GDPR s odstupem

Dne 24.4.2019 vešla v platnost tzv. Adaptační legislativa, která upřesňuje Obecné nařízení o ochraně osobních údajů ( „Nařízení GDPR“). Připomeneme si, jak na tom kdo je z pohledu legislativy a jaký je stav s GDPR téměř rok po přijetí Adaptační legislativy?

 

Děsivé pokuty

Největším strašákem Nařízení GDPR byly právě uložitelné pokuty. Adaptační legislativy přidala výjimku pro orgány veřejné moci, kde jsou nyní nastaveny nulové sankce. Neznamená to, ale že pro orgány veřejné moci by neplatily zákony. Orgán může být nadále upozorněn a vyzván k nápravě. V objemech, se kterými pracují orgány veřejné moci je toto řešení kolikrát časově náročnější a tedy i dražší, než-li pokuty.

Jakožto celek si ve světě vedeme poměrně dobře. Začátkem roku 2019 společnost DLA Piper vytvořila průzkum, který mapuje uložené pokuty (za nedodržování Obecného nařízení o ochraně osobních údajů) napříč zeměmi za uplynulý rok. Česká republika neobsadila TOP 10, což může signalizovat buď, že si v dodržování GDPR vedeme opravdu dobře, nebo, že české subjekty tolik svých práv nevyužívají.

Zatímco Češi obsadili třináctou pozici, například Francie dominuje celkové tabulce. V ČR byla celková hodnota pokut za rok 2019 přes 290 000 eur. Francie zaplatila přes 51 mil. eur a Německo necelých 25 mil. eur.

 

Počet porušení

Zatímco v pokutách vede žebříčku Francie, tabulce s počtem hlášených incidentů vládne Nizozemsko v závěsu s Německem a Spojeným královstvím. Můžeme tak odhadovat, že v těchto zemích jsou subjekty aktivní a snaží se využívat svých práv více než-li v jiných zemích.

Česká republika s hlášením incidentů obsadila 16. pozici, Slovensko jedenáctou.

Země Počet incidentů
Nizozemsko 15 400 000
Německo 12 600 000
Spojené království 10 600 000
Irsko 3 800 000
Dánsko 3 100 000
Švédsko 2 500 000
Finsko 2 500 000
Polsko 2 200 000
Francie 1 300 000
Norsko 820 000
Slovensko 740 000
Španělsko 670 000
Itálie 610 000
Austrálie 580 000
Belgie 420 000
Česká republika 290 000
Maďarsko 270 000
Rumunsko 260 000
Luxembursko 200 000
Portugalsko 170 000
Počet incidentů zaznamenaných v 05/18 – 01/19

 

Největší pokuty doposavad

1&1 Telecom GmbH byla v prosinci 2019 uložena pokuta ve výši 9 550 000€. A to za nedodržování akci, které by měly zabránit neautorizovaným přístupům do zákaznických dat v jejich call centru. Bylo zjištěno, že kdokoliv mohl do společnosti zavolat a získat informace o jejich zákaznících včetně jména a data narození.

 

Deutsche Wohnen SE se do žebříčku nejvyšších pokut dostala v říjnu 2019 se sankcí ve výši 14 500 000 eur. Pokuta souvisela s dobou uchovávání osobních údajů a byla vydána berlínských komisařem pro ochranu osobních údajů. Společnost neposkytla zákazníkům v dostatečné míře možnost si své osobní údaje prohlédnout, či odstranit.

 

Rakouská pošta má za sebou také svou první pokutu kvůli GDPR. 18 milionů eur musela zaplatit za vytváření a přeprodávání databází s údaji občanů. Rakouská pošta vytvořila databázi více než 3 milionů rakouských občanů (třetina celkové populace) a následně je přeprodávala třetím stranám.

