Co znamená nařízení o ochraně osobních údajů (tzv. GDPR) pro obce a příspěvkové organizace?

Nařízení přináší nové principy a postupy v ochraně osobních dat fyzických osob v reakci na dynamický vývoj technologií a procesů, jakými jsou osobní údaje zpracovávány. Tento vývoj neminul ani obce, které zpracovávají osobní údaje v mnoha oblastech svých činností. Jsou jimi zejména registry obyvatel, plátců daní nebo poplatků apod., kde obce uchovávají osobní údaje ze zákonem stanovených důvodů. Obce jsou ale i zaměstnavatelé a jako takové pracují s osobními daty svých zaměstnanců (tomuto vztahu se budeme věnovat v příštím článku). Nadto pracují i s osobními daty, které zpracovávají z jiných důvodů, jako jsou seznamy jubilantů (k pravidelným gratulacím) nebo záznamy z pouličních kamer. Nesmíme samozřejmě zapomínat ani na obchodní korporace, jejichž vlastníky jsou obce, a které bezpochyby také zpracovávají osobní údaje. I na ně se Nařízení vztahuje.

Kritériem pro odpovědnost obcí za zpracovávání osobních údajů v souladu s nařízením bude i nadále skutečnost, zda jsou osobní údaje zpracovávány při výkonu samostatné nebo přenesené působnosti a od toho se bude odvíjet i odpovědný subjekt – tedy stát nebo obec. Pokud národní legislativa nepřinese změny nad rámec Nařízení, v této oblasti se jeho účinností odpovědnost měnit nebude. Domníváme se tedy, že obce budou i nadále odpovědné za zpracování osobních údajů při výkonu samostatné působnosti, jak je stanoveno zákonem č. 82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci, v platném znění

1. Práva a povinnosti subjektu údajů a změny vyplývající pro obce

Jako správci a zpracovatelé mají obce již dle současného zákona o ochraně osobních údajů řadu povinností vůči subjektům údajů (tedy osob, o jejichž údaje se jedná). Například povinnost informovat subjekt údajů o zpracování a jeho právech, opravit chybné osobní údaje nebo poskytnout přístup k údajům. 

Účinností Nařízení se obce budou muset vypořádat i s některými novými právy subjektů údajů. Pro obce tak bude novinkou právo subjektu údajů na omezení zpracování, v rámci kterého subjekt údajů může požádat správce, tedy obec, aby omezil zpracování, pokud

1. subjekt údajů popřel přesnost takových osobních údajů (na dobu potřebnou k ověření přesnosti),
2. zpracování je protiprávní (a subjekt údajů z nějakého důvodu odmítá výmaz),
3. správce už údaje nepotřebuje k účelu zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků a 
4. subjekt údajů vznesl námitku (na dobu ověření převažujících oprávněných důvodů). 

Dalším novým nebo spíše změněným právem subjektů údajů bude právo vznést námitku, kterému je v dosavadním zákoně o ochraně osobních údajů nejblíže právo požádat o vysvětlení. Obec po vznesení námitky bude muset přezkoumat zpracování, a nebude moci nadále údaje zpracovávat, pokud subjektu údajů neprokáže, že údaje zpracovává ze závažných oprávněných důvodů, které převažují nad zájmy nebo právy a svobodami subjektu údajů. Obce se tak budou muset důkladně zabývat veškerými námitkami a jednotlivě je posuzovat.

Nařízení ale přináší orgánům veřejné moci a tedy i obcím určité úlevy. Totiž subjekty údajů mají právo na výmaz, také známé jako „právo být zapomenut“ a to hned z několika důvodů, jako je odpadnutí účelu zpracování, odvolání souhlasu se zpracováním, důsledek vznesené námitky, protiprávního zpracování apod. Nařízení ovšem stanoví výjimky z práva subjektů údajů na výmaz a jednou z výjimek je splnění právní povinnosti, jež vyžaduje zpracování buď podle práva Unie nebo členského státu nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Další výjimkou je zpracování pro účely archivace ve veřejném zájmu. Nehrozí tak, že by obec musela přestat zpracovávat (a tím je myšleno i uchovávat je např. v xls. tabulce) osobní údaje, které potřebuje například pro správu místních poplatků, pokud občan požádá o výmaz svých údajů. V takovém případě mu totiž právo na výmaz nesvědčí. Naopak v případě žádosti o výmaz ze seznamu jubilantů má obec povinnost jeho osobní údaje tímto způsobem nezpracovávat, protože se nejedná o veřejný zájem nebo výkon veřejné moci.

Obdobně právo na přenositelnost, dle kterého mají subjekty údajů právo získat osobní údaje od správce a předat je jinému správci, se neuplatní v případě, kdy jsou údaje zpracovávány při výkonu veřejné moci.

Zajímavé je, že Nařízení nijak neupravuje zpracování osobních údajů o veřejně činných osobách, jak ho nyní upravuje zákon o ochraně osobních údajů, který stanoví, že k tomuto zpracování není třeba souhlasu. To ale neznamená, že toto ustanovení přestane platit, protože společně s nařízením se plánuje přijetí tzv. adaptačního zákona, který stanoví doplňující pravidla. Je pravděpodobné, že jím bude novelizovaný zákon o ochraně osobních údajů.

2. Vybrané povinnosti správců, tj. obcí

Účelem tohoto článku není vyložit všechna ustanovení, přesto se krátce zastavíme u procesů, které budou pro obce nové a neméně důležité.

