Přehled novinek z oblasti GDPR pro obce

Zpracování osobních údajů zaměstnanců při poskytování zaměstnaneckých benefitů

Zpracování osobních údajů zaměstnanců při poskytování různých zaměstnaneckých benefitů vychází z dohody zaměstnavatele se zaměstnancem o poskytnutí benefitu, v rámci které se zaměstnavatel zaváže k poskytnutí daného benefitu. Pokud zaměstnanec projeví o benefit zájem, dochází k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, tj. i k předání osobních údajů zaměstnance případnému dalšímu příjemci – poskytovateli služby, pokud je jím benefit zajišťován.

Úřad pro ochranu osobních údajů ve svém vyjádření jednoznačně uvedl, že právním důvodem pro předmětné zpracování osobních údajů zaměstnance při poskytování benefitů je článek 6 odst. 1 písm. b) Nařízení GDPR, tedy plnění smlouvy, a to i v případě, že k poskytnutí benefitu se zaměstnavatel zavázal v kolektivní smlouvě či právo na benefity stanovil v rámci vnitřního předpisu zaměstnavatele.

V závislosti na různých druzích benefitů je nutné podle čl. 13 Nařízení GDPR poskytnout zaměstnancům adekvátní informaci o nutném předání osobních údajů poskytovateli benefitu a též i o rozsahu, v jakém budou předány, nicméně není nutné ani vhodné s takovým předáním vyžadovat souhlas zaměstnance, neboť právním důvodem zpracování není souhlas, ale plnění uzavřené smlouvy.

Monitorování e-mailů zaměstnanců zaměstnavatelem

Zaměstnavatel není oprávněn sledovat, monitorovat a zpracovávat obsah korespondence svých zaměstnanců. Zaměstnavatel případně smí u svých zaměstnanců pouze sledovat počet došlých a odeslaných e-mailů, případně (tj. zejména vznikne-li podezření ze zneužití pracovních prostředků, resp. využití k jiným než pracovním účelům) včetně hlavičky, tj. komu píší a od koho je dostávají. Tato činnost je zpracováním osobních údajů zaměstnance, byť za uvedených podmínek oprávněným zpracováním, a je tedy nezbytné dodržovat všechny zákonem stanovené povinnosti.

Monitorování e-mailů zaměstnanců z pohledu ochrany osobních údajů:

  • Zaměstnavatel nesmí vstupovat do soukromé e-mailové schránky svého zaměstnance a seznamovat se s e-maily v ní obsaženými, jelikož by takovým jednáním porušil právo zaměstnance na soukromí (resp. listovní tajemství).
  • Zaměstnavatel smí kontrolovat obsah, např. v rámci DLP nebo jiných automatizovaných prostředků (hromadné scanování nežádoucích informací – slova, čísla apod.).
  • Při podezření na trestnou činnost lze dožádat Policii ČR, která obsah schránky převezme pro posouzení.
  • Pokud by chtěl zaměstnavatel použít záznamy elektronické pošty jako důkaz v pracovněprávním sporu se zaměstnancem o neplnění pracovních povinností, měl by být tento důkaz v kontextu zásady ochrany soukromí zaměstnance nepřípustný a soud by k němu neměl přihlédnout.
  • Výše uvedená praxe by měla být ukotvena vnitřním předpisem a zaměstnanci by o ní měli být (alespoň formou zveřejnění tohoto vnitřního předpisu) informováni.
  • V předpise by měly být definovány situace, kdy k takovému nahlížení může dojít a kdo o něm může rozhodnout.
  • V případě ukončení pracovního poměru zaměstnance má být e-mailová schránka zrušena (a např. zajištěna automatická odpověď odesílateli). Je nepřípustné aktivně odpovídat na došlé e-maily jakékoli povahy přímo z dotčené soukromé e-mailové adresy.

Vliv novely informačního zákona na ochranu osobních údajů

V Poslanecké sněmovně se nachází dva návrhy novely zákona č. 106/1999 Sb., o svobodném přístupu k informacím, který stanovuje pravidla pro poskytování informací a práva svobodného přístupu k těmto informacím.

