Pomoc obcím při naplňování GDPR - postřehy z konzultačních setkání Právní konference SMO ČR duben 2018
WP 29: Souhlas se zpracováním osobních Souhlas zůstává jedním ze šesti právních základů pro zpracování osobních údajů vyjmenovaných v článku 6 Obecného nařízení. Správce si při spouštění činnosti zahrnující zpracování osobních údajů musí vždy udělat čas na posouzení, zda je souhlas vhodným zákonným důvodem pro zamýšlené zpracování nebo jestli by měl být zvolen jiný právní základ. (Vodítka k souhlasu podle Nařízení 2016/679) 2
Čl. 6 odst. 1 GDPR - zákonnost zpracování: a) subjekt údajů udělil souhlas se zpracováním; b) zpracování je nezbytné pro splnění smlouvy, nebo pro provedení opatření před uzavřením smlouvy; c) zpracování je nezbytné pro splnění právní povinnosti správce; d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci; f) zpracování je nezbytné pro účely oprávněných zájmů. 3
Ministerstvo vnitra se v rámci informační kampaně (která je podobně jako antivirové programy vždy krok za dezinformační kampaní) potkává se zástupci obcí na seminářích a poradách, z nichž čerpá inspiraci a poznatky z praxe. V dubnu 2018 uspořádalo MV ČR 13 krajských seminářů za účasti ÚOOÚ a Akademie GDPR. Tato metodická setkání protříbila pohled na aplikaci souhlasů se zpracováním osobních údajů v praxi územních samosprávných celků. 4
Otázka Kdy obec potřebuje souhlas se zpracováním osobních údajů? se postupně mění na otázku Potřebuje obec vůbec souhlas se zpracováním osobních údajů? Již od počátku metodické kampaně se poměrně těžko hledala zpracování založená na souhlasu. Postupně však berou za své i dva nejoblíbenější příklady. 5
Fotografování na obecních akcích: Dlouho byla tradována konstrukce mlčky uděleného souhlasu se zpracováním osobních údajů podle GDPR v souvislosti s fotografováním na akcích pořádaných obcí. Nově se prosazuje představa, že zde k udělení souhlasu podle GDPR ve většině případů nemusí vůbec docházet. Odkazuje se na občanský zákoník: 84 Zachytit jakýmkoli způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením. 6
Souhlas (GDPR) x Svolení (občanský zákoník) 84 (1) Rozšiřovat podobu člověka je možné jen s jeho svolením. (2) Svolí-li někdo k zobrazení své podoby za okolností, z nichž je zřejmé, že bude šířeno, platí, že svoluje i k jeho rozmnožování a rozšiřování obvyklým způsobem, jak je mohl vzhledem k okolnostem rozumně předpokládat. Zpětvzetí svolení může být spojeno s úhradou nákladů. 7
Novinářská licence: 89 - Podobizna nebo zvukový či obrazový záznam se mohou bez svolení člověka také pořídit nebo použít přiměřeným způsobem též k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství. Občanský zákoník řeší většinu situací souvisejících s fotografováním obecních akcí do obecního zpravodaje, jak v tištěné, tak on-line formě. 8
Prosazuje se názor, že výše uvedené situace nejsou zpracováním osobních údajů, a tedy ani nemá smysl hovořit o souhlasu. O zpracování osobních údajů naopak půjde tam, kde třeba obec jako zaměstnavatel pořizuje fotografie zaměstnanců pro účely zveřejnění v sekci kontaktů na internetových stránkách nebo pro účely přístupu do budovy úřadu. Ani zde však nebude zapotřebí souhlasu, pokud vycházíme z toho, že se tak děje ve veřejném zájmu nebo v oprávněném zájmu obce jako správce osobních údajů. 9
SMS zpravodajství SOUBOJ PRÁVNÍCH DŮVODŮ Čl. 6 odst. 1 písm. a) GDPR souhlas. Čl. 6 odst. 1 písm. b) GDPR plnění smlouvy. Požadavky na prokazatelnost však v zásadě budou pro obě varianty znamenat obdobné náležitosti. Jasně vymezené subjekty, rozsah údajů a účel forma a rozsah poskytované služby. I výsledek je podobný, včetně odvolatelnosti souhlasu = vypověditelnosti smlouvy. 10
Vztah správce a zpracovatele Vztah správce a zpracovatele zná již zákon č. 101/2000 Sb. Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. GDPR nově upravuje náležitosti smlouvy správce a zpracovatele (čl. 28 odst. 3). Pokud obec má takové smlouvy uzavřeny, je vhodné provést jejich revizi. 11
Vztah správce a zpracovatele Smlouva zejména stanoví, že zpracovatel: a) zpracovává údaje pouze dle doložených pokynů správce; b) zajišťuje mlčenlivost; c) přijme všechna opatření k zabezpečení zpracování; d) dodržuje podmínky pro zapojení dalšího zpracovatele; e) a f) je správci nápomocen pro splnění povinností; g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení služeb; h) poskytne správci informace potřebné k doložení toho, že byly splněny povinnosti, a umožní audity, včetně inspekcí. 12
Vztah správce a zpracovatele Externí personalistika/mzdová agenda/bozp ANO Dodavatel software helpdesk NE Tiskárna při zpracování obecního zpravodaje NE Správa kanalizací, a.s., uzavírá-li svým jménem a na svůj účet smlouvy k užívání majetku města NE Poskytování GPS dat o vozech obecní policie obci NE Zastoupení města při uzavírání nájmů hrobových míst NE Sjednávání nájemních smluv na obecní byty pro město, včetně vedení evidence zájemců - ANO 13
DĚKUJEME ZA POZORNOST