Správce osobních údajů
autoři článku: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš a Mgr. Vojtěch Bartoš
Kdo je správce osobních údajů?
Soudní dvůr ve věci C‑638/23 potvrdil, že i entita, která sama nemá právní subjektivitu ani vlastní právní způsobilost, může být považována za správce osobních údajů podle GDPR. Rozhodující není právní forma, ale to, zda je tato entita schopna naplňovat odpovědnost správce. Tedy zejména plnit povinnosti vůči subjektům údajů. Zároveň musí být alespoň implicitně určen rozsah zpracování takových údajů, za které je tato entita odpovědná.
V posuzovaném případě podpůrný správní útvar hejtmana a vlády Tyrolska (Úřad) v rámci opatření proti pandemii COVID-19 rozeslal neočkovaným obyvatelům kraje výzvy k očkování. Za tím účelem využil údaje ze zdravotnických registrů.
Rakouský dozorový úřad dospěl k závěru, že Úřad do zdravotnických registrů nahlížel neoprávněně. Soudy se ovšem následně zabývaly tím, zda Úřad jakožto administrativní jednotka bez právní subjektivity mohl být považován za správce údajů ve smyslu GDPR.
Soudní dvůr konstatoval, že správce může být jakákoli entita. Nejen osoba právnická nebo fyzická, ale i veřejný orgán nebo služba, a to i bez právní subjektivity. Dále potvrdil, že vnitrostátní právní úprava může určit správce údajů i bez výslovného vymezení každého jednotlivého účelu a způsobu zpracování. Postačí, když tyto prvky vyplývají implicitně z úkolů a pravomocí daného subjektu. (Více informací zde)