1.6 GDPR: Kontrolní seznamy pro obce a metodické doporučení
MVČR
Ministerstvo vnitra připravilo pro obce pomůcku pro rychlou kontrolu organizačního zabezpečení ochrany osobních údajů podle obecného nařízení o ochraně osobních údajů (GDPR).
Kontrolní seznam GDPR - malé obce obsahuje 3 základní listy - “Úvod a doporučení“, “Obecný seznam“ a “Seznam ke zpracování“. “Obecný seznam“ provede obec po jednotlivých oblastech obecného organizačního zabezpečení ochrany osobních údajů - nastavení kompetencí, fyzické a IT bezpečnosti, evidenci dokumentů atd. Poskytuje přehled opatření, na něž by správce osobních údajů neměl zapomenout. “Seznam ke zpracování“ zahrnuje rubriky k vyplnění vztahující se k jednotlivé činnosti zpracování (například agenda místních poplatků, personální agenda, agendy podle školského zákona, vydávání rybářských lístků).
Kontrolní seznamy nejsou automatem, který by po vyplnění vrátil sadu varování a návrhů opatření. Není to ani potřeba, neboť použití seznamů je samo o sobě poměrně přímočaré. Stačí označit si nebo poznamenat body, u kterých má obec za to, že nejsou naplněny, a jimi se dále zabývat, popřípadě je svěřit k posouzení pověřenci pro ochranu osobních údajů.
Dokument je proto zamýšlen především jako základní materiál, který má poskytnout počáteční orientaci odpovědných osob v malých obcích ohledně systémových požadavků GDPR a na nějž by obec měla navázat další prací.
Příloha: Kontrolní seznam GDPR - malé obce
Ochrana osobních údajů - rozcestník metodické podpory
Ministerstvo vnitra koordinuje metodickou podporu přípravy na novou evropskou úpravu ochrany osobních údajů (tak zvané GDPR).
Ochrana osobních údajů se týká široké množiny subjektů a od jednotlivých ministerstev se očekává, že poskytnou metodickou pomoc zacílenou na správce osobních údajů v jejich resortu.
Ministerstvo vnitra nabízí zájemcům o podrobnější informace rozcestník k informačním zdrojům v jednotlivých odvětvích . Vedle odkazů na on-line zdroje ostatních ministerstev bude postupně zveřejňovat také “vizitky“ metodické podpory zpracované dle jednotného zadání příslušnými ministerstvy. Jako první vizitku publikuje vlastní soubor s informacemi o samotném GDPR a ukázkami metodických rad pro veřejnou správ.
Příloha: Sešit k GDPR (pdf, 1,8 MB)
Metodická podpora MV ČR
GDPR Modelová situace Průvodce pro přípravu obcí na GDPR (pdf)
Správa osobních údajů v praxi obcí a měst (pdf)
Pověřenec pro ochranu osobních údajů
Pověřenec pro ochranu osobních údajů dohlíží na systém ochrany osobních údajů. Jeho povinností je poskytovat poradenství správcům a zpracovatelům, kteří se podílejí na zpracování osobních údajů, o jejich povinnostech v oblasti ochrany osobních údajů. Pověřenec je rovněž kontaktní osobou pro dozorový orgán, kterým je Úřad pro ochranu osobních údajů, jakož i pro jednotlivce, k nimž se osobní údaje vztahují (tj. subjekty osobních údajů). Pověřenec však nerozhoduje o nastavení systému zpracování osobních údajů u správce, ani za ně nezodpovídá.
MVČR vydalo následující metodiky:
-
Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí (pdf, 841 kB)
-
Metodické doporučení k problematice pověřenců pro ochranu osobních údajů (pdf, 559 kB)
Vybíráme z dotazů z praxe
1) Na které subjekty ve veřejné a soukromé sféře v České republice se obecné nařízení o ochraně osobních údajů vztahuje a na které se nevztahuje (čl. 2 odst. 2 nařízení)?