 

Italská společnost TIM musela na začátku letošního roku zaplatit pokutu ve výši 27 800 000 eur. Seznam porušení byl v tomto případě poměrně dlouhý. Například opakovaně kontaktovali zákazníky bez jejich souhlasu a zcela protizákonně. Agresivní telemarketing byl jen špičkou ledovce a také podle toho vypadá celková výše pokuty

 

TIMu může konkurovat ve výši pokut jen Google samotný. Francouzská národní komise pro informatiku a svobodu uložila společnosti Google dosud rekordní pokutu. A to v lednu 2019 v celkové výši 50 000 000 eur. Pokuta byla odůvodněna nedostatečnou transparentností způsobů, jakými byly údaje získány a následně použity k cíleným reklamám. Google také neposkytl dostatečné informace o zásadách souhlasu a neposkytl uživatelům dostatečnou kontrolu nad osobními údaji.

 

Použití fotografií a jiných materiálů

K častým dotazům adresovaným Úřadu pro ochranu osobních údajů, a také našemu spřátelénému webuDatový Ochránce, patří otázka: ,,Jak přistupovat k používání a šíření fotografií, případně audiovizuálních záznamů fyzických osob z hlediska zpracování osobních údajů, podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů v návaznosti na GDPR?“

Odpověď bohužel není zcela jednoznačná a opírá se o zatím schávlené zákony, proto budeme citovat právě Úřad pro ochranu osobních údajů (dále jen Úřad)

Různé režimy nakládání se záznamy

K pořizování, používání, šíření či zveřejňování fotografií či jiných záznamů fyzických osob nebo skupin osob může docházet jak v režimu zpracování osobních údajů, tak pouze v režimu zákona č. 89/2012 Sb., občanský zákoník. V obou případech je významné, zda fyzická osoba (subjekt údajů) sama ze své vůle používá (šíří, zveřejňuje) svou vlastní fotografii nebo záznam, nebo se jedná i o fotografie či záznamy jiných osob. Při používání a šíření fotografií a audiovizuálních záznamů fyzických osob je zejména třeba brát v úvahu, zda dochází k jejich zveřejňování na internetu, kde je zvýšené nebezpečí jejich zneužití.

Pro pořízení a použití fotografie a rovněž obrazového nebo zvukového záznamu fyzické osoby je tedy možné rozlišovat čtyři různé režimy:

1. Pořízení a použití fotografie nebo záznamu – občanský zákoník

Občanský zákoník upravuje pořízení a následné použití jednotlivých fotografií nebo časově omezeného obrazového nebo zvukového záznamu projevu fyzické osoby (skupiny osob) – např. jednání, schůze, kulturní, společenské, sportovní akce, pokud z příležitostně pořízených fotografií nebo záznamů nejsou při jejich použití vytvářeny evidence o fyzických osobách1 ani nejsou k zobrazeným či zaznamenaným osobám kromě běžné identifikace jménem a příjmením systematicky přiřazovány další osobní údaje, jinak řečeno, pokud nedochází k jejich zpracování ve smyslu § 4 písm. e) zákona č. 101/2000 Sb. nebo čl. 4 odst. 2 GDPR.

Občanský zákoník v § 84 stanoví, že zachytit podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením a svolením podle § 85 je podmíněno i rozšiřování podoby člověka s tím, že svolí-li někdo k zobrazení své podoby za okolností, z nichž je zřejmé, že bude šířeno, platí, že svoluje i k jeho rozmnožování a rozšiřování obvyklým způsobem, jak je mohl vzhledem k okolnostem rozumně předpokládat.

Těchto ustanovení by si měl být vědom zejména ten, kdo fotografie či záznamy jiných osob zveřejňuje na internetu, např. na sociálních sítích. Jestliže mají takové fotografie ryze soukromý či dokonce intimní charakter, může být jejich šíření bez svolení zobrazené osoby tím spíše předmětem občanskoprávní žaloby na ochranu osobnosti. Ochranu soukromí zdůrazňuje občanský zákoník v § 86, kde stanoví, že nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit. Ve stejném rozsahu jsou chráněny i soukromé písemnosti osobní povahy. Podmínky pro odvolání svolení upravuje občanský zákoník v § 87.

