Těžko říct, zda se dá obecně tvrdit, že závěr roku je pro pověřence, kterým je náš Zpravodaj věnován především, již klidnějším obdobím či nikoliv. Pravda je, že málo společností plánuje audity na přelom roku, a s trochou štěstí tak většina pověřenců již ve sváteční atmosféře sbírá síly na nový rok, nové projekty a výzvy, které vyplývají z úkolů, jimiž jsou pověřeni.
Jeden DPO pracuje i o Vánocích…
Jeden z pověřenců si ale přece jen pravděpodobně odpočine až poté, co většina pověřenců odloží své pracovní počítače a telefony a usedne ke štědrovečerní večeři. Tento pověřenec bude totiž muset monitorovat soulad s GDPR i v tento sváteční čas, neboť správce, u kterého své úkoly vykonává, bude právě 24. 12. naplňovat jeden z hlavních účelů, pro nějž shromažďuje osobní údaje téměř po celý rok. Tím správcem není nikdo jiný než Ježíšek, který právě na Štědrý den provádí rozesílku všemožných dárků všem subjektům údajů. Jenže jak je to vlastně s jeho zpracováním osobních údajů a plněním povinností dle GDPR?
Předně – zásadní selhání můžeme ihned najít v rámci neplnění informační povinnosti. GDPR ukládá všem správcům, aby subjektům údajů poskytli veškeré informace dle čl. 13 GDPR, a to včetně uvedení kontaktních a adresních údajů. V tomto bodě však jako subjekty údajů trpíme absencí jakýchkoliv informací, poněvadž nám nikdy nebyly poskytnuty. Jako subjekty údajů tak nemáme možnost uplatnit svá práva, ale ani se nám nedostává zásadních informací – například kde je Ježíšek usídlen a jakými zákony se řídí.
Ježíšek musí shromáždit žádosti o poskytnutí daru a vyhodnotit je
Dlužno dodat, že stejnou záhadou zůstává i to, jakými zákony se cítí být vázán například Santa Claus. U něj sice víme, že svoji činnost vykonává z oblasti severního polárního kruhu, ten však ve skutečnosti protíná celkem osm států, včetně Ruska, USA (díky Aljašce) a Kanady. Ani v tomto případě tak nemáme stoprocentně jasno, jakou právní úpravou se hodlá řídit. Co je však jisté, je, že Ježíšek bude stoprocentně zpracovávat osobní údaje občanů EU a tím pádem by tato pravidla měl znát on – nebo jeho pověřenec.
Jaké operace zpracování Ježíšek provádí?
Jenže kvůli absenci informační dokumentace vlastně nevíme, jestli Ježíšek pověřence jmenoval a kdo jím ve skutečnosti je. Klíčovou otázkou totiž je, zda měl Ježíšek vlastně povinnost DPO jmenovat. Zde budeme muset blíže zabrousit do zhodnocení, jaké operace zpracování Ježíšek provádí.
Kromě shromažďování dopisů od subjektů údajů spolu s žádostmi o poskytnutí daru totiž musí přirozeně proběhnout i jejich vyhodnocení. Samozřejmě, že oproti Santa Clausovi jsou předmětné operace méně excesivní – Santa Claus totiž vytváří databázi nazvanou jako „naughty list“, tedy seznam subjektů údajů, které zlobily. Zcela určitě tak Santa Claus zpracovává v rámci své hlavní činnosti mimo jiné osobní údaje, jež se týkají rozsudků v trestních věcech a trestných činech dle čl. 10 GDPR, a to za účelem vytvoření seznamu subjektů údajů, které se v průběhu roku dopustily nějaké nepravosti.
Je předávání údajů 3. osobám, zpravidla rodičům, ze strany Ježíška v souladu s GDPR?
Ježíšek v tomto případě v duchu zásady minimalizace dle čl. 5 odst. 1. písm. c) GDPR a „privacy by design“ dle čl. 25 GDPR samozřejmě takový seznam samoúčelně nevytváří, nicméně je pravda, že za účelem ověření morálního statusu subjektů údajů Ježíšek provádí pravidelný monitoring, jehož cílem je zjištění a ověření, zda se subjekt údajů nedopustil nějakého hříchu, kvůli kterému by jeho žádost o poskytnutí daru musela být následně zamítnuta. S ohledem na to, že taková operace je inherentně spojena s hlavní činností Ježíška o Vánocích a předmětný monitoring je pravidelný a systematický, měl by v souladu s čl. 37 odst. 1 písm. b) GDPR pověřence jmenovat.