První návrh novely – návrh Ministerstva vnitra si klade za cíl ulehčit povinným subjektům poskytování informací prostřednictvím opatření, která budou jednak účinně bránit zneužití práva na informace na straně žadatelů, jednak povedou k usnadnění vyřizování žádostí o informace. Novela zákona řeší zejména následující změny:

  • zveřejnění poskytované informace způsobem umožňujícím dálkový přístup nejméně po dobu tří let (dosud tato doba nebyla nijak upravena), týká se pouze poskytnuté informace, nikoliv osobních údajů žadatele nebo třetích osob uvedených v poskytnuté informaci;
  • rozšíření ochrany informací ohledně poměrů osob (nikoliv již jen majetkových) a tedy rozšíření i obligatorních důvodů, jež povinnému subjektu zakazují poskytnout informaci;
  • výslovné vyloučení základních osobních údajů příjemce veřejných prostředků ze zveřejňovaných odpovědí;
  • možnost odmítnout poskytnutí informace z důvodu nátlaku či nepřiměřené zátěže pro povinný subjekt, nebo pokud povinný subjekt nemá zákonnou povinnost informaci mít;
  • za odmítnutí poskytnutí informace se nepovažuje neposkytnutí osobních údajů, obchodního či bankovního tajemství;
  • neposkytnutí informace v případech, kdy poskytnutí informace může ohrozit rovnost účastníků soudního, rozhodčího, správního nebo obdobného řízení;
  • oprávnění povinného subjektu požadovat zálohu na náklady (výše zálohy by neměla přesáhnout 60 % odhadovaných nákladů spojených s vyhledáním informací a její max. výše zároveň bude moci dosáhnout pouze částky 2.000,- Kč).

Druhý návrh novely zákona vychází ze směrnice Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003, o opakovaném použití informací veřejného sektoru. Tato novela zákona řeší zejména detailní vymezení povinných subjektů, definici otevřených dat a dynamických dat, povinnost evidence otevřených dat, definici registru a umožnění dálkového přístupu k datům v nich obsažených a jejich označení za otevřená data, definici datových souborů s vysokou hodnotou, úpravu licenčních smluv k poskytování informací a práv vlastníků databáze atd.

Správa sociálních sítí s ohledem na ochranu osobních údajů

V současné době většina organizací / společností využívá ke své prezentaci, marketingu či externí komunikaci různé sociální sítě (Facebook, LinkedIn, Twitter, Instagram atd.). Je nezbytné, aby organizace / společnost dodržovala při správě účtu dané sociální sítě bezpečnostní pravidla a tím minimalizovala riziko porušení zabezpečení osobních údajů.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) doporučuje dodržovat základních 18 pravidel pro správu sociálních sítí, protože neodborně spravovaná sociální síť může být otevřenou bránou, přes kterou se potencionální útočník může dostat jak k osobním údajům, jež správce sociální sítě zpracovává o svých zaměstnancích, dodavatelích či zákaznících, tak i k jiným důvěrným interním informacím organizace / společnosti.

Doporučení NÚKIB ke správě účtu na sociální síti:

  • Pojmenovat oficiální účet organizace na sociální síti stejným či jasně ztotožnitelným názvem s danou organizací.
  • Oficiální účet na sociální síti vést ve správě a vlastnictví organizace tak, aby v případě personálních změn nemuselo docházet k zakládání nových účtů či jejich přejmenovávání, které je často problematické.
  • Jasně definovat přístupová práva vč. určení zastupitelnosti.
  • Zaregistrovat na sociálních sítích i alternativní názvy oficiálních účtů organizace.
  • Pro přístup do účtu používat dvoufaktorovou autentizaci (je-li to možné).
  • Pro účet vytvořit speciální e-mailovou adresu, která bude používána výhradně a pouze pro jeho správu. Do předmětného e-mailového účtu přistupovat ze zabezpečené sítě a zařízení.
  • Nepoužívat soukromá zařízení k přihlašování k oficiálnímu účtu organizace.
  • Dodržovat politiku bezpečné tvorby a užívání hesel.
  • Pro přihlašování nepoužívat odkazy v e-mailu či zkracovače URL.
  • Nepřihlašovat se prostřednictvím nezabezpečených či neznámých WiFi sítí.
  • Pro přihlašování mimo kancelář využít služby VPN.
  • Pravidelně aktualizovat jak zařízení, z nichž se zástupce organizace přihlašuje, tak i aplikace, jejichž prostřednictvím sociální sítě spravuje.
  • K přistupování k účtu používat pouze důvěryhodné aplikace z oficiálních zdrojů (např. Google Play nebo App Store).
  • Zajistit status ověřeného účtu.
  • Provádět pravidelné kontroly a audity dodržování výše uvedených pravidel.
  • Kontrolovat, zda se osoba pracující se sociální sítí z účtu bezpečně odhlásila.
  • Nastavit politiku užívání sociálních sítí, která obsahuje i výše uvedená pravidla.
  • Mít zpracovaný plán, jak postupovat v případě incidentu (např. při ztrátě přístupu k účtu).

