Příprava na obecné nařízení o ochraně osobních údajů aktuální otázky GDPR tři dny před účinností nařízení EU Ostrava, 22. května 2018
Přehled metodických nástrojů Ministerstvo vnitra zveřejnilo metodické nástroje, které jsou k dispozici obcím podle jejich konkrétní situace: checklisty pro malé obce, systémové analýzy podávají návod na provedení analýzy rizik a nabízejí doporučená řešení modelových situací, metodika ke spisovým službám, vzorové dokumenty záznamy o činnostech zpracování, vzorová pravidla zpracování osobních údajů, smlouva s pověřencem pro ochranu osobních údajů, metodika ke jmenování pověřence pro ochranu osobních údajů. modelové situace použití GDPR (zveřejňovány průběžně). 2
Aktuální otázky Žijeme v době po checklistech a systémových analýzách? Poptávka po analýzách je v praxi nahrazena novými otázkami - Kdy budou zveřejněny vzorové záznamy o činnostech zpracování? - Kdy je obec správce a kdy zpracovatel údajů v AIS. - Musí mít základní umělecká škola pověřence? - Jak má vypadat směrnice obce o ochraně osobních údajů? - Vyřizuje se žádost o přístup k údajům podle správního řádu? 3
Vzorové záznamy Soupis agend obcí I. stupně pro účely přípravy záznamů: - CzechPoint - Evidence obyvatel - Hospodaření obce (správa majetku, veřejné zakázky, nájemní vztahy, pronájem hrobových míst, ostatní soukromoprávní smluvní vztahy, dotace, návratné finanční výpomoci) - Matriky - Místní poplatky (agenda podmíněná obsahem případných obecně závazných vyhlášek obcí; do záznamu budou zahrnuty i případné poplatky za komunální odpad podle zákona o odpadech) - Ověřování 4
Vzorové záznamy Soupis agend obcí I. stupně pro účely přípravy záznamů: - Personalistika (zákoník práce, zákon č. 312/2002 Sb., obecní zřízení odměňování, orgány obce, školský zákon) - Přestupky (proti pořádku v územní samosprávě, veřejnému pořádku, občanskému soužití a majetku; agenda podmíněná obsahem případných obecně závazných vyhlášek obcí) - Sociální služby, pomoc v hmotné nouzi, veřejné opatrovnictví - Správní řízení(sběrná kategorie pro zpracování osobních údajů ve správních spisech) - Volby - Vztahy s veřejností a prezentace obce (zpravodaj, internetové stránky, kronika, poskytování informací, akce pořádané obcí) 5
6
7
8
Vybrané otázky k záznamům Budou kvůli jednotnosti taxativně stanoveny kategorie subjektů údajů, nebo si má každý správce tyto kategorie vytvářet do záznamů o činnostech zpracování sám? - Výčet kategorií subjektů údajů pro účely záznamů je neuzavřený a pestrý (např. občan obce, zaměstnanec, člen zastupitelstva obce, člen výběrové komise, rodinný příslušník zaměstnance, volič, dlužník nebo věřitel v soukromoprávním závazku, smluvní strana, účastník řízení, svědek) - Taxativně (a závazně) kategorie stanovit nelze. - Budou však zveřejňovány (nezávazné) vzorové záznamy, které sjednotí praxi obcí. 9
Vybrané otázky k záznamům Jak zpracovat záznam o činnosti zpracování pro činnosti, kde žádosti subjektů nemají žádnou pevnou formu, např. žádost o pronájem majetku? - Vzorové záznamy jsou koncipovány tak, aby byly na formulářích podání v zásadě nezávislé používají se kategorie údajů, např. základní identifikační údaje, údaje nezbytné pro. Bylo by případně možné zbavit obce povinnosti zpracovávat záznamy o činnostech zpracování v agendách přenesené působnosti, vzhledem k tomu, že jsou tyto činnosti stanovené zákony? - čl. 30 GDPR se vztahuje na jakákoli systematická zpracování, včetně zpracování podle čl. 6 odst. 1 písm. c); členské státy nemají možnost se od ustanovení odchýlit v adaptačních zákonech; výjimka by musela být provedena přímo změnou GDPR. 10
Správce a zpracovatel V jaké roli (správce či zpracovatel) jsou obecní úřady obcí s rozšířenou působností (ORP) u agend v přenesené působnosti, které vykonávají v centrálním agendovém informačním systému? Registr řidičů 119 zákona o silničním provozu správcem ISVS je ORP. Registr vozidel 4 zákona o podmínkách provozu vozidel na pozemních komunikacích správcem ISVS je Ministerstvo dopravy; ORP zapisuje/poskytuje údaje ( 5) z pohledu zákona o ISVS je ORP uživatelem registru; z pohledu GDPR je správcem údajů (nelze dovodit postavení zpracovatele) není to totéž jako správce registru. 11
