GDPR dopadá na obce a jejich starosty v podstatě stejně jako na jiné správce osobních údajů. GDPR nemá žádnou zvláštní kapitolu týkající se zpracování osobních údajů obcemi, ale určitá specifika toto zpracování mít bude.

Úplnou novinkou, která dopadá na všechny obce jako orgány veřejné moci, je povinnost jmenovat tzv. pověřence pro ochranu osobních údajů, který má mít na starosti především sledování souladu zpracování osobních údajů v obci s GDPR. Pověřence musí mít každá obec nebo několik obcí může mít společného pověřence za podmínky, že bude společný pověřenec lehce dosažitelný pro každou z nich. V praxi v této souvislosti vznikl problém, kde takovou skutečně fundovanou osobu vzít a také jak ji zaplatit. Osoba pověřence by měla být totiž odborně způsobilá v oblasti ochrany osobních údajů, obecního zřízení, IT systémů a praktického chodu obecních úřadů, což v současné době takto orientovaných osob moc není. Pověřenec musí být dále osoba nezávislá tak, aby nekontrolovala samu sebe, a tak se asi bude lépe hledat z externích zdrojů (např. využitím služeb advokátní kanceláře), což ale může být zase poměrně nákladné.

Dalším významným a poměrně novým specifikem pro obce a jiné veřejné subjekty je vyjmutí těchto subjektů z možnosti uložení jakékoli pokuty za porušení GDPR. Obec tedy nesmí být za porušování GDPR finančně trestána ze strany Úřadu pro ochranu osobních údajů, mohou jí být uložena jen nápravná opatření (např. Úřad pro ochranu osobních údajů zakáže obci určitý druh nebo způsob zpracování osobních údajů).

Pokud jde o samotné zpracování osobních údajů, většina agend obecního úřadu nebude podléhat souhlasu subjektů údajů (např. občanů obce), jelikož jde o zpracování stanovené zákonem (např. vedení matriky), nebo se vejde do široké zákonné licence nezbytného zpracování pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterou je obec pověřena (v těchto případech není přímo obci stanovena povinnost osobní údaje zpracovávat, ale obec bude osobní údaje potřebovat, aby plnila své úkoly), případně půjde o zpracování nutné pro plnění různých druhů smluv (např. evidence nájemních smluv). Zpracování osobních údajů na základě souhlasu bude pouze výjimečné a musí být opravdu zcela dobrovolné (např. zpracování a zveřejnění údajů z vítání občánků).

V případě zákonného zpracování (např. vedení matriky) je nutné se zaměřit, aby byl přesně dodržován rozsah a postup zpracování osobních údajů stanovený příslušnými právními předpisy a aby byly dané agendy náležitě zabezpečeny (z hlediska přístupu jednotlivých pracovníků úřadu, ale i celkového zabezpečení před útoky a událostmi zvnějšku).

Pokud jde o zpracování, které není konkrétně upravené právními předpisy, je zapotřebí jasně stanovit jednotlivé účely a rozsah zpracovávaných osobních údajů. V případě poskytování informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, je nutné dbát o ochranu soukromí a osobních údajů osob, které jsou součástí takové informace (např. součástí zápisu z jednání zastupitelstva budou osobní údaje třetí osoby, která není veřejným činitelem, takže je nutné osobní údaje anonymizovat nebo omezit).

Nově je nutné také zhodnotit provozování kamerových systémů na veřejně přístupných místech v obcích. Pokud by se totiž jednalo o větší obec, která provozuje kamerový systém na více místech nebo v místě s vysokou frekvencí pohybu osob, musela by obec a/nebo bezpečnostní agentura spravující kamerový systém provést speciální analýzu - posouzení vlivu na ochranu osobních údajů, kdy je nutné posoudit oprávněnost takového zpracování ve vztahu k důvodům jeho zavedení a rizikům, které z takového zpracování vyplývají pro subjekty údajů.

Jinak budou obce plnit veškeré povinnosti jako ostatní správci:

• Připravit záznamy o činnostech zpracování o všech účelech zpracování (personální agenda, vedení matriky, evidence žádostí a stížností, evidence zájemců o obecní byty atd.).
• Splnit informační povinnosti vůči subjektům údajů v okamžiku, kdy se od nich získávají osobní údaje (v případě, že se jedná o zpracování vyžadované zákonem, ve veřejném zájmu nebo při výkonu veřejné moci, je možné informace poskytnout jejich zveřejněním způsobem umožňujícím dálkový přístup), případně získat a evidovat souhlasy a odvolání souhlasů.
• Provést bezpečnostní audit a implementovat dostatečná bezpečnostní opatření.
• Zavést postup při vedení evidence bezpečnostních incidentů a hlášení bezpečnostních incidentů Úřadu pro ochranu osobních údajů, případně subjektům údajů.
• Připravit dokumentaci k prokázání souladu s GDPR (např. vypracovat směrnici zpracování osobních údajů pro obecní úřad).
• Zajistit uplatnění práv subjektů údajů a vést evidenci žádostí a stížností v oblasti zpracování osobních údajů.
• Pokud je nějaká agenda zpracovávána třetí osobou (např. správa informačního systému - poskytovatel softwaru, vedení platové agendy - účetní firma), uzavřít smlouvu o zpracování osobních údajů (primární odpovědnost ale stále nese obec, která odpovídá za výběr dodavatele, který prokáže, že je v souladu s GDPR).