Ustanovení čl. 2 odst. 2 obecného nařízení o ochraně osobních údajů neupravuje osobní, ale věcnou působnost nařízení. Množina subjektů v ČR, na které se nařízení vztahuje, je tudíž neuzavřená a nařízení v zásadě bude dopadat na kterýkoli subjekt zabývající se činnostmi z oblasti věcné působnosti nařízení.
Obecné nařízení o ochraně osobních údajů upravuje svou působnost poměrně obecně takto:
- 1. podle prostředků zpracování:
-
vztahuje se na zpracování prováděné alespoň částečně automatizovaně (např. uložení na CD nebo na cloud), nebo
-
vztahuje se na osobní údaje, které jsou nebo mají být součástí kartotéky či evidence (např. papírová zdravotní karta v kartotéce lékaře a její součásti, nebo úřední spis a jeho části, ale nikoli např. lístek s telefonním číslem a jménem svědka nehody nebo s SPZ vozidla, který nebude zařazen do žádné evidence),
a zároveň
- 2. podle věcné oblasti, ve které zpracování probíhá:
-
vztahuje se na činnosti, které podléhají právu Unie, kromě:
- provádění evropské společné zahraniční a bezpečnostní politiky členskými státy (tam by měla Unie přijmout podle čl. 39 Smlouvy o EU jiný předpis, ale zatím tak neučinila),
- potírání trestné činnosti a ochrany veřejného pořádku a bezpečnosti,
-
nevztahuje se na zpracování prováděná fyzickou osobou čistě pro její osobní nebo domácí potřebu (korespondence, adresář, osobní život na sociálních sítích).
Pokud jde o to, co "podléhá právu Unie", z čl. 4 odst. 2 Smlouvy o EU je jisté, že právu EU nepodléhá oblast "národní bezpečnosti", tedy oblast ochrany státní suverenity, teritoriální integrity, obrany a zpravodajských služeb.
Není ovšem pochyb, že stejně jako platná směrnice dopadá i nové nařízení na velkou většinu ostatních oblastí, ať již je právo EU substantivně upravuje nebo ne. (V rozsudku C-201/14 Bara použil Soudní dvůr platnou směrnici o ochraně dat na přenos údajů o přiznaných příjmech fyzické osoby od orgánu správy daní k orgánu pro výběr příspěvku na zdravotní pojištění.) To je podtrženo samostatným zakotvením ochrany osobních údajů do článku 16 Smlouvy o fungování Evropské unie.
2) Co lze považovat jednotlivě nebo v souboru za osobní údaj (viz čl. 4 odst. 1 nařízení)?
U definic nedochází k žádnému posunu oproti stávajícímu stavu tak, jak ho zná současný zákon o ochraně osobních údajů a platná směrnice. Stručně lze uvést, že osobním údajem může být jakýkoli údaj o osobě, kterou může správce nebo kdokoli jiný přímo nebo nepřímo ztotožnit.
Definice v obecném nařízení o ochraně osobních údajů je bohatší na příklady, nicméně již definici směrnice 95/46 vykládá Soudní dvůr tak široce, že nelze najít rozdíl.
Jedna věc však je definice osobního údaje a jiná věc je, kdy se na zpracování takového údaje vztahuje obecné nařízení o ochraně osobních údajů. Například poznamenání si určitého údaje pro osobní potřebu není zpracováním osobního údaje podle nařízení.
3) Zakládá se pracovní poměr pověřence "jmenováním" ve smyslu českého zákoníku práce?
Způsob zřízení funkce pověřence není nařízením limitován na akt jmenování ve smyslu českého zákoníku práce. Právo EU obecně (tedy i předmětné nařízení o ochraně osobních údajů) je třeba vykládat "volněji" než předpisy vnitrostátní. Aplikace práva EU musí být jednotná ve všech členských státech, což vyžaduje uplatňování autonomní interpretace. To znamená, že pojmům vyskytujících se v unijních předpisech nemůže být automaticky přikládán stejný právní význam, jaký je jim přikládán vnitrostátním právem. Především zahrnuje pojem "jmenování" širší okruh aktů, než jen pracovněprávní úkony. Jedná se spíše o "ustavení" do funkce, což může být uskutečněno i formou služby. Pracovní poměr pověřence však vzniká buď na základě pracovní smlouvy (srov. ust. § 33 odst. 1 zákoníku práce), nebo jmenováním v případě, že plnění úkolů pověřence je spojeno s funkcí vykonávanou v pracovním poměru, který vzniká jmenováním (srov. ust. § 33 odst. 3 zákoníku práce).
4) Je možné, aby pověřenec vykonával své úkoly i na základě dohod o pracích konaných mimo pracovní poměr?
Čl. 37 odst. 6 nařízení stanoví, že pověřenec může být buď "pracovníkem", nebo může plnit své úkoly na základě smlouvy o poskytování služeb. Porovnáním ostatních jazykových verzí čl. 37 odst. 6 nařízení lze dovodit, že pojem "pracovník" je zde použit jako synonymum pojmu "zaměstnanec", kterým se v českém právním prostředí rozumí jak zaměstnanec na základě pracovní smlouvy, tak zaměstnanec na základě dohod o pracích konaných mimo pracovní poměr. S ohledem na povahu činnosti pověřence připadá v tomto případě do úvahy pouze dohoda o pracovní činnosti (nikoli též dohoda o provedení práce, jejíž podstatou je výkon časově omezeného rozsahu práce, srov. § 75 zákoníku práce). Uzavření dohody o pracovní činnosti s pověřencem není nařízením výslovně vyloučeno, nicméně obecně nelze doporučit. Nevhodnost daného postupu vyplývá z principu nezávislosti, ze kterého je mj. dovozován i požadavek na stálost funkce pověřence, přičemž u dohod o pracích konaných mimo pracovní poměr není zákoníkem práce stanovena ochrana při skončení pracovněprávního vztahu (srov. § 77 odst. 2 písm. g/ ve spojení s § 77 odst. 4 zákoníku práce).
Je však třeba připustit, že zejména u malých obcí nemusí být vyhovujícím řešením uzavřít s pověřencem pracovní smlouvu na dobu neurčitou. U těchto obcí lze s ohledem na povahu a rozsah jimi prováděného zpracování osobních údajů důvodně očekávat, že ve standardních případech se bude časová potřeba činnosti pověřence pohybovat v řádu dnů v roce. Pro malé obce, které zpracovávají údaje převážně na základě zákona a nejsou správci velkého rozsahu osobních nebo citlivých údajů, se tedy může jevit uzavření dohody o pracovní činnosti s pověřencem jako přijatelné s tím, že ani v tomto v případě však nesmí být pověřenec propuštěn ani sankcionován v souvislosti s plněním svých úkolů. Doporučujeme tedy, aby na pravidlo uvedené v čl. 38 odst. 3 nařízení bylo pamatováno již při uzavírání dohody o pracovní činnosti a aby tato dohoda obsahovala taxativní výčet důvodů, pro které je výpověď ze strany zaměstnavatele možná a které představují záruky nezávislého výkonu funkce pověřence.
5) Je možné, aby malé obce sdílely pověřence s obcí "vyššího typu", resp. aby pověřence pro obec zajistila obec s rozšířenou působností?
Nařízení nevylučuje, aby více povinných subjektů sdílelo jediného pověřence, a pochopitelně tak není vyloučena ani možnost, aby některé, zejména menší obce, sdílely pověřence např. s obcí s rozšířenou působností. "Sdílením" je třeba rozumět dobrovolnou spolupráci dvou či více územních samosprávných celků s cílem zajištění pověřence pro všechny tyto spolupracující obce, ke které nemůže být žádná ze stran případné spolupráce nucena. Sdílení pověřence je tedy vždy založeno na dobrovolné bázi a všechny zúčastněné subjekty se při této spolupráci nacházejí v rovnoprávném postavení. V žádném případě tak plnění případné dohody ze strany obce s rozšířenou působností nelze hodnotit jako výkon přenesené působnosti (tedy výkon státní správy).
6) Musí mít školy pověřence pro ochranu osobních údajů?