Doložení právního titulu u osobních údajů zpracovávaných zpracovatelem

Nejvyšší správní soud zamítl kasační stížnost společnosti SMS finance, a.s. proti rozhodnutí Městského soudu v Praze, ve kterém pro nedůvodnost zamítl správní žalobu této společnosti proti rozhodnutí Úřadu pro ochranu osobních údajů.

V předmětném rozhodnutí ÚOOÚ bylo společnosti SMS finance, a.s. uloženo provést výmaz osobních údajů fyzických osob, vůči kterým je v postavení správce, a k jejichž zpracování nedoložila adekvátní právní titul podle čl. 6 Nařízení GDPR. Jednalo se zejména o osobní údaje získané prostřednictvím vázané zástupkyně této společnosti (spolupracovnice poskytující a propagující služby jménem společnosti), která oslovila potenciálního klienta na základě dat získaných bez řádného právního titulu.

Nejvyšší správní soud ve svém rozsudku potvrdil závěr ÚOOÚ, že společnost je v postavení správce i ve vztahu k osobním údajům, jež pro ni zpracovávají samostatní zprostředkovatelé, neboť určila účel tohoto zpracování. Nejvyšší správní soud ve svém odůvodnění konstatoval, že i když zpracovatel osobních údajů ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch vyvíjí činnost.

Správci klíčových informačních systémů musí zabezpečit své e-mailové schránky

Jak jsme vás opakovaně informovali, důrazně nedoporučujeme využívat e-mailovou komunikaci pro předávání osobních údajů mimo doménu organizace / společnosti.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 11. října 2021 opatření obecné povahy stanovující tzv. ochranné opatření podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti – opatření stanovuje způsoby zvýšení ochrany informačních systémů, služeb a sítí elektronických komunikací.

Dle tohoto ochranného opatření budou muset správci a provozovatelé informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, zabezpečit své e-mailové schránky. Komunikace prostřednictvím e-mailu je velmi rozšířená a v podstatě nezastupitelná, ale bohužel nepatří k nejbezpečnější formě komunikace. Z tohoto důvodu NÚKIB vypracoval sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení.

Opatření je povinné pro řadu institucí, které spadají pod zákon o kybernetické bezpečnosti (ministerstva, významné úřady, kraje vč. hl. m. Prahy atd.), a dotýká se i subjektů soukromého sektoru, u nichž by fungování elektronické pošty mohlo mít vliv na řádné poskytování jejich služeb.

Ministerstva, úřady a společnosti mají na zavedení tohoto opatření různě dlouhé lhůty. Státní instituce musí některá opatření zavést již k 1. lednu 2022, další pak k začátku předsednictví ČR v Radě EU, tedy do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od 1. ledna 2023.

Způsoby zvýšení zabezpečení jsou popsány v samotném textu ochranného opatření https://www.nukib.cz/download/uredni_deska/2021-10-08_OchranneOpatreni_final.pdf. NÚKIB zároveň vydal podrobnou metodiku (viz https://www.nukib.cz/download/uredni_deska/2021-10-08_Metodika_final.pdf), která slouží jako návod k zavedení zvýšení ochrany e-mailové komunikace.

Dotace na kybernetickou bezpečnost

V prvním čtvrtletí roku 2022 je plánována dotace na kybernetickou bezpečnost. Cílem dotace bude zabezpečit informační systémy veřejné správy a ochránit tak data, která jsou v nich uložena. Z dotace bude možné pořídit hardware a software naplňující opatření vyhlášky k zákonu č. 181/2014 Sb., o kybernetické bezpečnosti.

