GDPR a invalidní zaměstnanci
Dobrý den, jak je to s eshopem, který je malý, tedy nepotřebuje pověřence (dle vaší analýzy (ne) potřebnosti DPO). Ale má zaměstnance (méně jak 5osob), kteří jsou ČID - tedy majitel eshopu ze zákona potřebuje od těchto zaměstnanců citlivá data (zdravotní stav) kvůli správnému odvádění daní, přijímání dotazí z úřadu práce atd. Jednak už asi musí vést Záznamy o činnostech, ale moje otázka je: Je už tato situace důvodem pro to muset zřídit institut pověřence?
Odpověď
Dobrý den,
Náš názor je i v tomto případě, že jmenovat nemusí. Zpracování zákonných povinností zaměstnavatele totiž není hlavní činností e-shopu, ale pouze podpůrnou činností činností.
Skupina WP29 k tomuto přímo uvádí:
Co znamená pojem „hlavní činnosti“?
„Hlavní činnosti“ mohou být považovány za klíčové operace pro dosažení cílů správce nebo zpracovatele. Zahrnují rovněž veškeré činnosti, kde zpracování údajů tvoří neoddělitelnou část činnosti správce nebo zpracovatele. Například zpracování údajů o zdravotním stavu, jako například zdravotních záznamů pacientů, by mělo být považováno za jednu z hlavních činností jakékoli nemocnice, a nemocnice proto musejí jmenovat pověřence pro ochranu osobních údajů.
Na druhou stranu veškeré organizace vykonávají určité podpůrné činnosti, například vyplácení svých zaměstnanců nebo standardní činnosti v oblasti podpory informačních technologií. Toto jsou příklady nezbytných podpůrných funkcí pro hlavní činnost organizace nebo hlavní podnikatelskou činnost. Přestože jsou tyto činnosti nezbytné nebo zásadní, obvykle jsou považovány za pomocné funkce spíše než za hlavní činnost.
Zdroj: čl. 37 odst. 1 písm. b) a c) obecného nařízení o ochraně osobních údajů