Občanský zákoník však stanoví několik výjimek, kdy k pořízení nebo použití podobizny nebo zvukového či obrazového záznamu člověka není jeho svolení třeba. Podle § 88 odst. 1 je to možné k výkonu nebo ochraně jiných práv nebo právem chráněných zájmů jiných osob. Tím může být např. zachycení podoby a jednání pachatele trestného činu a předání takového záznamu policii. Podle § 88 odst. 2 není svolení třeba k úřednímu účelu na základě zákona, tedy např. při pořizování záznamů policií, městskou policií, správním či kontrolním orgánem, je-li zákonem předpokládán. Totéž ustanovení stanoví, že svolení není třeba ani v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu. Může tedy jít např. i o záznam vystoupení na veřejném jednání zastupitelstva obce, avšak pouze takového, které se týká záležitosti veřejného zájmu, tedy nikoli soukromých záležitostí určitého občana. Poslední výjimkou je pořízení nebo použití přiměřeným způsobem k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství podle § 89 občanského zákoníku, tzv. zpravodajská nebo umělecká licence. Podle § 90 však zákonný důvod k zásahu do soukromí jiného nebo k použití jeho podobizny, písemnosti osobní povahy nebo zvukového či obrazového záznamu nesmí být využit nepřiměřeným způsobem v rozporu s oprávněnými zájmy člověka.

S občanskoprávní žalobou na porušení citovaných ustanovení občanského zákoníku, včetně posouzení přiměřenosti při použití fotografií a záznamů, se lze v souladu s § 12 občanského zákoníku obrátit na soud.

2. Zpracování pro osobní a domácí činnosti – občanský zákoník

Zákon o ochraně osobních údajů se nevztahuje na zpracování pro osobní potřebu podle § 3 odst. 3 tohoto zákona2, kdy nejde o prosté pořízení a použití fotografie nebo časově omezeného záznamu, ale operace prováděné s pořízenými fotografiemi nebo záznamy ve smyslu § 4 písm. e) zákona o ochraně osobních údajů3, avšak výlučně pro osobní potřebu nebo výkon domácích činností. Může jít např. o zpracování fotografií příbuzných v rodokmenu používaném pro rodinnou potřebu či shromažďování fotografií osob, které jsou předmětem výlučně osobního (např. fanouškovského) zájmu. Může jím být i monitorování vlastního obydlí kamerovým systémem se záznamem.

Pokud se bude jednat o pořizování a využívání fotografií či obrazových záznamů, na které se zákon o ochraně osobních údajů nevztahuje, nelze vyloučit odpovědnost za soukromoprávní delikt v souvislosti s porušením práva na ochranu osobnosti, nebo případně i trestněprávní odpovědnost, např. pokud by provozování kamerového systému v obydlí bylo v rozporu s právem na soukromí dalších osob žijících v tomto obydlí, případně návštěv nebo sousedů.

3. Zpracování osobních údajů používáním fotografií nebo záznamů – zákon o ochraně osobních údajů /Obecné nařízení o ochraně osobních údajů 2016/679 – GDPR, Směrnice 2016/680/

Jde o zpracování osobních údajů zachycených fotografiemi nebo obrazovými a zvukovými záznamy projevů fyzických osob v evidencích nebo monitorování prostoru kamerovým systémem se shromažďováním údajů o osobách do tohoto prostoru vstupujících, aniž by bylo úmyslem zpracovávat rovněž údaje citlivé a za podmínky, že tomu odpovídají použité prostředky a způsoby zpracování, to znamená, že neumožňují citlivé údaje /zvláštní kategorie osobních údajů/ zpracovávat.

V rámci plnění právní povinnosti podle § 5 odst. 2 písm. a) zákona o ochraně osobních údajů lze provádět zpracování souborů fotografií nebo pořizování záznamů při monitorování prostoru, které stanoví zvláštní zákon. Může jím být např. uchovávání podobizen nebo záznamů v informačních systémech Policie ČR a pořizování záznamů stálými automatickými technickými systémy podle zákona o Policii ČR nebo zákona o obecní policii4 nebo zpracování fotografií za účelem vydání zákonem stanovených služebních průkazů.