Správce a zpracovatel Evidence obyvatel - 3 zákona o evidenci obyvatel správcem ISEO je Ministerstvo vnitra; ORP zapisuje údaje a využívá údaje z pohledu zákona o ISVS je uživatelem ISEO; z pohledu GDPR je správcem údajů. Živnostenský rejstřík - 60 živnostenského zákona správcem je Živnostenský úřad ČR; krajské živnostenské úřady a obecní živnostenské úřady jsou provozovateli ve smyslu zákona o ISVS; jejich postavení je z materiálního hlediska srovnatelné s postavením zpracovatele ve smyslu GDPR jsou zpracovateli osobních údajů. Co to znamená prakticky nic moc: - V případech, kdy postavení zpracovatele vyplývá ze zákona, nikdy nebude potřeba smlouva není nutné ji řešit. - Zpracování v AIS je plněním povinnosti, obec dělá, jen co jí ukládá zákon. - Údaje musí obec chránit před zneužitím tak jako tak. 12
Pověřenec v ZUŠ 165 odst. 2 školského zákona Ředitel školy a školského zařízení rozhoduje o právech a povinnostech v oblasti státní správy v těchto případech: a) zamítnutí žádosti o IVP, žádosti o přeřazení do vyššího ročníku, b) přijetí dítěte do MŠ, ukončení předškolního vzdělávání, c) zamítnutí žádosti o odklad povinné školní docházky, d) převedení žáka do odpovídajícího ročníku základní školy, e) přijetí k základnímu vzdělávání, přestup žáka, f) přijetí ke vzdělávání v SŠ, VOŠ a konzervatoři, g) zamítnutí žádosti o přestup, změnu oboru, opakování ročníku, h) zamítnutí žádosti o pokračování v základním vzdělávání, i) podmíněné vyloučení, vyloučení ze školy, školského zařízení, j) zamítnutí žádosti o uznání dosaženého vzdělání, k) povolení a ukončení individuálního vzdělávání. 13
Vzorová pravidla ochrany osobních údajů Základní pravidla postupů souvisejících se zpracováním osobních údajů vzorový dokument pro malé obce na webu mvcr.cz/gdpr. Malá obec nepotřebuje směrnici. Hodí se jí soubor pravidel k využití pro informaci zastupitelů, poučení zaměstnanců, zapracování do interních dokumentů a smluv. Zákonnost zpracování, řízení přístupu k osobním údajům. Zabezpečení osobních údajů zámky, hesla, přenosná technika, šifrování. Evidence, záznamy, úkoly pověřence. Naplňování práv subjektů údajů. 14
Právo na přístup k údajům Čl. 15: Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: účely zpracování, kategorie údajů, příjemci, plánovaná doba uložení, případné právo na výmaz, právo podat stížnost, informace o zdroji údajů a zda dochází k automatizovanému zpracování. 15
Právo na přístup k údajům Čl. 12 proces: Lhůta pro vyřízení bezodkladně, nejdéle do měsíce. Lze prodloužit až o 2 měsíce a informovat. Vyhovět se musí bezplatně. Jsou-li žádosti nedůvodné, nepřiměřené, zejména opakují-li se, lze buď stanovit poplatek na administrativní náklady, nebo odmítnout. Postupuje se podle obecného nařízení (ne podle správního řádu stanovisko na webu) - právo na přístup k údajům není veřejné subjektivní právo. Lze je uplatnit vůči obci, ale též vůči e-shopu, obchodnímu řetězci, praktickému lékaři automobilce atd. 16
Právo na přístup k údajům Musí být vždy poskytnuty kopie osobních údajů (čl. 15 odst. 3)? - Záleží na formulaci žádosti subjektu údajů pokud je zřejmé, že žádá kopie, pak ano. Pokud zjišťuje, jaké údaje správce zpracovává, lze doporučit jít nejdříve úspornější cestou a potvrdit, jaké údaje a pro jaké účely jsou zpracovávány; další řešit v komunikaci s žadatelem; Je potřeba vždy ověřit totožnost subjektu údajů (např. na písemné žádosti vyžadovat ověřený podpis)? - Ne. Je však nutné zajistit, že se údaje nedostanou k někomu jinému. Tedy např. doručovat do vlastních rukou. 17
Projednávání adaptačních zákonů Zákon o zpracování osobních údajů tisk 138. Změnový zákon tisk 139. Po prvním čtení jsou tisky 138 a 139 projednávány ve výborech Poslanecké sněmovny. Garančním výborem je ústavně právní výbor. Kdy budou zákony ve všech výborech projednány, zatím není zřejmé. O návrzích zákonů však již jednal mj. výbor pro veřejnou správu a regionální rozvoj, kde byly uplatněny 2 pozměňovací návrhy zajímavé z pohledu územních samosprávných celků. V. Kovářová a J. Vildumetzová navrhly moderaci pokut ukládaných územním samosprávným celkům a jimi zřizovaným právnickým osobám. 18
Projednávání adaptačních zákonů Ministerstvo vnitra podporuje pozměňovací návrh poslankyně J. Vildumetzové, která navrhuje, aby se snížená horní sazba pokuty 5000 Kč vztahovala na: obce I. a II. stupně, dobrovolné svazky těchto obcí, příspěvkové organizace zřizované obcemi I. a II stupně a dobrovolnými svazky těchto obcí, právnické osoby vykonávající činnost školy nebo školského zařízení (právní formy příspěvkové organizace a školské právnické osoby) zřizované kterýmkoli územním samosprávným celkem nebo svazkem obcí. 19
DĚKUJI ZA POZORNOST