Zda tak Ježíšek učinil, není bohužel zcela zřejmé. Předpokládáme však, že by tímto úkolem pravděpodobně pověřil sv. Iva Bretaňského, který je patronem soudců, advokátů a notářů.
Zda však tento světec stále operuje z Francie, bohužel není známo. Budete-li se proto procházet vánoční Prahou, prohlédněte si sochu sv. Iva na Karlově mostě, zda tam přeci jen nebudou bližší kontaktní údaje, abychom případně mohli tohoto pověřence oslovit se svými dotazy napřímo.
Má Ježíšek zpracovatele?
Otázek bude samozřejmě více. Z právního hlediska nás samozřejmě bude zajímat, za jakými všemi účely jsou naše osobní údaje zpracovávány a kdo všechno k nim má přístup. Nepředpokládáme, že od správce získáme úplný jmenný seznam. I když je pravděpodobné, že minimálně sv. Petr bude mít k takovému seznamu přístup s ohledem na autorizační proces v případě přístupu v rámci takzvané nebeské brány. Bude se přitom jednat o zaměstnance správce, a tím pádem nikoliv o dalšího příjemce.
Člověk si však klade otázku, jak je možné, že Ježíšek provede veškeré operace zpracování v souvislosti s doručením dárků do všech domácností, které nota bene probíhá zpravidla v jeden okamžik (velmi často, když jsme všichni v koupelně, kde pouštíme lodičky, či v kuchyni při nakrajování jablíčka, popřípadě v blízkosti tekoucí vody, pokud lijeme olovo). Není přece možné, aby se Ježíšek v rámci celého zpracování obešel bez zpracovatelů, které pověří částí předmětných operací, jež souvisejí s doručením dárku.
Ostatně již samotný proces shromažďování osobních údajů prostřednictvím obálek zastrčených za oknem musí být poměrně administrativně náročný, neboť některé z těch nejvíce netrpělivých subjektů údajů jej vyhotovují již na začátku prosince, a tím pádem Ježíšek musí nutně nasadit robustní monitorovací systém, jehož prostřednictvím zajistí, že veškerá dokumentace je ještě téhož večera (nejpozději samozřejmě do druhého kalendářního dne) převzata a zaevidována.
S tím totiž souvisí i zásada integrity a důvěrnosti. Jako každý jiný správce musí i Ježíšek implementovat dostatečná technická a organizační opatření dle čl. 32 GDPR k tomu, aby zajistil, že předmětné osobní údaje neskončí ve špatných rukou. Ježíšek by tak měl vést záznamy o činnostech zpracování dle čl. 30 GDPR, které v souvislosti s tím budou obsahovat minimálně popis bezpečnostních opatření.
Ostatně otazníky ohledně zabezpečení se objevují i v okamžiku, kdy Ježíšek sděluje obsah žádostí o dárky třetím osobám, zpravidla rodičům těch subjektů údajů, které žádost vyhotovily. Nezřídka mi bylo v minulosti opakovaně sděleno, že rodiče subjektů údajů mají přímou telefonní linku na Ježíška a mohou ho kdykoliv informovat o skutečnostech, jež mají svědčit o údajné nezpůsobilosti žadatele z důvodu neplnění závazků například vůči škole deklarovaného údajným špatným prospěchem (přičemž k námitce, že se jedná o nahodilou skutečnost, která se stejně tak projevovala i u ostatních spolužáků, nebylo velmi často přihlíženo).
Ježíšek zavalený stížnostmi subjektů údajů
Domníváme se tak, že v souladu s čl. 15 GDPR bychom měli mít jako subjekty údajů přístup k takovým případným hlášením a stejně tak v souladu s čl. 16 GDPR bychom měli mít právo na to, aby správce (Ježíšek) opravil případné nesprávné osobní údaje, které zpracovává (nevzpomínám si totiž, že bych někdy až tak moc zlobil, že by bylo nezbytně nutné mi vyhrožovat, že se to Ježíšek dozví).
Není úplně vyloučeno, že sv. Ivo odebírá tento Zpravodaj, aby se stejně jako vy vzdělával ve své činnosti a plnil tak svoje povinnosti dle čl. 38 odst. 2 GDPR, a je tedy možné, že do příštího čísla zašle svoji odpověď, v níž objasní některé ze zmíněných problémů. Pravda však je, že bude mít nejspíš plné ruce práce s vyřizováním stížností subjektů údajů, které nesouhlasí s profilováním, jež správce provádí a na jehož základě pak přistupuje k jednotlivým žádostem o poskytnutí daru. Možná si tak chvilku ještě počkáme. Do té doby bychom vám chtěli popřát klidné svátky a vše nejlepší do nového roku.