Ministerstvo vnitra vydalo metodický materiál pro obce k obecnému nařízení o ochraně osobních údajů známé jako GDPR, které má začít platit v květnu 2018. Již příští týden budou v Brně a v Praze zástupci obcí a měst o dopadech nové normy diskutovat.
Slib daný náměstkem ministra pro řízení veřejné správy Petrem Mlsnou na květnovém Sněmu Svazu měst a obcí v Plzni byl konečně naplněn. Tedy alespoň ta část, v níž tvrdil, že ministerstvo vnitra připraví manuál pro obce a pro města k GDPR. Ten byl vytvořen a je k dispozici všem zájemcům. Vnitro připravilo „Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí“, v němž jsou na 23 stranách rozebírány dopady nařízení na města a obce v České republice. Příští týden o materiálu budou diskutovat členové Svazu měst a obcí na konferencích v Brně (12. 9.) a v Praze (15. 9.)
Zdaleka se však nenaplnila Mlsnova slova o tom, že se nové povinnosti nebudou zdaleka týkat všech. Ve zmiňovaném materiálu vydaném ministerstvem vnitra se píše: „Ode dne 25. května 2018, kdy se obecné nařízení stane bezprostředně účinné a aplikovatelné ve všech členských státech Evropské unie, jsou mimo jiné všechny obce povinny mít tzv. pověřence pro ochranu osobních údajů a plnit další povinnosti s tímto související. Každou obec je totiž nutné chápat jako „orgán veřejné moci“ ve smyslu čl. 37 obecného nařízení, jemuž povinnost zřídit funkci pověřence ukládá.“
V materiálu jsou shrnuta základní pravidla pro zajištění činnosti pověřence v bodech:
- Pověřence musí mít
- každá obec
- každá instituce rozhodující o právech a povinnostech osob (např. školy)
- instituce či subjekty, jejichž hlavní činnost vyžaduje pravidelné a systematické monitorování subjektů údajů ve velkém měřítku (např. provozovatelé městské hromadné dopravy, kteří provádějí evidenci cestujících) o instituce, jejichž hlavní činnost spočívá v rozsáhlém zpracování citlivých údajů (např. nemocnice nebo jiná velká zdravotnická nebo sociální zařízení)
- Pověřence nemusí mít městské knihovny, technické správy komunikací nebo jiné organizace, jejichž hlavní činností není pravidelné a systematické monitorování subjektů údajů ve velkém měřítku, ani rozsáhlé zpracování citlivých údajů
- Pověřenec má být kvalifikovanou osobou, znalou právních předpisů na ochranu osobních údajů (včetně důkladné znalosti nařízení)
- Pověřencem může být buď pracovník (tj. zaměstnanec obce), nebo externě spolupracující osoba (např. advokát nebo advokátní kancelář)
- Pověřence je možné sdílet, jinými slovy, jedna osoba může vykonávat funkci pověřence pro více obcí nebo povinných subjektů společně (tzn. jedna osoba může plnit úkoly pověřence jak pro obec a jí zřízené instituce, tak i pro několik obcí)
- Pověřenec má být nezávislý a nestranný, a proto nařízení mj. požaduje, aby:
- pověřenci nebyly udíleny žádné pokyny týkající se plnění jeho úkolů podle
- nařízení
- pověřenec nebyl pro plnění svých úkolů propuštěn ani sankcionován
- plnění jiných úkolů pověřence nevedlo ke střetu jeho zájmů
- Pověřenec musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele, resp. mít přímý přístup k vedení obce či příslušné organizace
- Pověřenec pomáhá zajišťovat soulad činnosti zpracovatele nebo správce s právními předpisy na ochranu osobních údajů
- Pověřenec musí být snadno dosažitelný pro obec, Úřad pro ochranu osobních údajů i veřejnost
Pověřencem nemůže být osoba, která nesplňuje kvalifikační požadavky dané nařízením (čl. 37 odst. 5), resp. osoba, která nemá odpovídající znalosti práva a praxe ochrany osobních údajů. Dále jím nesmí být osoba, která úkoly pověřence nemůže reálně plnit, zejména nelze-li u ní zajistit nařízením předpokládanou nezávislost a neexistenci střetu zájmů.
Dále je podle metodického pokynu důležité, aby u dané osoby bylo možné zajistit „nezávislost“ podle čl. 38 odst. 3 nařízení. „Nařízení mimo jiné předpokládá, že správce bude přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. To mimo jiné vylučuje, aby pověřencem byli samotní vrcholoví řídící pracovníci správce nebo zpracovatele. V podmínkách obcí to znamená, že pověřencem nemůže být starosta, místostarostové ani tajemník obecního úřadu. Pověřencem však mohou být vedoucí odborů či oddělení, případně jiní zaměstnanci, kteří nevykonávají pracovní činnosti, které by vedly ke střetu jejich zájmů (srov. otázku a odpověď č. 11). U těchto zaměstnanců je ovšem nutné zajistit přímou podřízenost vrcholovým řídícím pracovníkům při výkonu funkce pověřence,“ uvádí se v materiálu.
Za nesplnění povinností – tedy za nezřízení pověřence může povinnému subjektu hrozit pokuta až 10 milionů Eur. „Nařízení stanoví 23 kritéria, která musí být ze strany dozorového úřadu zohledněna při rozhodování o uložení pokuty a její výše, jako je závažnost a délka trvání porušení povinností, forma zavinění atd. (srov. článek 83 odst. 2 nařízení),“ upřesňuje materiál z dílny MV.
Jiří Reichl
O tématu GDPR jsme už psali:
GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017
Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017
GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017
Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017
Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… J
iří Reichl – 24.7.2017
Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017
Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcí Jiří Reichl – 30.8.2017
Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13…
Jiří Reichl – 24.8.2017
Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017
Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze woff – 25.5.2017
EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017