V jistých případech může zpracování probíhat k ochraně práv a právem chráněných zájmů správce osobních údajů nebo jiných dotčených osob podle § 5 odst. 2 písm. e) zákona o ochraně osobních údajů5, a to při zachování požadavku na princip proporcionality (přiměřenosti), které toto ustanovení obsahuje. Tak tomu může být např. při zpracování fotografií zaměstnanců v informačním systému zaměstnavatele za účelem vydání zákonem nestanovených zaměstnaneckých průkazů, ale i při zákonem nestanoveném provozování kamerových systémů se záznamem všech osob vstupujících do sledovaného veřejného prostoru, prováděném za účelem ochrany majetku či života a zdraví osob.

Příkladem zpracování osobních údajů prováděného pouze se souhlasem subjektu údajů podle § 5 odst. 2 zákona o ochraně osobních údajů7 je zveřejňování portrétních fotografií všech zaměstnanců zaměstnavatelem v souboru fotografií na internetu, zpravidla spolu s dalšími informacemi o těchto zaměstnancích. Na rozdíl od informací o pracovním zařazení, které mohou být zveřejněny i bez souhlasu zaměstnance, je k takovému systematickému zveřejňování portrétních fotografií dobrovolný souhlas subjektu údajů nutný.

4. Zpracování citlivých údajů /zvláštních kategorií osobních údajů/ – zákon o ochraně osobních údajů /Obecné nařízení o ochraně osobních údajů 2016/679 – GDPR, Směrnice 2016/680/

Zvláštním pravidlům v zákoně o ochraně osobních údajů podléhá zpracování citlivých údajů získávaných z fotografií nebo jiných záznamů projevů fyzických osob.

V souladu s § 9 písm. c) zákona o ochraně osobních údajů mohou být, bez výslovného souhlasu subjektu údajů, snímky a obrazové nebo zvukové záznamy vypovídající jako citlivé údaje o zdravotním stavu pacienta za účelem stanovení postupů při léčbě zpracovávány zdravotnickým zařízením a být součástí zdravotnické dokumentace.

Zpracování bez výslovného souhlasu subjektu údajů podle § 9 písm. i) zákona o ochraně osobních údajů je podle zvláštních zákonů možné při předcházení, vyhledávání, odhalování trestné činnosti, stíhání trestných činů a pátrání po osobách, které provádějí k tomu oprávněné subjekty. Příkladem je využívání biometrických systémů umožňujících identifikaci osob podle obličeje prováděné Policií ČR např. při ostraze letiště.

V jiných případech je zpracování citlivých údajů i při stanovení legitimního účelu možné pouze s výslovným souhlasem subjektu údajů podle § 9 písm. a) zákona o ochraně osobních údajů.

Povaha pořizovaných údajů

Fotografie fyzických osob, obrazové a zvukové záznamy jejich projevů jsou dokumenty obsahující osobní údaje a často umožňující identifikaci těchto osob na základě jejich podoby, případně hlasu. Je zřejmé, že portrétní fotografie vypovídá o rasovém nebo etnickém původu zobrazené osoby, oblečení nebo pokrývka hlavy může vypovídat o náboženství apod. Fotografie nebo jiný záznam fyzické osoby je dokumentem osobní povahy, který mimo jiné obsahuje biometrické i jiné charakteristiky subjektu údajů, které vypovídají o skutečnostech definovaných v § 4 písm. b) zákona o ochraně osobních údajů jako citlivý údaj11 a může být proto jako nosič informací zdrojem pro zpracování citlivých údajů, pro které zákon o ochraně osobních údajů stanoví přísnější režim12.

Jestliže jsou však informace z fotografie subjektu údajů používány pro pouhé rozlišení jeho podoby ve srovnání s jinými osobami a tyto informace nejsou dále zpracovávány, nelze takové používání fotografií posuzovat jako zpracování citlivých osobních údajů /zvláštních kategorií osobních údajů/.