Pro podání žádosti o podporu bude klíčové zpracování Studie proveditelnosti, jejíž součástí je popis výchozího stavu IT infrastruktury organizace a popis návrhu řešení. Náklady na zpracování Studie proveditelnosti a analýz jsou uznatelným výdajem projektu.

V případě Vašeho zájmu o zpracování Studie proveditelnosti a žádosti o podporu nás prosím kontaktujte na e-mailové adrese equica@equica.cz. Doporučujeme začít s přípravou projektu již letos, neboť se očekává velký zájem o tuto výzvu.

Revidované znění standardních smluvních doložek pro předávání osobních údajů do třetích zemí

Při předávání osobních údajů mimo Evropskou unii (tj. do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů) musí od 27. září 2021 nově uzavírané smlouvy mezi dvěma správci osobních údajů, nebo mezi správce osobních údajů a zpracovatel osobních údajů v třetí zemi obsahovat revidované standardní smluvní doložky pro předávání osobních údajů mimo EU (standardní smluvní doložka je vzorový text smlouvy schválený Evropskou komisí).

Stávající uzavřené smlouvy musí přejít na tyto revidované standardní smluvní doložky do 27. prosince 2022.

Samotný text standardní smluvní doložky (viz https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0914&qid=1623166912410 a https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0915&qid=1623166912410) nesmí být měněn nebo doplňován, povinné je pouze doplnit údaje, kde to standardní smluvní doložka vyžaduje – v textu doložek je umožněna volba z nabízených možností, doplnění např. časového období v určených polích či doplnění příloh popisujících náležitosti datového toku.

Povinnost implementovat vnitřní oznamovací systém (Whistleblowing – Ochrana oznamovatelů)

Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.

Návrh zákona o ochraně oznamovatelů zaváděl přechodné období pro implementaci do 31. března 2022. Jelikož tento zákon bohužel nebude v původně plánovaném termínu přijat, nastává povinnost zavedení tzv. vnitřního oznamovacího systému v termínu stanoveném Směrnicí (EU) 2019/1937, tedy do 17. prosince 2021, a to pro státní orgány, orgány územních samosprávných celků (orgány krajů a obcí s více než 10.000 obyvateli) a další veřejné instituce (např. VZP, veřejné vysoké školy, ČEZ atd.).

Povinnost zavést vnitřní oznamovací systém se na základě přímého účinku Směrnice (EU) 2019/1937 tedy nyní netýká škol ani dalších příspěvkových organizací měst, obcí či krajů, a to z důvodu nedostatečné vazby na stát jakožto entitu, na kterou přímý účinek Směrnice dopadá.

Společnost Equica, a.s. nabízí své služby při zavedení systému ochrany oznamovatelů a zajištění role Prošetřovatele, tj.:

  • Zhodnocení současného stavu a reálných možností organizace v oblasti zajištění ochrany Oznamovatelů.
  • Zpracování návrhu a nastavení procesu ochrany Oznamovatelů, včetně odpovídající interní dokumentace.
  • Zpracování povinně zveřejněných informací pro Oznamovatele.
  • Školení a interní osvěta ve vztahu k možnostem oznamování.
  • Zprovoznění / nastavení a správa vhodného elektronického nástroje sloužícího jako vnitřní oznamovací kanál organizace.
  • Plnění role Prošetřovatele oznámení:
    • Přijímání oznámení (elektronické, písemné, osobní) prostřednictvím vnitřního oznamovacího systému organizace.
    • Řádné posuzování důvodnosti oznámení učiněných prostřednictvím vnitřního oznamovacího systému organizace.
    • Řešení přijatých oznámení – návrh vhodných opatření vedoucích k nápravě nebo předejití protiprávnímu stavu v návaznosti na podané oznámení.
    • Informování Oznamovatele o přijetí oznámení a o výsledcích posouzení důvodnosti oznámení.
    • Bránění odvetným opatřením vůči Oznamovatelům.
    • Kontrola způsobu řešení zjištěných porušení pravidel.
    • Vedení a správa evidence přijatých oznámení a způsobu jejich řešení.
    • Zajištění archivace přijatých oznámení a způsobu jejich řešení.

