Adaptace města a jeho příspěvkových organizací na GDPR - případ z praxe

Pro představu, jak prakticky vypadá adaptace na GDPR, shrnujeme jeden z našich nedávných případů. Předmětem posouzení byla úprava zpracování osobních údajů (OÚ) městského úřadu včetně živnosten­ského úřadu a městské policie, dále ně­kolik základních a mateřských škol, sprá­vy nemovitostí, centra sociálních služeb a knihovny.

Tyto organizace, které v textu dále nazýváme správci OÚ, jsme navštívi­li, probrali s nimi účel prováděných změn a ve spolupráci s nimi identifikovali všech­ny osobní údaje, které v současné době zpracovávají. Tyto konzultace (za přítom­nosti vedení, účetního, IT a dalších osob), zabraly tři pracovní dny tří našich právní­ků a 1 až 3 hodiny času na jeden subjekt, přičemž základní dotazníky už v předstihu vyplnili zaměstnanci každé instituce.

Výsledkem je seznam osob, jejichž OÚ jednotlivý správce zpracovává. Pro každou skupinu jsme označili, jaké údaje se pro da­nou kategorii osob zpracovávají, za jakým účelem a na základě jakého právního titulu, kdo má k těmto údajům přístup, kde jsou uloženy a jak jsou chráněny. Během této fáze už vyplynulo několik nedostatků, které se vyskytovaly u řady organizací (viz níže).

Zhodnocení rizik

U každé osoby, jejíž data se zpracovávají, jsme vyhodnotili, jaké riziko by pro ni nebo pro správce představoval únik, chybnost či neúplnost, dočasná nedostupnost nebo úplná ztráta údajů, respektive co by v takovém případě nastalo; aby bylo jasně patrné, které údaje je potřeba nejlépe chránit. Zkoumali jsme, jaké je technické zabezpečení dat, kdo má k datům přístup a za jakých okolností, jak probíhá zálohování a archivace, kde jsou data fyzicky uložena, zda nedochází k du­plicitnímu ukládání dat mimo zabezpeče­ný systém a podobně.

GAP analýza: mezery mezi stávajícím a žádoucím stavem

Zjištěný stav jsme porovnali s požadavky GDPR, abychom zjistili, co ze stávající pra­xe je nutné změnit. Zde jsou příklady nej­častěji identifikovaných nedostatků:

• Nadužívání souhlasů ke zpracování, které je zákonnou povinností. Souhlas subjektu OÚ (osoby, jejíž data jsou sbírána) je zbytečně vyžadován i tam, kde je zpraco­vání údajů nezbytné například pro plnění zákonné povinnosti (podle školského zá­kona, zákoníku práce apod.) nebo plnění smlouvy (např. vedení čtenářského konta nebo doručování obědů v rámci sociálních služeb). Řešením je přestat tyto souhlasy vyžadovat a vyhnout se tak sporným situa­cím, kdy subjekt souhlas odmítne dát.
• Chybějí zpracovatelské smlouvy uza­vřené mezi správci a zpracovateli osob­ních údajů. O vztah mezi správcem a zpra­covatelem jde, když organizace delegují provozní činnosti na externí firmy, které mají přístup i k OÚ (externí účetní, firmy provozující benefitní systém pro zaměst­nance, IT služby a podobně). Řešením je zajistit, aby dodavatelé sami upravili ob­chodní podmínky a smlouvy.
• Subjekty OÚ nejsou informovány o svých právech a tom, jak se jejich úda­je zpracovávají. GDPR rozšiřuje povinnost správce informovat subjekty OÚ o jejich právech. Dobrovolníci sociálních služeb, rodiče žáků či registrovaní čtenáři knihov­ny - ti všichni budou nově muset být infor­mování o zpracování údajů, k nimž udělují souhlas (např. své fotografie), i údajů zpra­covaných z jiného důvodu, například kvů­li plnění zákonných povinností, a to před zpracováním. Řešením je odkázat  na in­formace v rámci e-mailové komunikace, ve sběrném formuláři, při telefonickém hovo­ru, ve smlouvě, na třídní schůzce atd.
• Správci nemají postupy pro uplatňová­ní práv subjektů OÚ. V kombinaci s povin­ností správce informovat subjekty o těchto právech roste pravděpodobnost, že zejmé­na městský úřad nebo škola, které údaje zpracovávají ve velkém množství, budou častěji žádány o informace o zpracování údajů, opravu údajů, či například jejich vymazání. Řešením je zajistit informování zaměstnanců, kteří takové žádostí vypořá­dávají - školením, interním předpisem či jinak.
• Staré a nepotřebné údaje nejsou důsled­ně mazány. Osobní údaje se uchovávají jen po dobu, po jakou trvá důvod jejich zpraco­vání. Poté je čas je archivovat, nebo smazat podle skartačních řádů. Ty však musejí být aktualizované a právě to je častým nedo­statkem. Je nutné na začátku uvést, kde mohou být údaje uchovávány - při likvidaci dat správce ví, kam nahlédnout.

Náprava podle GDPR

Posledním krokem je napravení jednot­livých nalezených nedostatků. Způsob uvedení všech způsobu zpracování OÚ do souladu s GDPR z nich logicky vyplývá - typicky je to úprava vnitřního předpisu, dodatky smluv, sestavení informačních přehledů a podobně. Celý proces od úvod­ního auditu po výslednou sadu doporuče­ní trval sedm týdnů. Následovala příprava textů a aplikace doporučení jednotlivými správci. 

Článek vyšel v časopisu Moderní obec v únoru 2018.