Obdobné stanovisko zastávala i Pracovní skupina pro ochranu údajů zřízená podle článku 29 směrnice Evropského parlamentu a Rady 95/46/ES, která ve svém stanovisku č. 5/2009 k internetovým sociálním sítím13, v bodě 3.4 citlivé údaje, konstatovala, že „pracovní skupina obecně nepovažuje snímky na internetu za citlivé údaje, nejsou-li snímky jednoznačně použity k odhalení citlivých údajů o fyzických osobách“. Tomuto přístupu odpovídá i text recitálu 51 Obecného nařízení o ochraně osobní údajů, kde je uvedeno, že zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby.

Závěr

Z výše uvedeného je zřejmé, že ne každé pořizování nahrávek a fotografií podléhá režimu zákona o ochraně osobních údajů, resp. bude podléhat režimu Obecného nařízení o ochraně osobních údajů /GDPR/. Ovšem i v případech působnosti předpisů o ochraně osobních údajů může mít soukromoprávní ochrana prostřednictvím žaloby na ochranu osobnosti s ohledem na princip ultima ratio14 přednost před veřejnoprávním dozorem ze strany Úřadu. V konkrétních hraničních případech bude záležet na posouzení, zda pořizování nebo používání fotografií či záznamů naplňuje pojem zpracování osobních údajů.

 

Doplňující informace pod čarou

Strukturované soubory osobních údajů uspořádané nebo zpřístupnitelné podle společných nebo zvláštních kritérii – § 4 písm. m) zákona o ochraně osobních údajů, článek 4 odst. 6 GDPR
čl. 2.(2) c) Obecného nařízení
čl. 4(2) Obecného nařízení
čl. 8 Směrnice 2016/680
čl. 6(1) f) Obecného nařízení
Viz stanoviska Úřadu č. 1/2006 a 1/2016
čl. 6(1) a) Obecného nařízení
čl. 9(2) h) Obecného nařízení
čl. 10 Směrnice 2016/680
čl. 9(2) a) Obecného nařízení
zvláštní kategorie osobních údajů podle čl. 9.1 Obecného nařízení
čl. 9(2) Obecného nařízení
Věstník Úřadu pro ochranu osobních údajů, částka 54, str. 3124, nebo http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_cs.pdf.
Např. nález Ústavního soudu sp. zn. I ÚS 4/04, nebo sp. zn. III. ÚS 1148/09

Co jsou osobní údaje?

S problematikou GDPR vznikají komplikace s pochopením celého nařízení jako takového. Mnohdy nalezneme jen strohou citaci z definice nařízení a několik málo příkladů. Spolu se podíváme detailněji, co je osobními údaji myšleno. Na závěr také uvedeme seznam osobních údajů tak, jak se s nimi nejčastěji při zpracování GDPR ve firmách setkáváme.

Podle článku 4 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pokud jde o citlivé údaje neboli zvláštní kategorie osobních údajů, je zde situace jednodušší. Článek 9 jasně definuje, že jde o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Příklady osobních údajů

Identifikační, adresní a platební údaje:

  • oslovení/pohlaví
  • akademický titul
  • jméno
  • příjmení
  • státní příslušnost
  • místo a stát narození
  • věk
  • datum narození
  • rodné číslo/popř. národní identifikátor
  • údaje o dokladech totožnosti
  • adresa trvalého nebo přechodného bydliště
  • doručovací nebo jiná kontaktní adresa
  • název firmy
  • sídlo podnikání
  • fakturační adresa
  • IČ/DIČ
  • číslo bankovního účtu
  • spojovací číslo SIPO

 

Zaměstnanecké údaje:

  • pracovní pozice
  • informace o vzdělání
  • informace o mzdě
  • informace o exekucích
  • informace o ZTP/P
  • osobní číslo
  • docházka
  • termíny dovolené
  • velikost oděvu/obuvi
  • údaje o manželce/manželovi
  • údaje o dětech

 

Elektronické a kontaktní údaje:

