Kdo rozhoduje, kdo určuje účely zpracování a komu se zodpovídá DPO?
Skupina podniků, ať už jí říkáme holding, koncern nebo ještě jinak, často sdílí prostředky a nástroje pro zpracování osobních údajů. A také osobní údaje, nejčastěji klientů nebo zaměstnanců, za různými účely a obvykle ve velkém rozsahu.
Členové skupiny vůči sobě mohou být v postavení správce-zpracovatel, správce-správce nebo mohou být společnými správci. Tento vztah by měl být upraven smlouvou. Dle práva korporátního navíc musí být vyjasněno, kdo je osobou ovládající a kdo je osobou ovládanou. Toto následně ovlivňuje vzájemnou interakci osob v rámci koncernu, podmínky pro předávání osobních údajů a mimo jiné i postavení zaměstnance jiné právnické osoby v rámci skupiny či externího subjektu, který by měl pro druhé právnické osoby vystupovat v roli pověřence pro ochranu osobních údajů (DPO).
GDPR zná institut skupinového DPO, který monitoruje soulad s GDPR v části podniků (osob), či v celé skupině podniků.
Článek 37 odst. 2 GDPR: Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.
GDPR zároveň v článku 38 vyžaduje, aby DPO byl nezávislý a při plnění svých úkolů nedostával žádné pokyny. DPO je ve smyslu článku 39 GDPR zodpovědným za monitorování souladu a zajištování ochrany práv a svobod jednotlivců v právnické osobě (resp. osobách), za niž je jmenován.
Při jmenování skupinových DPO je nutné při registraci u příslušných dozorových úřadů určit, za jaké konkrétní podniky(právnické osoby) bude DPO jmenován.
A vždy je zde nutné předejít konfliktu zájmů a situací, které by DPO mohly do konfliktu zájmů postavit. V obvyklé situaci, kdy DPO není jmenován jako skupinový DPO, by konflikt zájmů hrozil zejména v následujících případech:
DPO by kontroloval sám sebe (svou činnost), např. by zároveň prováděl posouzení nového zpracování (DPIA) a poté by se k němu měl nezávisle vyjadřovat. Toto je pochopitelně logicky nemožné a také to již konstatoval i regulátor a udělil pokutu (např. správci jímž byla banka, jejíž DPO byl zároveň vedoucím právního oddělení tedy zodpovědným za compliance).
Organizační začlenění DPO by mu bránilo konat nezávisle, například jeho stanoviska by mohla ovlivnit hodpodářské výsledky, či např. KPI oddělení, v němž je Pověřenec začleněn a tím i ohodnocení DPO. DPO a jeho nadřízený by pak mohl postrádat zájem vydávat stanoviska, která by vedla k horším KPI.
Střety zájmů u skupinového DPO
Je-li však DPO jmenován na úrovni skupiny podniků, přibývají dále otázky spojené s hierarchickou strukturou skupiny. Konflikt zájmů pak může nastat třeba tehdy, kdy by DPO byl zaměstnancem ovládající osoby a zároveň by měl fungovat jako DPO i u ovládaných osob. Specifická rizika hrozí ale také tehdy, byl-li by Skupinový DPO zaměstnancem ovládané osoby.
Klíčovou otázkou zde bude určení, které osoby jsou ve skupině podniků v roli "nejvyššího vedení" a tedy kterým osobám DPO reportuje. Pokud skupina (koncern) řídí ovládané osoby direktivně, tedy tak, že jim nařizuje, co a jak mají konat, a to i ve smyslu určování účelů a prostředků zpracování osobních údajů, pak statutární zástupci ovládaných osob nejspíše nebudou vrcholovými řídícími pracovníky ve smyslu článku 38 odst. 3 GDPR.
Pokud však skupina pouze "doporučuje", ale rozhodnutí ve smyslu právně závazných aktů reálně přijímají statutární zástupci jednotlivých ovládaných osob (například zda využijí korporátní proces a nástroj, nebo budou postupovat jinak), pak v dané právnické osobě budou vrcholovými řídícími pracovníky, vůči němuž se DPO odpovídá, tato skupina statutárů.
