K poskytování služeb, analýze návštěvnosti a personalizaci reklamy se využívají soubory cookie. Informace o použití webu mohou být sdíleny s dalšími partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním tohoto webu s tím souhlasíte. Další informace

GDPR – nové nařízení zasáhne celou veřejnou správu

Datum: 24. 3. 2017, zdroj: VSOL 1/2017, rubrika: Veřejná správa online

Přestože se již od začátku loňského roku začaly objevovat první články na téma nové evropské úpravy ochrany osobních údajů (např. článek z března loňského roku „Nové nařízení EU o ochraně osobních údajů. Jak se dotkne České republiky?“), je vhodné se k tomuto tématu znovu vrátit, a to nikoliv naposledy.

General Data Protection Regulation

Důvodem je skutečnost, že nové evropské Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů EU 2016/679 (dále jen „Nařízení“) schválené v dubnu 2016, je i na evropské předpisy neobyčejně obsáhlým dokumentem, který má ale naprosto zásadní dopady do každodenního života mnoha subjektů – obce jako součást veřejné správy nevyjímaje. Přestože se jedná o téma zásadní, je dosud k dispozici jen minimum metodických materiálů a zdá se, že vláda nemá koncepci, jak zajistit splnění povinností dle nařízení napříč veřejným sektorem. Protože tak hrozí, že obce se budou muset přizpůsobovat novým povinnostem „na poslední chvíli“, pojďme se podívat, co může být z jejich pohledu zásadní.

Co to je GDPR čili Nařízení?

Nařízení je evropský předpis srovnatelný svojí váhou a postavením s českým zákonem. Zároveň je to méně obvyklý druh evropského právního předpisu, který na rozdíl od tzv. směrnic ukládá povinnosti přímo všem občanům EU a společnostem podnikajícím v EU. Práva a povinnosti obsažená v nařízení tak platí pro všechny bez ohledu na národní předpisy (které nesmějí být s Nařízením v rozporu) od okamžiku účinnosti Nařízení, tj. od 25. 5. 2018.

Jaký dopad má Nařízení na činnost obcí?

Jelikož Nařízení upravuje zpracování osobních údajů fyzických osob, je jeho dopad na obce zásadní. Jako orgán samosprávy a orgán veřejné moci obce při plnění většiny svých úkolů osobní údaje zpracovávají (tzn. shromažďují, zaznamenávají, strukturují nebo pozměňují údaje schopné přímo či nepřímo identifikovat subjekt údajů – fyzickou osobu), čímž se ocitají v roli správce, popř. zpracovatele dle Nařízení.

Obce přitom v rámci své vlastní i přenesené státní působnosti zpracovávají i speciální kategorie osobních údajů jako jsou např. osobní údaje dětí (úsek školství), popř. o zdravotním stavu fyzických osob (zajišťování poskytování sociálních služeb), pro které platí ještě speciální právní úprava.

Ačkoli orgány veřejné moci mohou být od některých povinností dle Nařízení za daných okolností na základě speciálních národních předpisů osvobozeny, obce se zejména na některých úsecích svých činností musí připravit:

  • na realizaci informační povinnosti vůči fyzickým osobám,
  • na nová či rozšířená práva fyzických osob (např. právo na omezení zpracování, právo na přenositelnost osobních údajů, právo na opravu osobních údajů) a
  • na povinnost vést záznamy o činnostech zpracování.

Tato příprava zahrnuje nejenom vypracování příslušné dokumentace, ale i úpravu informačních systémů, a to tak, aby byly dle Nařízení bezpečné a schopné poskytnout dostatečnou technickou podporu pro plnění povinností obce jako správce dle Nařízení.

Nařízení dále zavádí pro většinu případů zpracování tzv. posouzení dopadu na ochranu osobních údajů, což je interní analýza správce (v tomto případě obce), která obsahuje rozbor rizik, která dané zamýšlené zpracování či proces přináší fyzickým osobám a způsoby jejich systematického ošetření.

