GDPR a obce
Časté dotazy našich uživatelů:
Jaká jsou konkrétní nařízení přímo na obce (starosty)?
Časté dotazy našich uživatelů:
Jaká jsou konkrétní nařízení přímo na obce (starosty)?
GDPR dopadá na obce a jejich starosty v podstatě stejně jako na jiné správce osobních údajů. GDPR nemá žádnou zvláštní kapitolu týkající se zpracování osobních údajů obcemi, ale určitá specifika toto zpracování mít bude.
Úplnou novinkou, která dopadá na všechny obce jako orgány veřejné moci, je povinnost jmenovat tzv. pověřence pro ochranu osobních údajů, který má mít na starosti především sledování souladu zpracování osobních údajů v obci s GDPR. Pověřence musí mít každá obec nebo několik obcí může mít společného pověřence za podmínky, že bude společný pověřenec lehce dosažitelný pro každou z nich. V praxi v této souvislosti vznikl problém, kde takovou skutečně fundovanou osobu vzít a také jak ji zaplatit. Osoba pověřence by měla být totiž odborně způsobilá v oblasti ochrany osobních údajů, obecního zřízení, IT systémů a praktického chodu obecních úřadů, což v současné době takto orientovaných osob moc není. Pověřenec musí být dále osoba nezávislá tak, aby nekontrolovala samu sebe, a tak se asi bude lépe hledat z externích zdrojů (např. využitím služeb advokátní kanceláře), což ale může být zase poměrně nákladné.
Dalším významným a poměrně novým specifikem pro obce a jiné veřejné subjekty je vyjmutí těchto subjektů z možnosti uložení jakékoli pokuty za porušení GDPR. Obec tedy nesmí být za porušování GDPR finančně trestána ze strany Úřadu pro ochranu osobních údajů, mohou jí být uložena jen nápravná opatření (např. Úřad pro ochranu osobních údajů zakáže obci určitý druh nebo způsob zpracování osobních údajů).
Pokud jde o samotné zpracování osobních údajů, většina agend obecního úřadu nebude podléhat souhlasu subjektů údajů (např. občanů obce), jelikož jde o zpracování stanovené zákonem (např. vedení matriky), nebo se vejde do široké zákonné licence nezbytného zpracování pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterou je obec pověřena (v těchto případech není přímo obci stanovena povinnost osobní údaje zpracovávat, ale obec bude osobní údaje potřebovat, aby plnila své úkoly), případně půjde o zpracování nutné pro plnění různých druhů smluv (např. evidence nájemních smluv). Zpracování osobních údajů na základě souhlasu bude pouze výjimečné a musí být opravdu zcela dobrovolné (např. zpracování a zveřejnění údajů z vítání občánků).
V případě zákonného zpracování (např. vedení matriky) je nutné se zaměřit, aby byl přesně dodržován rozsah a postup zpracování osobních údajů stanovený příslušnými právními předpisy a aby byly dané agendy náležitě zabezpečeny (z hlediska přístupu jednotlivých pracovníků úřadu, ale i celkového zabezpečení před útoky a událostmi zvnějšku).
Pokud jde o zpracování, které není konkrétně upravené právními předpisy, je zapotřebí jasně stanovit jednotlivé účely a rozsah zpracovávaných osobních údajů. V případě poskytování informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, je nutné dbát o ochranu soukromí a osobních údajů osob, které jsou součástí takové informace (např. součástí zápisu z jednání zastupitelstva budou osobní údaje třetí osoby, která není veřejným činitelem, takže je nutné osobní údaje anonymizovat nebo omezit).
Nově je nutné také zhodnotit provozování kamerových systémů na veřejně přístupných místech v obcích. Pokud by se totiž jednalo o větší obec, která provozuje kamerový systém na více místech nebo v místě s vysokou frekvencí pohybu osob, musela by obec a/nebo bezpečnostní agentura spravující kamerový systém provést speciální analýzu - posouzení vlivu na ochranu osobních údajů, kdy je nutné posoudit oprávněnost takového zpracování ve vztahu k důvodům jeho zavedení a rizikům, které z takového zpracování vyplývají pro subjekty údajů.
Jinak budou obce plnit veškeré povinnosti jako ostatní správci: