24.08.2018

Pověřenci obcí na startovní čáře – informace z konzultace ÚOOÚ pro pověřence pro ochranu osobních údajů

Zúčastnili jsme se společné konzultace pro pověřence pro ochranu osobních údajů, kterou 22. srpna 2018 ve svých prostorách uspořádal Úřad pro ochranu osobních údajů. Přečtěte si naše shrnutí.

Zúčastnili jsme se společné konzultace pro pověřence pro ochranu osobních údajů, kterou 22. srpna 2018 ve svých prostorách uspořádal Úřad pro ochranu osobních údajů. Jednalo se již o třetí akci v řadě a Úřad má naplánované další termíny konzultací, na které se pověřenci mohou přihlásit. Tyto akce se setkaly s velkým ohlasem a zájmem, o čemž svědčí brzy vyčerpaná kapacita. Konzultace byla určena výhradně pro pověřence, kteří byli jmenováni správci podle čl. 37 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů, jsou obcemi nebo správními úřady a jejichž jmenování bylo Úřadu oznámeno před 1. červencem 2018.

Pověřenci pro ochranu osobních údajů ve veřejných subjektech jsou na startovní čáře a sbírají zkušenosti a cenné rady, jak se správně orientovat ve spleti právních předpisů. „Hlavním úkolem pověřence je poskytovat poradenství a informace správci, zajišťovat komunikaci se subjekty údajů a usnadňovat výkon jejich práv“ zaznělo hned v úvodu setkání. O dalších neméně významných povinnostech hovořila Miroslava Matoušová, vrchní rada pro vládní agendy. Jednalo se o povinnosti spojené se jmenováním pověřenců, naplňování práv subjektů údajů v souladu s obecným nařízením, správné komunikaci, která správci pomůže tato práva naplnit, povinně zveřejňovaných informacích, a dalších povinnostech správců pod zásadou transparentnosti. Zajímavostí je, že byl jmenován velký podíl externě působících pověřenců, ať už jsou to advokáti, IT odborníci, specializované poradenské firmy (zejména ve školství), individuální podnikatelé, anebo pro obce např. Sdružení místních samospráv, dobrovolné svazky obcí a pověřené obecní úřady. K 20. srpnu bylo Úřadu doručeno celkem 16 765 oznámení o jmenování pověřence. Úřad se věnoval namátkově způsobu zveřejňování kontaktních údajů na pověřence cca u 60 ti náhodně vybraných obcí, škol a orgánů státní správy. Tyto informace jsou většinou na webu umístěny v „Kontaktech“ nebo v samostatné rubrice nazvané „GDPR“ nebo „Ochrana osobních údajů“ anebo v rubrice „Povinně zveřejňované informace“. Všechny tyto způsoby jsou správné včetně toho, že je uveden pouze jediný kontakt na pověřence, zpravidla e-mailová adresa. Nařízení připouští, aby pověřencem byla jak fyzická, tak právnická osoba. V případě jmenování právnické osoby pověřencem, je však v rozporu s nařízením, že není jmenovitě určena konkrétní fyzická osoba, která bude funkci pověřence vykonávat. 

Povinností správce je vedení záznamů o činnostech zpracování. Záznamy nejsou určeny subjektům údajů, ale slouží pro interní potřeby správce, nezveřejňují se a nemá na ně být aplikován zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Záznamy jsou užitečným nástrojem pro pověřence, jelikož mu usnadňují plnění úkolů a to jak interně, tak i navenek směrem k plnění povinností vůči subjektům údajů či dozorovému úřadu. Proto mají být pro pověřence trvale přístupné.

Další prostor byl věnován problematice často diskutovaných souhlasů. Souhlas není na místě, pokud pro zákonnost zpracování osobních údajů máme jiný právní titul. Ve veřejné správě je na prvním místě splnění právní povinnosti, tzn., že nám zpracování ukládá právní předpis, na dalším splnění smlouvy a jako třetí se uplatní veřejný zájem (výkon veřejné moci). Lze využít také účelu oprávněného zájmu, u kterého ale musíme prokázat přednost před zájmy nebo základními právy a svobodami subjektu údajů. Využití souhlasu je de facto poslední možností, je to doplňkový právní titul a obecné nařízení klade na souhlas náročnější podmínky. Praxe je ale taková, že se souhlasy dělají i tam, kde máme zákonný právní titul, třeba z opatrnosti „což kdyby náhodou“. Tento postup není správný. Vždy je třeba pamatovat na důsledky odvolatelnosti souhlasu a rovněž i na čl. 83 obecného nařízení, který stanovuje sankce za porušení povinností, které jsou při porušení práv subjektu údajů o polovinu vyšší.

Další povinností pod zásadou transparentnosti je oznamování případů porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 obecného nařízení. Pro veřejné subjekty jde o absolutní novinku. Tuto povinnost má správce, pokud je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob. V případě, že budou subjekty údajů včas informovány, mohou učinit určité kroky ke zmírnění či zamezení škod souvisejících např. s únikem jejich osobních údajů. Úkolem pověřence je ověřit fyzické i elektronické zabezpečení a proškolit zaměstnance ohledně nebezpečí, ať již kyber hrozeb, anebo při nesprávné práci se spisovým materiálem. Od nabytí účinnosti obecného nařízení eviduje Úřad celkem 12 oznámení ze státní sféry, přičemž hlavními příčinami je většinou neoprávněný přístup do počítačového systému a selhání zaměstnance, poté chyba techniky či software a jako poslední úmyslné zneužití zaměstnancem.

Druhá polovina konzultace byla věnována poznatkům z praxe. Stále často se opakující chybou povinných subjektů je zveřejnění adresních údajů žadatele o informaci při plnění povinnosti dle § 5 odst. 3 zákona o svobodném přístupu k informacím. Při zveřejňování poskytnuté informace jsou často zveřejněny identifikační údaje žadatele – fyzické osoby bez jejího souhlasu, což je nad dovolený rámec, jelikož osobní údaje žadatele mohou být zpracovávány pouze za účelem vyřízení žádosti, nikoliv pro účely zveřejňování. Z tohoto důvodu se doporučuje žádosti o informace nezveřejňovat, ale zveřejnit pouze odpovědi bez identifikačních údajů žadatele (úplná anonymizace – údaje nesmí být čitelné), popř. zveřejnit pouze doprovodnou informaci. To samé platí např. při zveřejňování smluv či dokumentů, které již nejsou aktuální, např. dražební vyhláška. Zde je jasná role pověřence, který by měl ověřit, zda se na webu nevyskytují nerelevantní dokumenty, obsahující osobní údaje, a zda je nejde vyhledat vyhledavačem. Při odstranění z webu se často stává, že je odstraněna pouze přímá cesta k dokumentu, ale ten je stále vyhledatelný např. Googlem. Pozornost je třeba také věnovat pracovnímu prostředí zaměstnanců, které v rámci výkonu činnosti navštěvuje veřejnost, aby na stole nenechávaly volně přístupné dokumenty, jelikož hrozí možnost úniku neveřejných informací minimálně v rozsahu jméno, příjmení, číslo jednací a druhu vedeného řízení. V tomto případě je rolí pověřence seznámit pracovníky se zásadami práce s dokumenty. Problém nastává i při neoprávněném nahlížení úředníků do registrů, ať již pro osobní potřebu nebo ze zvědavosti. V tomto případě je úkolem pověřence seznámit pracovníky s jejich odpovědností včetně odpovědnosti trestně právní.

Po oficiální části následovala diskuse, dotazy byly velmi různorodé, odpovědi konkrétní a věcné. Na závěr Jiří Žůrek, ředitel odboru konzultačních agend zdůraznil, že na webu ÚOOÚ je zveřejněna většina stanovisek, ke kterým dnes směřovaly některé otázky pověřenců, dále zde jsou rubriky Poradna a Často kladené otázky roztříděné podle oblastí, stejně tak i Mikroweb, ve kterém je jasně, stručně a bez právnických termínů a paragrafů vysvětlena většina nejdůležitějších věcí a otázek ke GDPR, a že Úřad již nebude zodpovídat dotazy, na které byly v těchto rubrikách odpovědi zveřejněny. Pro pověřence bude úřad konzultace poskytovat v rámci pravidel, která zveřejnil na svých webových stránkách, a o kterých jsme informovali na našem webu 7. června v tomto článku.

Akce splnila naše očekávání, dozvěděli jsme se podstatné věci spojené s prací pověřence, velký prostor byl věnován diskuzi a výměně zkušeností, odpovědi na otázky byly konkrétní, fundované, vycházející z dlouhodobé praxe zaměstnanců Úřadu.