Obce jako orgán veřejné moci jsou též povinny jmenovat pověřence pro ochranu osobních údajů, tj. nového úředníka, který bude dohlížet na zpracování osobních údajů obcí v souladu s Nařízením (dále jen „pověřenec“) a poskytovat v této oblasti odborné poradenství. Pověřenec musí být nezávislý (tzn. nemůže se jednat o nikoho, kdo v obci rozhoduje o účelech a prostředcích zpracování) a odborně způsobilý (viz dále). Zavedení této funkce může obcím pomoci i při samotné přípravě na zavedení Nařízení.

Jaká rizika vyplývají z nezahájení včasné přípravy na Nařízení?

Jelikož na zavedení potřebných postupů a procesů je nyní jen o něco více než rok (povinnost zpracovávat v souladu s Nařízením bude od 25. 5. 2018), přináší případná pozdní příprava na zavedení Nařízení tato rizika:

  1. Obec nebude mít v termínu určeny odpovědné osoby do rolí pověřence a zpracovatele posouzení vlivu na ochranu osobních údajů.
  2. Obec nebude mít včas zpracováno a schváleno Posouzení vlivu na ochranu osobních údajů.
  3. Obec nebude mít nastaven proces a vyčleněny prostředky pro přenos údajů jinému správci na základě žádosti dotčené osoby (právo na přenositelnost údajů).
  4. Obec nebude mít nastaven proces a vyčleněny prostředky na poskytování informací o zpracování osobních údajů na žádost dotčené osoby a nebude mít zpracovanou související dokumentaci
  5. Obec nebude mít nastaven proces archivace dat a dokumentů (včetně skartace) tak, aby odpovídal Nařízení.
  6. Obec nebude mít nastaven proces komunikace s dozorovým orgánem.
  7. Obec nestihne včas určit odpovědné osoby, zpracovat a schválit potřebnou dokumentaci a nastavit procesy u všech svých podřízených organizací, u nichž je zřizovatelem.

Výše uvedená rizika pak mohou vyústit v postih ze strany dozorového orgánu, který může určit pokutu za porušení pravidel obsažených v Nařízení. Výše sankcí pro orgán veřejné moci ještě sice v naši zemi nebyla stanovena, ale obecně může dle Nařízení dosáhnout až 20 milionů EUR. Nadto se v rámci porušení povinnosti poškozené mohou fyzické osoby domáhat i odškodnění.

Jak rizika spojená se zaváděním Nařízení eliminovat či zmenšit?

Za prvé, na nic nečekat a začít jednat. Času je málu a povinnosti ukládané Nařízením jsou velmi dobře známy.

Za druhé, je třeba zajistit odborníky, kteří zpracují potřebnou dokumentaci a budou komunikovat s odpovědnými orgány. Pokud se obec rozhodně řešit vše vlastními silami, musí nejprve určit pracovníky, kteří budou mít agendu ve svém popisu práce, přičemž je potřeba zohlednit v případě pověřence požadavek na jeho nezávislost a zákaz konfliktu zájmů. Je přitom vysoce pravděpodobné, že takoví pověření zaměstnanci budou potřebovat školení, aby mohli tuto činnost vykonávat. Obce pak do doby přípravy musí započítat také dobu na výběrové řízení pro školení, zpracování vlastní dokumentace a dobu na její schválení. Je potřeba zároveň nezapomínat, že v rámci činnosti obcí existuje několik z pohledu osobních údajů velmi odlišných oblastí.

Další možností je využití služeb komerčních poskytovatelů. Výhodou je, že tento poskytovatel má smluvní odpovědnost za poskytované služby (na rozdíl od zaměstnance, kdy výše náhrady škody je zastropována), je pojištěný a má k dispozici proškolený personál. Nevýhodou je, že správce musí nechat třetí osoby nahlédnout do procesů zpracování dat, datových modelů, datových a dokumentových úložišť i interní dokumentace jako je například skartační řád. Využití služeb komerčních poskytovatelů dále komplikuje skutečnost, že těchto poskytovatelů je na současném českém trhu málo (dle provedených odhadů výrazně méně, než bude v souvislosti s Nařízením zapotřebí).

