< návrat zpět

... státní správa

Co se změní pro obce:

GDPR ve státní správě je nevyhnutelná povinnost. Jelikož jsou obce orgány samosprávy a veřejné moci a zpracovávají velké množství osobních údajů, vztahuje se na ně nové nařízení GDPR v plném rozsahu. Obec musí být schopna prokázat, že její technická a organizační opatření k ochraně dat jsou funkční. 

Data zpracovávaná obcemi jsou zejména registry obyvatel, plátců daní nebo poplatků apod., kde obce uchovávají osobní údaje ze zákonem stanovených důvodů. Obce jsou ale i zaměstnavatelé a jako takové pracují s osobními daty svých zaměstnanců. Navíc pracují i s osobními daty, které zpracovávají z jiných důvodů, jako jsou seznamy jubilantů nebo záznamy z pouličních kamer. Nesmíme samozřejmě zapomínat ani na obchodní korporace, jejichž vlastníky jsou obce, a které bezpochyby také zpracovávají osobní údaje. I na ně se Nařízení vztahuje.

Nařízení se dotkne i ochrany těch údajů, o nichž to nemusí být na první pohled patrné, jelikož údaje o tom, které z dětí navštěvuje kterou školu či mateřskou školku, či údaje o poskytování sociálních služeb jsou jasnými identifikátory, podle nichž lze identifikovat konkrétní osobu, a jsou tak považovány za osobní údaje.

Metodické doporučení k činnosti obcí: 

vydalo Ministerstvo vnitra 10. sprna 2017 a není vyloučeno, že se bude v průběhu zavádění GDPR ještě dále upravovat. Tato pomůcka shrnuje nejzásadnější pojmy a změny, které GDPR přináší. Předpokládáme ale, že o většině z nich jste již slyšeli a úplně nové vám připadat nebudou. Detailně a poprávu se však věnuje roli Pověřence, což je bezesporu pojem, který obce zajímá nejvíce. Roli DPO však nelze chápat samostatně. GDPR přináší změnu ve vnímání osobních údajů a nakládání s nimi ve zcela ojedinělém rozsahu. 

Informace, které obce zpracovávají, by měly :

  • být šifrované
  • být dostupné pro subjekt údajů
  • mít možnost být smazány, či upraveny. 

Nové povinosti obcí: 

  • informovat fyzické osoby o způsobu nakládání s jejich osobními údaji 
  • povinnost jmenovat pověřence pro ochranu osobních údajů 
  • vést záznamy o činnostech zpracování

Některé informace jsou ale velmi specifické a řadí se do zvláštních kategorií. Měly by tedy podléhat zvláštním opatřením, protože pro ně platí přísnější pravidla. Jedná se například o údaje o zdravotním stavu, nebo údaje o dětech, na které se bere v rámci GDPR zvláštní ohled. 

Interní vs. externí DPO: 

Obě možnosti mají své výhody a zároveň svá úskalí. Výhodou je, že komerční poskytovatel služeb na poli GDPR přebírá odpovědnost za poskytované služby, má k dispozici zaškolený personál a odborníky. Úskalím se naopak může zdát právě samotná podstata nařízení. Externí poskytovatel služeb bude oprávněn – a ve většině případů bude muset – nahlížet do interních dokumentů a prohlížet veškeré osobní údaje, s nimiž obec pracuje a která spravuje.

Pověřenec, ať už interní nebo externí, dohlíží na dodržování pravidel, vymezuje zpracování osobních údajů, analyzuje a kontroluje soulad s nařízením GDPR. U malých obcí, které mají ve svých řadách málo zaměstnanců, je lepší volbou externí DPO, se kterým ušetří nejen čas, ale i většinu nákladů. Navíc tím efektivně zajistí důležitou podmínku - jejich DPO nebude ve střetu zájmů. 

V zásadě by obce měly postupovat obdobně jako subjekty v jiných odvětvích. Nezbytné je tedy provést analýzu spravovaných dat a přistoupit ke změnám v systémech. Samozřejmostí je pak úprava dokumentace tak, aby výsledek zaručil, že budou GDPR compliant...