Občanské průkazy z pohledu aktuálně platné legislativy

V rámci českého právního řádu byl v srpnu 2021 nahrazen zákon č. 328/1999 Sb., o občanských průkazech novým zákonem č. 269/2021 Sb.

Nový zákon č. 269/2021 Sb., o občanských průkazech upravuje práva, povinnosti a působnost na úseku občanských průkazů a naplňuje Nařízení Evropského parlamentu a Rady (EU) 2019/1157 ze dne 20. června 2019 o posílení zabezpečení průkazů totožnosti občanů Unie a povolení k pobytu vydávaných občanům Unie a jejich rodinným příslušníkům, kteří vykonávají své právo volného pohybu. Umožňuje tak, aby s tímto osobním dokladem lidé mohli nadále volně cestovat v rámci Evropské unie.

Od srpna 2021 se vydávají strojově čitelné občanské průkazy s biometrickými údaji, kterými jsou zobrazení obličeje a u občanů starších 12 let otisky prstů, uložené v nosiči dat. Tím se zajišťuje soulad s Nařízením Evropského parlamentu a Rady (EU) 2019/1157.

Nové občanské průkazy se liší od předchozího vzoru tím, že na přední straně v levém horním rohu je uveden kód země tvořený dvěma písmeny vydávajícího státu vytištěný inverzně na modrém obdélníku v kruhu tvořeném dvanácti žlutými hvězdami. Na zadní straně je vyobrazen symbol biometrických údajů. Do občanských průkazů se již nezapisují akademické tituly.

Podle § 39 nového zákona o občanských průkazech je zakázáno:

  • odebírat občanský průkaz při vstupu do objektů nebo na pozemky;
  • přijímat občanský průkaz jako zástavu;
  • pořizovat kopii občanského průkazu bez souhlasu držitele občanského průkazu;
  • zpracovávat údaje uvedené v občanském průkazu a data pro elektronické využití občanského průkazu bez souhlasu držitele občanského průkazu (je ale umožněno nahlédnutí do občanského průkazu v souvislosti s ověřováním totožnosti, které vyžaduje nebo umožňuje právní předpis).

Prokazování totožnosti a zpracování osobních údajů

Prokazování totožnosti je zákonná povinnost občana České republiky vůči orgánům veřejné moci, fyzickým a právnickým osobám (např. banky, investiční společnosti, pojišťovny, auditoři, účetní atd.) a dále v rámci soukromoprávních vztahů (např. při uzavření smlouvy, prokázání totožnosti návštěvníka objektu, který není určen k běžným návštěvám veřejnosti atd.).

Občané České republiky mohou k prokazování totožnosti využít:

  • občanský průkaz,
  • cestovní doklad,
  • jiný doklad (např. řidičský průkaz, služební průkaz), a to za předpokladu, že doklad obsahuje i podobenku svého držitele a je to druhou stranou akceptováno.

Dle Nařízení GDPR není zpracováním osobních údajů samotné zjištění totožnosti fyzické osoby na základě předloženého průkazu. Zpracováním osobních údajů je zápis / uložení získaných osobních údajů na nosič informací za účelem jejich zpracování v evidenci.

Pořízení kopie průkazu totožnosti lze buď na základě příslušného zákona, nebo na základě dobrovolného souhlasu. Vzhledem ke zneužitelnosti dokladu totožnosti ke krádeži identity fyzické osoby stanovují příslušné zákony zákaz pořizovat jakýmikoliv prostředky kopie těchto průkazů bez prokazatelného souhlasu občana, kterému byl průkaz vydán, pokud zvláštní zákon nebo mezinárodní smlouva, kterou je Česká republika vázána, nestanoví jinak. Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je přestupkem fyzické osoby, která kopii pořídila.

Při zápisu osobních údajů z průkazu totožnosti do vedené evidence je nezbytné dodržovat zásadu minimalizace údajů, tj. ukládat pouze ty údaje, které jsou pro určitý účel nezbytně potřebné. Pokud není rozsah shromažďovaných údajů výslovně stanoven aktuálně platnou legislativou, je třeba posoudit nezbytnost rozsahu shromažďovaných údajů.

Automatizované zpracování osobních údajů

Automatizované zpracování osobních údajů je prováděno úplně nebo částečně prostřednictvím informačních systémů, tj. výpočetní techniky. Aby bylo jednoznačně zřejmé jaké informační systémy zpracovávají jaké osobní údaje je vhodné, aby vznikl datový model.

Datový model graficky znázorňuje vzájemné vztahy mezi osobními údaji – datovými prvky a zároveň poskytuje informaci o tom, kde je primární zdroj těchto údajů, tzn. v jakém informačním systému informace vznikají, případně z jakého informačního systému jsou přebírány či jakému informačnímu systému jsou údaje poskytovány. Tyto informace jsou důležité pro identifikaci správy osobních údajů a i odpovědnosti za zpracování osobních údajů.

Zpracovaný datový model je zároveň klíčovým vstupem pro zpracování Informační koncepce organizace, jejíž vytvoření vyplývá ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů.

Povinnost zpracovat Informační koncepci mají všechny orgány veřejné správy, které vykonávají alespoň přenesenou působnost v základním rozsahu, tedy obce s matričním úřadem.

V případě Vašeho zájmu o bližší informace ke zpracování Datového modelu a Informační koncepce organizace nás prosím kontaktujte na e-mailové adrese equica@equica.cz.

Novela zákona o elektronických komunikacích čeká na podpis prezidenta

Sněmovna schválila 15. září 2021 novelu zákona o elektronických komunikacích, která upravuje i pravidla pro ukládání cookies a telemarketingu. Nyní novela zákona čeká na podpis prezidenta.

Novela zákona o elektronických komunikacích zavádí takzvaný OPT-IN režim pro ukládání cookies – tedy ukládání cookies jen na základě výslovného souhlasu návštěvníka webových stránek, to vše v souladu s legislativou Evropské unie. Nadále bude platit výjimka týkající se nezbytných cookies, které jsou potřeba proto, aby webové stránky, mohly být vůbec zobrazeny.

Novela zákona stanovuje i regulaci telemarketingu. Režim OPT-IN bude platit i pro telemarketing − zákazní­ky lze tedy obvolávat s nevyžádanou nabídkou pouze v případě, že s tím adresát sou­hlasil v rámci veřejných seznamů. Pokud společnost provozující telemarketing využívá svou databázi telefonních čísel na základě smluvního vztahu či oprávněného zájmu, bude moct i nadále subjekt údajů kontaktovat.

Registrační značka silničního vozidla z pohledu osobního údaje

Dle rozhodnutí Nejvyššího správního soudu může být registrační značka silničního vozidla osobním údajem, ale ne v každém případě. Registrační značka se totiž nevztahuje k vozidlu, ale k určité fyzické osobě – k vlastníkovi nebo provozovateli vozidla.

Registrační značka silničního vozidla je osobním údajem pouze v případě, existují-li jakékoli osoby nebo orgány, které by daný subjekt údajů dokázaly na základě předmětné informace – ve spojení s jimi dostupnými doplňujícími údaji – identifikovat, tj. je-li subjekt údajů pro žadatele bez dostatečných překážek ztotožnitelný.

V případě vznesení žádosti o poskytnutí informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, lze žadateli poskytnout seznam registračních značek silničních vozidel, kterým byla např. vydána karta rezidenčního parkování v konkrétní části města, ale pouze bez dalších připojených osobních údajů vlastníků vozidel, tj. bez jména a příjmení vlastníka vozidla, jeho bydliště atd.

Dotace na kybernetickou bezpečnost

V prvním čtvrtletí roku 2022 je plánována dotace na kybernetickou bezpečnost. Cílem dotace bude zabezpečit informační systémy veřejné správy a ochránit tak data, která jsou v nich uložena. Z dotace bude možné pořídit hardware a software naplňující opatření vyhlášky k zákonu č. 181/2014 Sb., o kybernetické bezpečnosti.

Pro podání žádosti o podporu bude klíčové zpracování Studie proveditelnosti, jejíž součástí je popis výchozího stavu IT infrastruktury organizace a popis návrhu řešení. Náklady na zpracování Studie proveditelnosti a analýz jsou uznatelným výdajem projektu.

V případě Vašeho zájmu o zpracování Studie proveditelnosti a žádosti o podporu nás prosím kontaktujte na e-mailové adrese equica@equica.cz. Doporučujeme začít s přípravou projektu již letos, neboť se očekává velký zájem o tuto výzvu.

Problematika zpracování osobních údajů z volně přístupných rejstříků na internetu

Státní rejstříky volně přístupné na internetu jako je např. živnostenský rejstřík, obchodní rejstřík, insolvenční rejstřík či katastr nemovitostí, jsou zdroje údajů, které mají určitou veřejnoprávní povahu (nejedná se tedy o soukromé zdroje, na nichž uživatelé zveřejňují údaje sami o sobě).

Veřejné rejstříky lze rozdělit na samotné veřejné rejstříky a na tzv. open data (informace a čísla bezplatně a volně dostupná na internetu ve strukturované a strojově čitelné podobě, která umožňuje jejich jednoduché další zpracování).

Dle rozhodnutí Úřadu pro ochranu osobních údajů lze v případě zpracování open dat uplatnit princip zpracování na základě oprávněného zájmu, ale v případě ostatních veřejných rejstříku, které nejsou open daty, je takové zpracování vyloučeno. Zpracování osobních údajů z veřejných rejstříků je dle rozhodnutí ÚOOÚ možné pouze na základě souhlasu samotného subjektu údajů.

V rámci veřejných rejstříků tedy nelze provést zákonné zpracování osobních údajů. Veřejné rejstříky umožňují pouze nahlédnutí a pořídit si z nich kopie nebo výpisy, neumožňují údaje získané z rejstříku zveřejňovat na webových stránkách organizace.

Prověření poskytovaných informací z Centrálního registru oznámení

Úřad pro ochranu osobních údajů zaslal Ministerstvu spravedlnosti ČR dopis z důvodu zjištění, zda ministerstvo v současné době poskytuje informace z Centrálního registru oznámení, příp. na základě jakého právního předpisu, v jakém rozsahu, a zda poučuje příjemce takových údajů o dalším nakládání s osobními údaji.

Tímto dopisem ÚOOÚ reagoval na informaci, podle které Ministerstvo spravedlnosti ČR zpřístupňuje podaná oznámení o střetu zájmů na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

Ústavní soud totiž svým nálezem z 11. 2. 2020 zrušil protiústavní ustanovení zákona o střetu zájmů, uplynutím 31. 12. 2020, z toho důvodu, aby nebyly majetkové poměry veřejných funkcionářů, kterými jsou i představitelé územních samosprávných celků, nekontrolovatelně přístupné komukoliv na internetu.

Dle ÚOOÚ se z hlediska ochrany osobních údajů zatím nepodařilo tuto problematiku ukotvit legislativně. Podle rozsudku Nejvyššího správního soudu z 20. 2. 2019 spadají informace o majetkových poměrech osoby do samého jádra ústavně chráněného soukromí. Podáním oznámení na základě zákona č. 159/2006 Sb., o střetu zájmů majetkové poměry veřejného funkcionáře dle soudu zásadně neztrácejí povahu soukromé informace (osobního údaje) a evidenční orgán má povinnost zpracovávat je pouze v souladu se zákonem.

Zpráva o pověsti na vyžádání orgánů činných v trestním řízení z pohledu ochrany osobních údajů

Zpráva o pověsti se vyhotovuje na základě písemné žádosti jak příslušných orgánů, tak samotných fyzických osob. Vzhledem k obsahu zprávy o pověsti, jež se mimo jiné vyjadřuje k osobnosti a chování posuzované osoby, může jejím sepsáním dojít k zásahu do osobnostních práv takové osoby.

V případě vydání zprávy o pověsti na žádost orgánu činného v trestním řízení vyplývá plnění povinnosti z trestního řádu (zákon č. 141/1961 Sb.), tj. potřeba zjištění, zda obviněný (obžalovaný či odsouzený) vede řádný život. Vydání zprávy o pověsti je tedy důvodem, který dle stanoviska Nejvyššího soudu zpravidla ospravedlňuje zásah do osobnostních práv dotčené osoby, které se zpráva týká, jestliže informace v ní uvedené nepřesahují její funkci a případný zásah do osobnostních práv dotčené osoby je nevyhnutelným průvodním jevem splnění zákonem stanovené povinnosti a je zcela přiměřený okolnostem daného případu.