S předchozím bodem pak tedy přímo souvisí nutnost začít neprodleně připravovat výběrová řízení, a to buď na školení zaměstnanců nebo na dodávku služeb GDPR komerčními poskytovateli.

Je nutné mít vlastní zaměstnance či je vhodnější zakoupit si externě poskytované služby?

Pro mnohé obce již nyní vyvstává otázka, zda je vhodnější výše uvedené povinnosti řešit vlastními silami nebo využít komerčně nabízených služeb.

Uvedenou otázku je nutno řešit především s ohledem na výši nákladů, které zákonem vyvolaná povinnost obcím přinese. Obce v závislosti na metodických pokynech Ministerstva vnitra ČR budou muset a již nyní mohou jmenovat pověřence pro ochranu osobních údajů. Pověřenec může být jak zaměstnanec obce, tak může své úkoly plnit i na základě smlouvy o poskytování služeb, vždy ale musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva ochrany osobních údajů, Nařízení a praxe v oblasti ochrany osobních údajů. Velkou výhodou je pak znalost prostředí, kde ke zpracování osobních údajů dochází.

Zaměstnávat vlastního pověřence a svěřit mu dohled nad osobními daty má své výhody i nevýhody. Pozitivním faktem je, že lidé zevnitř přesně znají firemní procesy a kdykoli je potřeba, mohou být „přímo u zdroje“. Naopak nevýhodou je paradoxně fakt, že jsou svázáni konvencemi obce. Často je třeba pohled externího odborníka, aby dokázal přemýšlet nestranně. Sporným bodem je pak finanční úspora při zaměstnávání vlastního pověřence. Zde velice záleží na velikosti obce. Nejde jen o výplatu jednomu pověřenci, ale také o nutnost mít i další vlastní profesionály na správu a zpracování osobních dat a provádění doporučení pověřence. Upozorňuje přitom např. na skutečnost, že pověřenec díky konfliktu zájmů, nemůže zpracovat posouzení dopadu na ochranu osobních údajů.

Vlastní pověřenec zná chod a procesy u obce a může si vypěstovat „čich“ na případné problémy. Naproti tomu ale nemá nadhled a přináší obci poměrně vysoké mzdové náklady.

V případě smluvní spolupráce s externím pověřencem nebude potřeba navyšovat počet pracovních míst uvnitř obce a tento externí pověřenec bude mít větší nadhled na způsob a zabezpečení ochrany osobních dat realizovaných obcí.

Rozhodně se však vyplatí sednout si s tužkou a papírem a počítat.

Jak vypsat zakázku na služby?

Pro výběr externího pověřence bude potřeba obcí realizovat zadávací řízení. Dle interních pokynů obce se ale bude vždy jednat o veřejnou zakázku malého rozsahu, tj. o VZ mimo režim zákona č. 134/2016 Sb., o zadávání veřejných zakázek. Její předpokládaná hodnota bude dle velikosti obce realizována především přímým poptáním, případně uzavřenou nebo otevřenou výzvou uveřejněnou prostřednictvím profilu zadavatele obce.

Závěr

Nařízení bude mít výrazný dopad do fungování obcí, s nímž není možné se vyrovnat ze dne na den. Ačkoli je jasné, že reakce státní správy a samosprávy na Nařízení bude muset být centrálně koordinována, rozsah povinností je již nyní plně znám a nic nebrání tomu, aby se obce začaly na tyto povinnosti připravovat již nyní. Je to dokonce zcela žádoucí, jelikož tato včasná příprava jim ušetří mnohé náklady spojené s případným „ostrým“ startem na jaře příštího roku a také jim umožní přesněji identifikovat skutečné potřeby obce a náklady s plněním povinností s Nařízením spojené.

Mgr. Bc. Tomáš Mudra, UEPA advokáti, s. r. o.; Mgr. Vladimíra Hloušková, d-eye CZECHIA, s. r. o.

TOPlist
TOPlist