Rádi bychom Vás informovali o aktuálním výkladu Úřadu pro ochranu osobních údajů týkajícím se povinnosti jmenovat pověřence pro ochranu osobních údajů (DPO) u poskytovatelů přístupu k internetu. Tento dotaz vznikl na popud členské základny.
Na základě tohoto výkladu a s ohledem na charakter činnosti ISP zaslal UOOU toto stanovisko, které sdílíme. (ačkoliv mnozí z Vás své DPO mají a toto doporučení jsme již vydali).
Poskytovatelé přístupu k internetu, kteří vystupují jako správci osobních údajů svých zákazníků a současně zpracovávají provozní a lokalizační údaje (včetně plnění povinností data retention), vykonávají činnosti představující pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu. Z tohoto důvodu se na ně vztahuje povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) dle čl. 37 GDPR.
Tento závěr platí bez ohledu na to, zda jsou služby poskytovány fyzickým nebo právnickým osobám, neboť i v rámci B2B služeb dochází ke zpracování osobních údajů (např. kontaktní osoby, provozní metadata).
VNICTP proto doporučuje všem členům považovat jmenování DPO za standardní regulatorní povinnost.