Podle čl. 37 odst. 1 obecného nařízení o ochraně osobních údajů musí mít správce a zpracovatel pověřence pro ochranu osobních údajů, pokud:
-
zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
-
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
-
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
Školy a školská zařízení je nutné považovat za "orgán veřejné moci" ve smyslu obecného nařízení s ohledem na skutečnost, že jsou nadány pravomocí rozhodovat o právech a povinnostech osob. Školy tedy pověřence pro ochranu osobních údajů mít musí.
7) Do jaké platové třídy podle katalogu prací zařadit pověřence pro ochranu osobních údajů?
Dne 1. ledna 2018 nabylo účinnosti nařízení vlády č. 399/2017 Sb., kterým se mění nařízení vlády č. 222/2010 Sb., o katalogu prací ve veřejných službách a správě. Do katalogu prací se doplňuje činnost referenta ochrany osobních údajů zahrnující též činnost pověřence pro ochranu osobních údajů, a to (v závislosti na povaze činnosti správce a zpracovatele osobních údajů, u něhož pověřenec působí) do platových tříd v rozmezí od 10. do 13. platové třídy.
8) Co se stane, když obec po stanoveném termínu nebude mít pověřence pro ochranu osobních údajů?
Povinnost orgánů veřejné moci (za něž je nutné považovat i každou obec), které provádějí zpracování osobních údajů, mít pověřence pro ochranu osobních údajů je stanovena obecným nařízením o ochraně osobních údajů. Obecné nařízení se stane přímo účinné a aplikovatelné ve všech státech Evropské unie dne 25. května 2018. Za porušení povinnosti ustanovit pověřence (ale i dalších povinností stanovených v článcích obecného nařízení upravujících činnost pověřence) hrozí povinným subjektům uložení pokuty dozorovým úřadem, kterým je v České republice Úřad pro ochranu osobních údajů. Obecné nařízení stanoví kritéria, která musí být ze strany dozorového úřadu zohledněna při rozhodování o uložení pokuty a její výše, jako je závažnost a délka trvání porušení povinnosti, forma zavinění atd.
9) Týká se obecné nařízení o ochraně osobních údajů též samostatné působnosti obcí nebo jen výkonu státní správy v přenesené působnosti
Pravidla ochrany osobních údajů se dotýkají kteréhokoli subjektu, který zpracovává osobní údaje způsoby, na něž se vztahuje obecné nařízení o ochraně osobních údajů. Obecné nařízení nerozlišuje podle toho, zda je zpracování prováděno v samostatné nebo přenesené působnosti, ale zda jsou zpracovávány osobní údaje ve smyslu definic obecného nařízení. V případě územních samosprávných celků je tudíž nutné dodržovat obecné nařízení jak při výkonu samostatné tak přenesené působnosti.
10) Obce mají na úřední desce dokumenty s osobními údaji. Musí se tyto nyní doplňovat nebo měnit?
Platí, že obecné nařízení o ochraně osobních údajů v zásadě přejímá podstatnou část dosavadních regulace této oblasti. Pokud správce osobních údajů (např. obec) postupuje dnes v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, bude ve většině případů její činnost v souladu i s obecným nařízením. Záleží tedy především na tom, zda obec má pro zveřejnění osobních údajů na úřední desce odpovídající právní základ. Například v doručování veřejnou vyhláškou se nelze vyhnout zveřejnění osobních údajů a obci dokonce takový postup ukládá přímo zákon. Jestliže je tedy veřejná vyhláška v souladu se zákonem a neobsahuje údaje, které nejsou pro daný účel nezbytné, je postup obce též v souladu s obecným nařízením.
11) Proč je zapotřebí adaptace právního řádu na obecné nařízení o ochraně osobních údajů?
Obecné nařízení o ochraně osobních údajů je přímo použitelné. Platí tedy na území členských států Evropské unie, včetně České republiky bezprostředně. K jeho použitelnosti není potřeba, aby byl obsah nařízení převeden do zákona. Je však potřeba provést některé změny v právním řádu, aby byl jako celek s nařízením slučitelný.
Ministerstvo vnitra připravuje vládní návrhy adaptačních zákonů:
