Může být pověřencem pro ochranu osobních údajů právnická osoba?

Nařízení v čl. 37 odst. 6 stanoví, že pověřencem může být pracovník správce či zpracovatele nebo může plnit úkoly na základě smlouvy o poskytování služeb. S ohledem na to, že české právo nezná ani smlouvu o poskytování služeb jako zvláštní smluvní typ. Výkon funkce DPO není živností podle zákona 455/1991 Sb., živnostenský zákon, ve znění pozdějších předpisů nebo podnikáním podle zvláštního právního předpisu. V případě externího výkonu funkce pověřence by se z pohledu vnitrostátního práva jednalo o nepojmenovanou smlouvu podle § 1746 odst. 2 zákona 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů[2] a výkon tzv. „volné živnosti“ neboli výroby, obchodu a služeb neuvedených v přílohách 1 až 3 živnostenského zákona, konkrétněji pak živnosti 60) Poradenské a konzultační činnosti, zpracování odborných studií a posudků případně 80) Výroba, obchod a služby jinde nezařazené. 

Nařízení v čl. 37 odlišuje pouze pozici „interního“ a „externího“ DPO, nezmiňuje se však výslovně o tom, že by „externím“ DPO měla být výlučně fyzická osoba. Takový závěr nevyplývá ani z úvodních recitálů.

Pro bližší informace je nutné nahlédnout do pokynů Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupiny WP 29). V dokumentu „Pokyny týkající se pověřenců pro ochranu osobních údajů“[3] se dočteme, že „pověřenec pro ochranu osobních údajů může být externí, a v tomto případě může být jeho funkce vykonávána na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo s organizací. Je-li funkce pověřence pro ochranu osobních údajů vykonávána externím poskytovatelem služeb, skupina osob pracujících pro tento subjekt může účinně plnit úkoly pověřence pro ochranu osobních údajů jako tým, za který je odpovědný určený hlavní kontakt a „odpovědná osoba“ pro klienta. V tomto případě je nezbytné, aby každý člen externí organizace vykonávající funkce pověřence pro ochranu osobních údajů splňoval veškeré příslušné požadavky obecného nařízení o ochraně osobních údajů.“

 

Budeme-li pojmy „jednotlivec“ a „organizace“ vykládat jako „fyzickou osobu“ a „právnickou osobu,“ pak WP 29 v případě využití externího DPO jednoznačně připouští jak zapojení fyzické, tak právnické osoby.

Z hlediska navázání smluvního vztahu s DPO lze tedy s jistotou konstatovat, že správce či zpracovatel může smlouvu o poskytování služeb DPO uzavřít i s právnickou osobou. Svěření funkce DPO právnické osobě se jeví jako vhodné z hlediska zastupitelnosti, kdy smluvní partner může garantovat dostupnost svých pracovníků a správce či zpracovatel v pozici klienta není vázán na konkrétní fyzickou osobu a není limitován její případnou nedostupností kvůli případné pracovní neschopnosti, dovolené nebo jiných překážkách v práci. Nařízení sice připouští jmenování více pověřenců, nicméně z hlediska správce či zpracovatele se jeví jako příhodné mít jediného smluvního partnera, který v rámci plnění smlouvy zajistí permanentní dostupnost DPO osobami z týmu svých pracovníků. 

S ohledem na výše uvedené tedy nelze přisvědčit názoru, že „externí právnická osoba jako taková tedy nemůže být jmenována přímo pověřencem ..., GDPR však nevylučuje, aby taková právnická osoba poskytla osobu pověřence, tj. např. svého zaměstnance k výkonu funkce pověřence, který bude pověřencem fakticky jmenován. Pověřenec tak bude fyzická osoba, poskytnutá na základě smlouvy jinou právnickou osobou.“[4] Tento názor neodpovídá textaci Nařízení, recitálů ani žádných dalších doprovodních pramenů, jako jsou výklady WP 29. Není proto zřejmé, z čeho autor vychází. Respektive o jaké zdroje svůj názor opírá.

Byť se ÚOOÚ k této otázce dosud výslovně nevyjádřil, jistým vodítkem by mohla praxe v jiných členských státech EU. např. Britské Information Commissioner‘s Office konstatovala, že „You can contract out the role of DPO externally, based on a service contract with an individual or an organisation. It’s important to be aware that an externally-appointed DPO should have the same position, tasks and duties as an internally-appointed one.“[5]. Tento výklad vhodně odpovídá citovanému stanovisku WP 29.

Z výkladu aplikovaných mimo EU je možné dále odkázat například na International Association of Privacy Professionals se sídlem v USA, která ve svém výkladu [5] připouští zapojení externí právní nebo IT firmy (podniku) do funkce pověřence.

Jedním z argumentů, které mají podpořit výše zmíněný názor, že DPO nemůže být PO, je jazykový výklad pojmu „pověřenec“, která má odpovídat ze své podstaty pouze fyzické osobě.

S tímto odůvodněním se v českém právním prostředí nelze spokojit, když názvosloví funkcí, které označují fyzické osoby, mohou v mnoha případech vykonávat i osoby právnické. Funkci statutárního orgánu právnické osoby může vykonávat jiná právnická osoba [6], advokát může vykonávat advokacii prostřednictvím právnické osoby [7], zhotovitelem při plnění smlouvy o dílo je také konkrétní společnost jako dodavatel a nikoliv konkrétní pracovník podílející se na zhotovení díla a podobně.

Právnické osobě tedy výkladově zcela běžně svědčí rovněž jiné pozice, určené z pohledu jazykového výkladu spíše pro fyzické osoby, které však právní úprava svěřuje rovněž osobám právnickým. Není důvod, proč by se tento postup nemohl uplatnit i směrem k výkonu funkce pověřence, pokud to přímo nezapovídá Nařízení.

S ohledem na výše uvedené je tedy možné bez dalšího konstatovat, že správce či zpracovatel může pověřit (respektive jmenovat) výkonem funkce DPO právnickou osobu. To neznamená, že právnická osoba nemusí stanovit osobu odpovědnou za výkon funkce DPO a že tato odpovědná osoba, stejně jako členové týmu, nemusí splňovat stejné kvalifikační předpoklady jako fyzická osoba jmenovaná do funkce pověřence.

[1] K dispozici >>> zde.

[2] K dispozici >>> zde.

[3] K dispozici >>> zde.

[4] K dispozici >>> zde.

[5] K dispozici >>> zde.

[6] K dispozici >>> zde.

[7] K dispozici >>> zde.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz