30.08.2018

Poznatky ze stížnostní agendy ÚOOÚ v oblasti obcí a státní správy

Jak jsme již informovali v článku „Pověřenci obcí na startovní čáře – informace z konzultace ÚOOÚ pro pověřence pro ochranu osobních údajů“. Úřad pro ochranu osobních údajů na těchto konzultačních dnech upozorňoval na některé stále se opakující chyby související s ochranou osobních údajů v praxi obcí a státní správy při výkonu jejich činností. Tyto chyby jsou předmětem četných stížností, které jsou Úřadu ze strany subjektu údajů podávány. Úřad na svých webových stránkách zveřejnil oblasti, které jsou předmětem stížností nejčastěji a upozorňuje příslušné správce, resp. pověřence pro ochranu osobních údajů, aby se touto problematikou důkladně zabývali. Úřad identifikoval tyto oblasti:

1) Zveřejňování adresních či jiných identifikačních údajů žadatele ve zveřejněných odpovědích na žádost o informace dle zákona č. 106/1999 Sb.

Byť mají povinné subjekty dle § 5 odst. 3 zákona č. 106/1999 Sb. povinnost poskytnutou informaci zveřejnit způsobem umožňujícím dálkový přístup, nelze v rámci tohoto postupu zveřejňovat zároveň adresní či jiné identifikační údaje žadatele. V praxi jde nejčastěji o chybný postup spočívající v umístění celého dokumentu odpovědi (nebo zároveň i žádosti) na internetové stránky povinného subjektu či jeho naskenování bez začernění či jiné anonymizace adresních a jiných údajů žadatele.

V případě, že povinný subjekt volí variantu umístění celého dokumentu odpovědi (nebo i žádosti) na internetové stránky (tj. neumístí pouze samotnou poskytnutou informaci), je nutné věnovat pozornost i provedení správné anonymizace dokumentu, tak aby anonymizované informace nemohly být jednoduchým krokem zpřístupněny (např. prosté začernění textu v programu Word lze jednoduše uvést zpět do čitelného stavu).

Úřad v této souvislosti odkazuje na stanovisko ministerstva vnitra č. 1/2012 a manuál ministerstva vnitra pro obce k zákonu o svobodném přístupu k informacím.

2) Nedůvodné zpřístupňování již neaktuálních dokumentů obsahujících osobní údaje

Dokumenty obsahující osobní údaje by měly být veřejnosti přístupné k naplnění účelu zveřejnění dokumentu. Je nutné ověřit, zdali nejsou prostřednictvím internetových stránek zveřejňovány dokumenty, jejichž zveřejnění již nemá oporu např. ve zvláštním zákonu, či byl naplněn účel jejich zveřejnění.

V praxi se často stává, že sice správce dokument odstranil z viditelného rozhraní internetových stránek (neexistuje přímý odkaz na dokument), avšak z důvodu nedostatečného zabezpečení IT rozhraní je dokument stále vyhledatelný prostřednictvím vyhledávače, typicky po zadání jména + příjmení + město atd. Je tak nutné přijmout taková opatření, aby i po odstranění dokumentu z viditelného rozhraní internetových stránek nebyl dokument stále vyhledatelný vyhledávačem.

3) Neoprávněné nahlížení úředníků do registrů (např. obyvatel)

Nahlížení do registrů, ke kterým má konkrétní zaměstnanec přístup, se musí dít za legitimním účelem, vyplývajícím z jeho pracovní činnosti při výkonu státní správy. Do registrů nelze nahlížet za účelem uspokojení vlastní zvědavosti či zjištění informací pro osobní účely (např. rodinné spory). Závažné zneužití údajů z registrů může mít za následek i spáchání trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník.

4) Nezabezpečení osobních údajů, jejich zpřístupnění nepovolaným osobám

V rámci adekvátního zabezpečení, dle požadavků článku 32 GDPR, je nutné věnovat pozornost i pracovnímu prostředí zaměstnanců, ve vztahu k dokumentům, které mají ve své správě, zejména pokud je náplní jejich činnosti též styk s veřejností. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty, se kterými se může veřejnost nepovolaně seznámit. Za takovéto situace hrozí únik osobních údajů a informací.

Tento materiál včetně odpovědí na otázky z oblasti samosprávy a státní správy naleznete v rubrice „Často kladené otázky k obcím a státní správě“. Z této rubriky vybíráme ještě jednu zajímavou odpověď na otázku, která se týká postupu obce v případě, že v právních předpisech není uveden výčet osobních údajů, zejména kontaktních údajů jako jsou číslo mobilního telefonu a e-mailová adresa.

Ve zvláštním zákonu, který upravuje postup v konkrétní agendě, není uveden výčet osobních údajů, které lze v této agendě zpracovávat, zejména kontaktní údaje typu mobilního čísla či emailu. Je nutné k takovým údajům získat souhlas občana?

Veřejné úřady v rámci státní správy i samosprávy mohou v souladu s čl. 6 odst. 1 písm. e) GDPR zpracovávat osobní údaje, pokud je zpracování nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jedná se o osobní údaje, které jsou nezbytně nutné pro výkon činností, není přitom pravidlem, že by je zákon vždy výslovně stanovil. Je odpovědností veřejného úřadu, jako správce osobních údajů, aby agendu vhodně posoudil a nastavil podmínky a rozsah, v němž bude prováděna, včetně rozsahu osobních údajů Není-li tato otázka dostatečně jasná ze zákona a prováděcích předpisů, je třeba obrátit se žádostí o metodický návod na gestora legislativy, kterým je příslušné ministerstvo.

Co se týče kontaktních údajů typu mobilního čísla či emailu, zpravidla slouží tyto údaje k urychlení kontaktu s občanem v rámci vyřizování věci. Pokud veřejné úřady či samospráva umožní občanovi v rámci vyřizování jeho věci spolu s adresou sdělit i další kontaktní údaje, nejde o porušení zásady minimalizace a takové osobní údaje lze zpracovávat pro účely plnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, tj. neaplikuje se souhlas. Neuvedení nepovinných kontaktních údajů (telefonní číslo, email) nesmí být překážkou učinění podání či přístupu občana k orgánu veřejné moci.

Zdroj: Úřad pro ochranu osobních údajů