajů. I bez konečného stanoviska jsme však názoru, že řada poskytovatelů sociálních služeb neprovádí rozsáhlé zpracování osobních údajů, a proto nebude muset pověřence pro ochranu osobních údajů ustanovit.

Kdo ze stávajících zaměstnanců či členů orgánů může funkci pověřence vykonávat?

Tato otázka je v poslední době velmi častá, neboť řada poskytovatelů se snaží využít maximálně stávajících kapacit a nechat vyškolit vlastního zaměstnance či člena orgánů na funkci pověřence. Jenomže…

Čl. 38 odst. 6 GDPR umožňuje pověřencům pro ochranu osobních údajů „plnit i jiné úkoly a povinnosti“. Vyžaduje však, aby organizace zajistila, aby „žádné z těchto úkolů a povinností nevedly ke střetu zájmů“.

Absence střetu zájmů úzce souvisí s požadavkem jednat nezávislým způsobem. Poskytovatel sociálních služeb proto musí zajistit, aby pověřenec nedostával pokyny od organizace týkající se výkonu úkolů pověřence (nesmí být instruován, jak vykonávat svou funkci, jak řešit nějaký problém, jak prošetřovat stížnosti, zda konzultovat situaci s Úřadem pro ochranu osobních údajů, nesmí mu být vnucován určitý právní názor apod.). Pověřenec musí být přímo podřízen vrcholovým řídícím pracovníkům organizace, tj. musí mít přímý přístup k vedení organizace, aby se mohl kdykoli obrátit na vedení organizace v záležitostech ochrany osobních údajů.

Pověřenec však nesmí u poskytovatele zastávat pozici, ve které by měl sám určovat účely a prostředky zpracování osobních údajů v organizaci. Lze tedy dovodit, že o střet zájmů by zpravidla mohlo jít, pokud by funkci pověřence zastával statutární orgán nebo jeho člen, výkonný ředitel, vedoucí pracovníci typu finanční ředitel, vedoucí marketingového oddělení, vedoucí oddělení lidských zdrojů, vedoucí oddělení IT, a dále také osoby provádějící organizačně-technická opatření k zajištění ochrany osobních údajů apod. Vedle toho mohou ke střetu zájmů vést i nižší pracovní pozice, je-li jejich náplní mj. jakékoli určování účelů a prostředků zpracování.

Ministerstvo vnitra ve svých pokynech k činností obcí např. uvádí, že není vyloučeno, aby pověřence vykonával referent či vedoucí určitého oddělení/odboru nebo jiní zaměstnanci, kteří v rámci své náplně nakládají s osobními údaji, avšak za podmínky, že neprovádí organizačně-technická opatření k zajištění ochrany osobních údajů, nebo jiné činnosti vedoucí ke střetu zájmů a ohrožení nezávislého výkonu funkce pověřence. Toto vymezení je poměrně výstižné a lze doporučit se jím řídit i v organizacích mimo sféru municipalit.

Pokud tedy poskytovatel sociálních služeb musí pověřence ustanovit a hodlá touto funkcí pověřit svého stávajícího zaměstnance, měl by provést určité kroky nezbytné k zamezení střetu zájmů. Předně identifikovat pozice v organizaci, které jsou neslučitelné s funkcí pověřence, dále přijmout interní pravidla pro zamezení střetu zájmů, podepsat doložku či smluvní ujednání s pověřencem, že u něj nedojde ke střetu zájmů, a dále doložku o zachování povinnosti mlčenlivosti o všech osobních údajích, o kterých se dozví v souvislosti s výkonem své funkce, jakož i o všech bezpečnostních opatřeních, jejichž vyzrazení by ohrozilo zabezpečení osobních údajů.