Musí kulturní příspěvkové organizace kraje (muzea a galerie) zřizovat funkci pověřence ve svých organizacích, když v dané organizaci nedochází k rozsáhlému zpracování osobních údajů (dle čl. 37 obecného nařízení)?
Ne každá organizace založená subjektem, který musí mít pověřence, musí také mít pověřence. Vždy je nutné zkoumat naplnění podmínek dle článku 37 odst. 1 obecného nařízení, tj. zejména zda hlavní činnost organizace zahrnuje rozsáhlé zpracování zvláštních kategorií osobních údajů nebo spočívá v rozsáhlém monitorování subjektů údajů.
Běžná činnost muzea, galerie a knihovny, tj. zpracování nezbytných osobních údajů v souvislosti s oprávněnou činností (včetně osobních údajů zaměstnanců pro pracovněprávní účely nebo ochrana objektu kamerovým systémem), není v režimu článku 37 odst. 1 obecného nařízení.
Naproti tomu jiné subjekty založené městem musí mít pověřence. Např. nemocnice, neboť její hlavní činností je rozsáhlé zpracování zvláštních kategorií osobních údajů (o zdravotním stavu), jedná se o důvod podle čl. 37 odst. 1 písm. c) obecného nařízení.
Jsme nezisková organizace – domov pro seniory s počtem 133 zaměstnanců. Musíme jmenovat pověřence pro ochranu osobních údajů?
Počet zaměstnanců pro jmenování pověřence pro ochranu osobních údajů není rozhodný, rozhoduje pouze splnění jedné z podmínek podle GDPR. Na domov pro seniory se však nevztahuje ani jedna z nich. Samozřejmě i tak je užitečné mít v organizaci určenou osobu, která se bude ochraně osobních údajů věnovat.
Pokud domov pro seniory či jiné zařízení sociálních služeb zpracovává k poskytování služeb nezbytné údaje o zdravotním stavu svých klientů, nejde o zpracování rozsáhlé, obdobně jako v případě samostatného lékaře nebo menšího zdravotnického zařízení. Za rozsáhlé zpracování údajů o zdravotním stavu, pro které povinnost jmenovat pověřence vzniká, lze označit až zpracování o řádově tisících až deseti tisících pacientů v informačním systému nemocnice.
Může být pověřenec auditorem podle zákona č. 320/2001 Sb., o finanční kontrole?