  • telefon
  • mobilní telefon
  • fax
  • e-mailová adresa
  • ID datové schránky
  • IP adresa
  • cookies
  • autentizační certifikáty
  • identifikátory v sociálních sítích a komunikačních platformách (Facebook, Skype apod.)
  • lokační údaje
  • přístupový kód

 

Údaje vzniklé profilováním:

  • údaje získané od subjektu údajů marketingovými průzkumy
  • údaje o využívání produktů a služeb a bonusů
  • údaje o typovém chování uživatele
  • vyhodnocení kreditního rizika
  • záznamy o spotřebitelské historii a plnění platebních povinností
  • prediktivní modely

 

Audio/video:

  • videozáznam
  • fotografie
  • záznam hlasu

 

Biometrické údaje (zvláštní kategorie o. ú.):

  • biometrický elektronický podpis
  • biometrické zpracování fotografie
  • biometrické zpracování otisku prstu
  • analýza hlasu
  • analýza osobnostních projevů

Výklad nejčastějších omylů a otázek od ÚOOÚ

Úřad pro Ochranu osobních údajů před nedávnem vydal poučné desatero nejčastějších omylů o GDPR. Jejich vyvrácení stojí za přečetní. Jaké jsou ty nejčastější omyly?

  1. Odkazování na obecné nařízení jako na směrnici
  2. Označování obecného nařízení za revoluci v právech subjektu údajů a v povinnostech správců
  3. Rozšiřuje se definice osobního údaje
  4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody
  5. Šifrování je povinné
  6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů
  7. Pověřenec musí mít osvědčení (certifikát)
  8. Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky
  9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly
  10. Nově hrozí správcům a zpracovatelům pokuty dle obratu

Setkali jste se s některými mýty také? Pokud ano a zajímal by vás výklad přímo od dozorového orgánu, pak doporučujeme článek navštívit: Desatero omylů o obecném nařízení (GDPR).

Pokud zůstaly některé vaše pochybnosti nezodpovězeny, možná odpověď naleznete ve druhém, obsáhlejším, ale stále snadno srozumitelném výkladu častých otázek k nařízení v článku: Obecné nařízení o ochraně osobních údajů v otázkách a odpovědích.

GDPR v obcích

Nařízení Evropské unie, které nedopřeje klidný spánek mnoha lidem z komerční sféry, bude mít nemalý vliv rovněž na subjekty veřejnoprávní sféry, jako jsou například obce. I tyto veřejnoprávní korporace se musí na novou právní úpravu ochrany a nakládání s osobními údaji začít připravovat již nyní.

Nařízení zkráceně označované jako GDPR upravuje především zpracování osobních údajů fyzických osob. Proto orgány samosprávy, jakož i orgány vykonávající státní moc v přenesené působnosti na úrovni obce, které s takovými daty operují na denní bázi, musí už nyní přemýšlet nad tím, kterým směrem se v cestě za naplněním podmínek nařízení GDPR vydají.

Nařízení se dotkne i ochrany těch údajů, o nichž to nemusí být na první pohled patrné, jelikož údaje o tom, které z dětí navštěvuje kterou školu či mateřskou školku, či údaje o poskytování sociálních služeb jsou jasnými identifikátory, podle nichž lze identifikovat konkrétní osobu, a jsou tak považovány za osobní údaje.

Na základě platných vnitrostátních předpisů budou obce od mnoha aspektů nařízení GDPR osvobozeny, nikoliv od všech. Subjekty údajů (osoby, jejichž údaje jsou shromažďovány) budou moci uplatnit tzv. právo být zapomenut, či právo na přenositelnost osobních údajů, kdy u obce střední velikosti bude zpracování těchto požadavků patrně představovat poměrně rozsáhlou a administrativně náročnou agendu.

Jakým způsobem se tedy připravit a na co?

