26.4.2024
Novinky:

ISVS.CZ | Aktuálně to nejdůležitější o ISVS a eGovernmentu zde na jednom místě.

Nenechte si ujít novinky. Využijte naše znalosti i zkušenosti ve svůj prospěch.

Aktuálně GDPR Legislativa 

Co byste měli vědět o ochraně osobních údajů

Redakce ISVS.CZ , ,

Ochrana osobních a citlivých údajů je velmi složité a velmi diskutované téma. Pro laika je v podstatě nemožné se ve všech nařízeních a zákonech zorientovat.

Co je dobré vědět a kde všude je možné informace najít? O tom všem je dnešní článek.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie. Účinnosti nabylo dnem 25. května 2018.

— Ministerstvo vnitra ČR

Co jsou osobní údaje?

Osobní údaje jsou v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.

Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Řadíme mezi ně ale i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Co je tzv. zvláštní kategorie osobních údajů?

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Jejich výčet je téměř totožný s výčtem citlivých údajů ve zrušeném zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který již není považován za zvláštní kategorii osobních údajů, ale podmínky pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů mají zvláštní režim v článku 10 GDPR.

Zvláštní kategorie osobních údajů lze zpracovávat, pokud:

  • subjekt údajů udělil výslovný souhlas,
  • zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
  • zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
  • zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
  • zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
  • zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
  • zpracování je nezbytné z důvodu významného veřejného zájmu,
  • zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.,
  • zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
  • zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.
  • Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce.
Jaká legislativa ochranu osobních a citlivých údajů řeší?Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) označované též jako GDPR (General Data Protection Regulation), představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie.

Účinnosti nabylo dnem 25. května 2018.

Výběr dotazů z praxeZakládá se pracovní poměr pověřence „jmenováním“ ve smyslu českého zákoníku práce?

Způsob zřízení funkce pověřence není nařízením limitován na akt jmenování ve smyslu českého zákoníku práce.

Právo EU obecně (tedy i předmětné nařízení o ochraně osobních údajů) je třeba vykládat „volněji“ než předpisy vnitrostátní. Aplikace práva EU musí být jednotná ve všech členských státech, což vyžaduje uplatňování autonomní interpretace.

To znamená, že pojmům vyskytujících se v unijních předpisech nemůže být automaticky přikládán stejný právní význam, jaký je jim přikládán vnitrostátním právem. Především zahrnuje pojem „jmenování“ širší okruh aktů, než jen pracovněprávní úkony.

Jedná se spíše o „ustavení“ do funkce, což může být uskutečněno i formou služby.

Pracovní poměr pověřence však vzniká buď na základě pracovní smlouvy (srov. ust. § 33 odst. 1 zákoníku práce), nebo jmenováním v případě, že plnění úkolů pověřence je spojeno s funkcí vykonávanou v pracovním poměru, který vzniká jmenováním (srov. ust. § 33 odst. 3 zákoníku práce).

Je možné, aby pověřenec vykonával své úkoly i na základě dohod o pracích konaných mimo pracovní poměr?

Čl. 37 odst. 6 nařízení stanoví, že pověřenec může být buď „pracovníkem“, nebo může plnit své úkoly na základě smlouvy o poskytování služeb.

Porovnáním ostatních jazykových verzí čl. 37 odst. 6 nařízení lze dovodit, že pojem „pracovník“ je zde použit jako synonymum pojmu „zaměstnanec“, kterým se v českém právním prostředí rozumí jak zaměstnanec na základě pracovní smlouvy, tak zaměstnanec na základě dohod o pracích konaných mimo pracovní poměr.

S ohledem na povahu činnosti pověřence připadá v tomto případě do úvahy pouze dohoda o pracovní činnosti (nikoli též dohoda o provedení práce, jejíž podstatou je výkon časově omezeného rozsahu práce, srov. § 75 zákoníku práce).

Uzavření dohody o pracovní činnosti s pověřencem není nařízením výslovně vyloučeno, nicméně obecně nelze doporučit.

Nevhodnost daného postupu vyplývá z principu nezávislosti, ze kterého je mj. dovozován i požadavek na stálost funkce pověřence, přičemž u dohod o pracích konaných mimo pracovní poměr není zákoníkem práce stanovena ochrana při skončení pracovněprávního vztahu.

Je však třeba připustit, že zejména u malých obcí nemusí být vyhovujícím řešením uzavřít s pověřencem pracovní smlouvu na dobu neurčitou. U těchto obcí lze s ohledem na povahu a rozsah jimi prováděného zpracování osobních údajů důvodně očekávat, že ve standardních případech se bude časová potřeba činnosti pověřence pohybovat v řádu dnů v roce.

Pro malé obce, které zpracovávají údaje převážně na základě zákona a nejsou správci velkého rozsahu osobních nebo citlivých údajů, se tedy může jevit uzavření dohody o pracovní činnosti s pověřencem jako přijatelné s tím, že ani v tomto v případě však nesmí být pověřenec propuštěn ani sankcionován v souvislosti s plněním svých úkolů.

Je možné, aby malé obce sdílely pověřence s obcí „vyššího typu“, resp. aby pověřence pro obec zajistila obec s rozšířenou působností?

Nařízení nevylučuje, aby více povinných subjektů sdílelo jediného pověřence, a pochopitelně tak není vyloučena ani možnost, aby některé, zejména menší obce, sdílely pověřence např. s obcí s rozšířenou působností.

„Sdílením“ je třeba rozumět dobrovolnou spolupráci dvou či více územních samosprávných celků s cílem zajištění pověřence pro všechny tyto spolupracující obce, ke které nemůže být žádná ze stran případné spolupráce nucena.

Sdílení pověřence je tedy vždy založeno na dobrovolné bázi a všechny zúčastněné subjekty se při této spolupráci nacházejí v rovnoprávném postavení. V žádném případě tak plnění případné dohody ze strany obce s rozšířenou působností nelze hodnotit jako výkon přenesené působnosti (tedy výkon státní správy).

Obce mají na úřední desce dokumenty s osobními údaji. Musí se tyto nyní doplňovat nebo měnit?

Platí, že obecné nařízení o ochraně osobních údajů v zásadě přejímá podstatnou část dosavadních regulace této oblasti.

Záleží především na tom, zda obec má pro zveřejnění osobních údajů na úřední desce odpovídající právní základ. Například v doručování veřejnou vyhláškou se nelze vyhnout zveřejnění osobních údajů a obci dokonce takový postup ukládá přímo zákon.

Jestliže je tedy veřejná vyhláška v souladu se zákonem a neobsahuje údaje, které nejsou pro daný účel nezbytné, je postup obce též v souladu s obecným nařízením.

Je správné, že obec zveřejnila na svých internetových stránkách osobní údaje člověka, který požádal o informaci podle zákona o svobodném přístupu k informacím?

Zveřejněná poskytnutá informace na základě žádosti o informaci podle zákona č. 106/1999 Sb. nemůže obsahovat osobní údaje o žadateli o informaci (typicky identifikační a adresní údaje žadatele).

V případě, že žadatel zjistí, že je jeho žádost o informace zveřejněna včetně jeho osobních údajů (identifikační nebo adresní údaje), lze v prvé řadě dosáhnout nápravy kontaktováním příslušné obce s upozorněním a žádostí na úpravu dokumentu tak, aby neobsahoval osobní údaje žadatele o informaci podle zákona o svobodném přístupu k informacím.

Pokud žadatel o informaci nedosáhne nápravy ze strany obce, jako další krok lze doporučit podat podnět či stížnost Úřadu pro ochranu osobních údajů.

Na území obce máme přistaveny kontejnery pro tříděný odpad. Využívají je však i osoby, které neudržují pořádek. Má obec právo si kontejnery nebo celé prostory skládek hlídat kamerou se záznamem či fotopastí?

Monitoring úzce vymezené části veřejného prostranství, kde jsou umístěny kontejnery na odpad či monitoring části pozemků s černými skládkami, je věcí veřejného pořádku i oprávněnou ochranou majetku obce.

Je žádoucí, aby záměr umístit kameru nebo fotopast pro shora uvedený účel, uchovávání záznamů a jejich použití (výlučně pro projednání přestupku a náhrady způsobené škody, nikoliv svévolného zveřejnění, např. na internetu) vedení obce projednalo s pověřencem pro ochranu osobních údajů.

Ve zvláštním zákonu, který upravuje postup v konkrétní agendě, není uveden výčet osobních údajů, které lze v této agendě zpracovávat, zejména kontaktní údaje typu mobilního čísla či emailu. Je nutné k takovým údajům získat souhlas občana?

Veřejné úřady v rámci státní správy i samosprávy mohou v souladu s GDPR zpracovávat osobní údaje, pokud je zpracování nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.

Jedná se o osobní údaje, které jsou nezbytně nutné pro výkon činností, není přitom pravidlem, že by je zákon vždy výslovně stanovil. Je odpovědností veřejného úřadu, jako správce osobních údajů, aby agendu vhodně posoudil a nastavil podmínky a rozsah, v němž bude prováděna, včetně rozsahu osobních údajů.

Není-li tato otázka dostatečně jasná ze zákona a prováděcích předpisů, je třeba obrátit se žádostí o metodický návod na gestora legislativy, kterým je příslušné ministerstvo.

Co se týče kontaktních údajů typu mobilního čísla či emailu, zpravidla slouží tyto údaje k urychlení kontaktu s občanem v rámci vyřizování věci.

Pokud veřejné úřady či samospráva umožní občanovi v rámci vyřizování jeho věci spolu s adresou sdělit i další kontaktní údaje, nejde o porušení zásady minimalizace a takové osobní údaje lze zpracovávat pro účely plnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, tj. neaplikuje se souhlas.

Neuvedení nepovinných kontaktních údajů (telefonní číslo, email) nesmí být překážkou učinění podání či přístupu občana k orgánu veřejné moci.