K takovým patří například povinnost posoudit vliv konkrétního zpracování na ochranu osobních údajů. Co to znamená? V případech rozsáhlého zpracování a zpracování vysoce rizikového bude třeba, aby obec „posoudila“ vliv tohoto zpracování na ochranu osobních údajů. Povinná forma posouzení není, ale určitá vodítka postupu nabídla evropská pracovní skupina WP29. V posouzení má být:

1. popis zamýšleného zpracování,
2. posouzení nezbytnosti a proporcionality,
3. posouzení výše rizik pro subjekty údajů a
4. zamýšlená opatření pro soulad s nařízením a ke snížení rizik.

Za tento proces bude zodpovědná obec, i když si daný posudek vyžádá od jiného subjektu. Nápomocný bude snad seznam takových činností, který by měl vydat dozorový orgán, tedy Úřad na ochranu osobních údajů.

Aby nemusel každý subjekt aplikovat GDPR „na vlastní pěst“, doporučuje nařízení samosprávným asociacím a jiným sdružením, aby pro své členy připravily tzv. kodexy chování, které by měly zachytit konkrétní povahu zpracovávání osobních údajů jednotlivých typů správců. Vypracování kodexů není povinností dle Nařízení, ale vysoce doporučeným postupem, který má zjednodušit aplikaci Nařízení. Kodex by měl obsahovat upřesnění ustanovení například o základním principu Nařízení o transparentnosti a spravedlivosti zpracování, o pseudonymizaci, o oprávněných zájmech a mnoho dalších.

V nařízení je obsažen také princip rizikovosti zpracování osobních údajů. Nařízení klade důraz na to, jak správci zabezpečují samotné zpracování. Obec tedy bude muset analyzovat rizikovost zpracování ve smyslu možného úniku osobních údajů a podle toho přijmout vhodná technická nebo organizační opatření.

3. Pověřenec pro ochranu osobních údajů ve vztahu k obci

Často skloňovanou novinkou, kterou přináší Nařízení, je tzv. pověřenec pro ochranu osobních údajů. Jedná se o osobu (fyzickou i právnickou), která pro správce bude kontrolovat vnitřní procesy, monitorovat jejich soulad s Nařízením, poskytovat rady nebo informace správci a bude spolupracovat s dozorovým orgánem, tedy Úřadem pro ochranu osobních informací.

Pro obce bude povinné „mít“ takového pověřence. Není však nutné přijmout nového zaměstnance. Jak je uvedeno výše, může se jednat o fyzickou (zaměstnanou nebo spolupracující) nebo i právnickou osobu (která pověří výkonem funkce pověřence některého ze svých zaměstnanců). Je tedy možné tuto funkci i outsourcovat, avšak pověřenec musí mít neustále přístup k osobním údajům a operacím zpracování. Nakonec pověřenec může vykonávat i jiné činnosti pro správce, které ale nesmí být ve střetu zájmů s funkcí pověřence. Jedná-li se o odpovědného manažera nebo osobu spravující databázový systém, bude taková činnost nejspíš ve střetu zájmů. Úkolem pověřence totiž je kontrolovat, jak se údaje zpracovávají, případně upozorňovat na rizika, tudíž by neměl kontrolovat proces, za který je sám jinak odpovědný ze své funkce manažera nebo IT podpory.

Nařízení ale umožňuje, aby několik obcí jmenovalo jednoho společného pověřence. To platí zejména pro menší obce, kde jsou procesy podobné a nejsou v tak zásadním rozsahu. Úřad pro ochranu osobních údajů navíc uvedl, že v některých případech je dle jeho názoru možné, aby obce využívaly služby pověřence jmenovaného krajem. 

4. Jak by měla obec postupovat 

Je možné, že pokud obec nyní zpracovává osobní údaje v souladu se zákonem o ochraně osobních údajů, nebude mít s přípravou na účinnost Nařízení tolik práce jako ostatní obce. I tak ale musí počítat se vznikem nových práv subjektů a GDPR se přizpůsobit. Obec musí (sama nebo společně s jinými obcemi) jmenovat pověřence pro zpracování osobních údajů, další úkoly už může částečně outsourcovat. Když s obcí pracujeme na GDPR my, postupujeme následovně: 

1. Provedeme audit aktuálně zpracovávaných osobních údajů. Zde potřebujeme součinnost pracovníků úřadu, protože jen oni vědí, s jakými údaji nakládají a jak. My zase víme Co je, co není a co bude osobní údaj podle GDPR a máme připravené zadání auditu. 
2. Strukturujeme skupiny zpracovávaných údajů (a zároveň subjektů údajů) podle účelu zpracování, aby bylo možné určit dobu, po kterou tyto údaje můžete zpracovávat. Ta není vždy stejná. Jiná je pro mzdové či účetní účely nebo jakékoliv jiné zákonné důvody, jiná je po udělení souhlasu (na dobu určitou nebo do jeho odvolání) a ještě jiná pro plnění ze smlouvy.
3. Posoudíme rizika stávajícího zpracování údajů. 
4. Navrhneme, jak aktualizovat stávající opatření, nebo navrhneme nová opatření tak, abychom vaši praci nakládání s osobními údaji dostali do souladu s požadavky GDPR. 
5. Ladíme systém. Není to nezbytné, ale rádi s vámi zůstaneme v kontaktu ještě několik týdnů po aplikaci nových opatření, abychom zodpověděli vaše dotazy a pomohli s aplikací navržených opatření. 

Rádi vám s přípravou na GDPR pomůžeme, v současnosti na ní pracujeme například s firmou Student Agency nebo dodavatelem elektřiny Nano Energies. Podívejte se na naši nabídku pro obce a příspěvkové organizace nebo nás přímo kontaktujte.