Přednostně je potřeba počítat s několika aspekty nařízení, které se obcí přímo dotknou.
Mezi ty patří povinnost informovat fyzické osoby o způsobu nakládání s jejich osobními údaji, zmiňovaná rozšířená práva (právo na opravu osobních údajů, právo na přenositelnost, či právo na omezení zpracování), povinnost jmenovat pověřence pro ochranu osobních údajů, a v neposlední řadě i povinnost vést záznamy o činnostech zpracování.

V České republice je poměrně úspěšně naplňován zákon o ochraně osobních údajů a nařízení GDPR se může zdát jen jistou nadstavbou tohoto zákona. Na rozdíl od mnoha jiných zemí budou mít tuzemské obce podřízení se GDPR o něco jednodušší díky zkušenostem s aplikací zmiňovaného zákona. Ani tak se ovšem některým zásadním změnám nevyhnou.

Zcela novým institutem je tzv. pověřenec pro ochranu osobních údajů. Povinností této osoby je dohlížet na zpracování osobních údajů spravovaných obcemi v souladu s nařízením GDPR. Zároveň pověřenec poskytuje odborné poradenství, je komunikuje a řeší případné podněty na zpracovávání údajů nesprávným postupem s dozorčím orgánem, kterým je ÚOOÚ. Je nezbytné, aby pověřenec vykonával svou funkci nezávisle.

Institut pověřence sám o sobě naráží na nutnost zavést zcela novou funkci, ve které daný bude úředník působit jako auditor v rámci GDPR. Nařízení GDPR přináší ovšem i nutnost vytvoření a obsazení dalších nových pozic – odborníků potřebných pro bezproblémovou implementaci a následné dodržování nařízení.

Obce se mohou v tento okamžik vydat dvěma cestami: Řešit vše vlastními silami, či využít služeb externích společností.

Obě možnosti mají své výhody a zároveň svá úskalí. Výhodou je, že komerční poskytovatel služeb na poli GDPR přebírá odpovědnost za poskytované služby, má k dispozici zaškolený personál a odborníky. Úskalím se naopak může zdát právě samotná podstata nařízení. Externí poskytovatel služeb bude oprávněn – a ve většině případů bude muset – nahlížet do interních dokumentů a prohlížet veškeré osobní údaje, s nimiž obec pracuje a která spravuje.

Při snaze dostát povinnostem kladeným na veřejnoprávní korporace nařízením GDPR svépomocí je zde nutnost obsazovat jednotlivé nově vzniklé pozice a funkce pramenící z implementace nařízení GDPR prostřednictvím výběrových řízení pořádaných obcí, což značně zvýší finanční i časovou náročnost celého procesu, s ohledem na potřebu zaškolení nových zaměstnanců a jejich zapracování.

Kterou cestou se vydat nebude snadné rozhodnout, nicméně volbu je třeba učinit co nejdříve. Obce v závislosti na metodických pokynech Ministerstva vnitra ČR budou povinny pověřence pro ochranu osobních údajů jmenovat. Není přitom nutné, aby pověřenec byl zároveň zaměstnancem. Funkci pověřence tak pro obce může vykonávat i externí subjektu na základě smlouvy o poskytování služeb.

Externí subjekt zastávající funkci pověřence musí být vybírán vždy na základě zadávacího řízení. Dle interních pokynů obce se bude jednat o veřejnou zakázku malého rozsahu, pročež tato zakázka bude mimo režim zákona
č. 134/2016 Sb., o zadávání veřejných zakázek. Hodnota zakázky se bude odvislá od velikosti obce.

Ať už se obce rozhodnou pro interního pověřence pro ochranu osobních údajů, či delegují tuto činnost na externí společnosti, je třeba se s ohledem na krátký čas zbývající do účinnosti nařízení GDPR (květen 2018) začít rozhodovat již nyní.

Výše sankce za porušení povinností pramenících z nařízení GDPR pro veřejnoprávní korporace nebyla v České republice zatím stanovena, ovšem lze usuzovat, že bude obdobná obecné sankci zakotvené v nařízení GDPR, která činí až 20 milionů EUR. Případný spor o náhradu škody za porušení povinností při ochraně osobních údajů fyzických osob tak může mít pro obce fatální následky.