Jaké jsou nejčastější stížnosti týkajícími se obecní či státní správy?

1) Zveřejňování adresních či jiných identifikačních údajů žadatele ve zveřejněných odpovědích na žádost o informace dle zákona č. 106/1999 Sb.

Byť mají povinné subjekty dle § 5 odst. 3 zákona č. 106/1999 Sb. povinnost poskytnutou informaci zveřejnit způsobem umožňujícím dálkový přístup, nelze v rámci tohoto postupu zveřejňovat zároveň adresní či jiné identifikační údaje žadatele.

V praxi jde nejčastěji o chybný postup spočívající v umístění celého dokumentu odpovědi (nebo zároveň i žádosti) na internetové stránky povinného subjektu či jeho naskenování bez začernění či jiné anonymizace adresních a jiných údajů žadatele.

V případě, že povinný subjekt volí variantu umístění celého dokumentu odpovědi (nebo i žádosti) na internetové stránky (tj. neumístí pouze samotnou poskytnutou informaci), je nutné věnovat pozornost i provedení správné anonymizace dokumentu, tak aby anonymizované informace nemohly být jednoduchým krokem zpřístupněny (např. prosté začernění textu v programu Word lze jednoduše uvést zpět do čitelného stavu).

Úřad v této souvislosti odkazuje na stanovisko ministerstva vnitra č. 1/2012 a manuál ministerstva vnitra pro obce k zákonu o svobodném přístupu k informacím.

2) Nedůvodné zpřístupňování již neaktuálních dokumentů obsahujících osobní údaje

Dokumenty obsahující osobní údaje by měly být veřejnosti přístupné k naplnění účelu zveřejnění dokumentu. Je nutné ověřit, zdali nejsou prostřednictvím internetových stránek zveřejňovány dokumenty, jejichž zveřejnění již nemá oporu např. ve zvláštním zákonu, či byl naplněn účel jejich zveřejnění.

V praxi se často stává, že sice správce dokument odstranil z viditelného rozhraní internetových stránek (neexistuje přímý odkaz na dokument), avšak z důvodu nedostatečného zabezpečení IT rozhraní je dokument stále vyhledatelný prostřednictvím vyhledávače, typicky po zadání jména + příjmení + město atd.

Je tak nutné přijmout taková opatření, aby i po odstranění dokumentu z viditelného rozhraní internetových stránek nebyl dokument stále vyhledatelný vyhledávačem.

3) Neoprávněné nahlížení úředníků do registrů (např. obyvatel)

Nahlížení do registrů, ke kterým má konkrétní zaměstnanec přístup, se musí dít za legitimním účelem, vyplývajícím z jeho pracovní činnosti při výkonu státní správy. Do registrů nelze nahlížet za účelem uspokojení vlastní zvědavosti či zjištění informací pro osobní účely (např. rodinné spory).

Závažné zneužití údajů z registrů může mít za následek i spáchání trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník.

4) Nezabezpečení osobních údajů, jejich zpřístupnění nepovolaným osobám

V rámci adekvátního zabezpečení, dle požadavků článku 32 GDPR, je nutné věnovat pozornost i pracovnímu prostředí zaměstnanců, ve vztahu k dokumentům, které mají ve své správě, zejména pokud je náplní jejich činnosti též styk s veřejností.

Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty, se kterými se může veřejnost nepovolaně seznámit. Za takovéto situace hrozí únik osobních údajů a informací.

Kde všude naleznete informace k této problematice?

Odpovědi na otázky týkající se správné praxe zpracování a ochrany osobních údajů v oblastech samosprávy a výkonu přenesené působnosti naleznete na stránkách Ministerstva vnitra, které je gestorem řady zvláštních právních předpisů upravujících zpracování údajů v těchto oblastech.

Mnoho zajímavých a důležitých informací naleznete také na stránkách Úřadu pro ochranu osobních údajů.

Zde uvádíme výčet některých informačních zdrojů:
(tyto zdroje byly rovněž použity při tvorbě tohoto článku)

Tweet
Sdílet
Sdílet
Pin

Je v článku chyba? Prosíme, napište nám to.
Odebírejte 1x týdně email s přehledem novinek.
Využijte naše zkušenosti ve svůj prospěch!

Mohlo by se vám také líbit

Olomoucký kraj bude nově zveřejňovat všechny faktury

Redakce ISVS.CZ

Vítězové soutěže Chytrá města 2023

Redakce ISVS.CZ

Jste pyšní na svého starostu?

Redakce ISVS.CZ

Jak veřejnost využívá digitální služby úřadů?

Redakce ISVS.CZ

Mikulov 2023 – prezentace přednášejících

Redakce ISVS.CZ

Efektivní správa obcí

Redakce ISVS.CZ

OECD pomáhá zefektivnit služby české veřejné správy

Redakce ISVS.CZ

Kybernetické incidenty pohledem NÚKIB – prosinec 2022

Redakce ISVS.CZ

Rekonstrukce státu připravila seriál provázející lobbingem

Redakce ISVS.CZ