Dle článku 38 odst. 3 GDPR: Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
Je totiž nutné si uvědomit, že ten, kdo "rozhoduje" (tedy mj. určuje účely a prostředky zpracování osobních údajů) se stává správcem. Ti, kdo "poslouchají", nerozhodují a provádějí zpracování pro správce, jsou v postavení zpracovatele.
Z GDPR plyne, že DPO může být přímo podřízen "nejvyšímu vedení" buď správce nebo zpracovatele. Je-li pověřencem zpracovatele, pak musí "své" vedení upozornit, pokud by např. správce požadoval vydání dat, k nimž mu nesvědčí platný právní titul, či pokud např. nebyla splněna informační povinnost a požadovat po svém vedení, aby takové aktivity zastavilo.
Pokud by ale jeden a týž pověřenc byl v roli skupinového DPO pro obě osoby, těžko lze čekat, že by si pak nasadil čepici zpracovatele a a vedení zpracovatele by na protiprávní pokyn správce upozornil.
Jak to vyřešit?
Pokud je skupinový DPO zaměstnancem ovládající osoby a má konat i jako DPO ostatních osob ve skupině, problém s konflikty zájmů (nezávislost DPO) je zvládnutelný u ovládaných osob, jež jsou funkčně na obdobné roli. Typicky u obchodních společností podnikající pod podobným brandem v různých zemích.
Problém by však pravděpodobně nastal u hierarchicky řízených organizací, kde jedna část plně ovládá jiné podniky. Specificky pokud by některé ovládané osoby byly v principiálním postavení interních dodavatelů (např. poskytovatelů skupinových IT, účetních či právních služeb), kteří existují jen za účelem poskytování podpory jiným členům skupiny.
Zde se předpokládá, že tyto interní poskytovatelé budou konat dle instrukcí skupiny a tedy ovládající osoby. To je nutně, alespoň u části zpracování, staví do role zpracovatelů osobních údajů.
Pokud má DPO řádně zastupovat zpracovatele, nemůže být zároveň éověřencem osoby, jež je vůči ní v postavení Správce. Takováto konstelace v praxi obvykle vyžaduje dva nezávislé DPO, kde každý zastupuje zájmy "své" právnické osoby a "jejích" subjektů údajů a odpovídá se "jejich" nejvyššímu vedení.
Řešením by rovněž mohlo být takové nastavení faktického fungování, kdy by ovládající a ovládané osoby byly v postavení společných správců. O účelu a prostředcích zpracování by, alespoň do určité míry, rozhodly společně. Míra faktického podílení se na zpracování by, podle judikatury Soudního dvora Evropské unie, neměla být rozhodující. Ve smlouvě o společném správcovství by pak jasně vymezily vzájemné vztahy a zodpovědnosti, a to včetně role skupinového DPO. Svou roli by zde mohly hrát i Závazná podniková pravidla. Nicméně to už by byl jiný příběh a jiný článek.
Ekonomická situace nejen v EU naznačuje, že některé obchodní modely by mohly v brzké době doznat změn. Důsledkem by mohlo být například uzavírání vybraných zahraničních poboček. Ovládající podnik má v takové situaci často snahu získat od ovládaného podniku detailní HR data a využít je pro reorganizaci nepříznivou pro ovládanou pobočku. Takové využití dat by ale mohlo být v rozporu s účely, pro něž je ovládaný podnik sbíral.
Lze ovšem v takovém případě očekávat, že by skupinový pověřenec objektivně posoudil, jestli lze osobní údaje zaměstnanců mateřské společnosti v požadovaném rozsahu předat? Bude skupinový DPO o takovém záměru vůbec předem informován? Podle názoru autora je tedy jen otázkou času, kdy se tyto otázky dostanou k očím regulátora nebo soudu.