Při vypracování zprávy o pověsti je tedy třeba postupovat tak, aby informace ve zprávě uvedené nepřesahovaly funkci posuzované osoby a aby případný zásah do osobnostních práv dotčené osoby byl zcela přiměřený okolnostem daného případu.

Při zpracování zprávy o pověsti na vyžádání orgánů činných v trestním řízení je nezbytné zohlednit i relevantní lhůtu („přiměřenou dlouhou dobu“) po kterou se zjišťuje, zda obviněný vede řádný život (pokud doba, ohledně níž má být zpráva vypracována, není výslovně uvedena). Doba, která je relevantní pro posouzení řádného života může být ohraničena např. zkušební dobou (podmíněného odsouzení apod.), případně dobou od právní moci odsuzujícího rozsudku do skončení výkonu trestu (obecně prospěšné práce atd.). Ale např. v případě zjištění existence polehčující okolnosti podle trestního řádu se text zákona omezuje na konstatování, že pachatel „vedl před spácháním trestného činu řádný život“.

Aktuálně platná legislativa problematiku délky posuzovaného období explicitně neřeší. V případě, že si dožádaná instituce / organizace není délkou posuzovaného období jistá, je vhodné požádat příslušný orgán činný v trestním řízení o zpřesnění posuzovaného období.

Povinnost implementovat vnitřní oznamovací systém (Whistleblowing – Ochrana oznamovatelů)

Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.

Členské státy EU mají povinnost Směrnici implementovat národní legislativou do 17. prosince 2021, návrh Zákona o ochraně oznamovatelů počítá s přechodným obdobím do 31. března 2022, kdy je povinný subjekt povinen vnitřní oznamovací systém a postupy pro oznamování a přijímání následných opatření zavést.

Společnost Equica, a.s. nabízí své služby při zavedení systému ochrany oznamovatelů a zajištění role prošetřovatele, tj.:

  • Plnění role prošetřovatele oznámení.
  • Návrh a nastavení procesu ochrany oznamovatelů, včetně odpovídající interní dokumentace.
  • Zpracování povinně zveřejněných informací pro oznamovatele.
  • Zprovoznění elektronického nástroje pro učinění anonymních podání oznamovatelem.
  • Přijímání (elektronické, písemné, osobní) podání oznamovatele a jejich prošetření (v součinnosti s odpovědnými pracovníky povinného subjektu) při zajištění, že se s oznámením budou seznamovat jen příslušné osoby a bude dodržen zákaz poskytovat údaje.
  • Řádné posouzení důvodnosti oznámení a informování oznamovatele o přijetí oznámení a o výsledcích posouzení důvodnosti oznámení.
  • Zajištění, aby vůči oznamovatelům nebyla v souvislosti s oznámením podniknuta jakákoliv forma odvetného opatření.
  • Zpracování vhodného opatření k nápravě.
  • Vedení evidence údajů o přijatých oznámeních a archivace oznámení podaných prostřednictvím vnitřního oznamovacího systému (v elektronické podobě) po dobu 5 let od jeho přijetí.
  • Školení a interní osvěta ve vztahu k možnostem oznamování.

Předávání osobních údajů do Velké Británie po ukončení brexitového přechodného období

Dva dny před uplynutím brexitového přechodného období přijala Evropská komise rozhodnutí o odpovídající ochraně osobních údajů ve Velké Británii. Velká Británie prozatím přijala stejná pravidla ochrany osobních údajů, jakými byla vázána v době členství v Evropské unii pod pravidly Nařízení GDPR.

Rozhodnutí Evropské komise o odpovídající ochraně osobních údajů ve Velké Británii má však omezenou platnost čtyři roky (poté bude nutný nový přezkum). Poprvé v historii tedy Evropská komise přistoupila k implementaci tzv. „sunset clause“, tedy doložky o ukončení platnosti a účinnosti daného rozhodnutí po uplynutí stanovené doby.

Nové standardní smluvní doložky pro předávání osobních údajů do třetích zemí

Evropská komise v červnu 2021 vydala nová prováděcí rozhodnutí, která obsahují zaktualizovanou verzi standardních smluvních doložek pro předávání osobních údajů mimo EU – do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů. V rámci aktualizace původní verze standardních smluvních doložek došlo k zjednodušení jejich obsahu i použití, standardní smluvní položky se sjednotily a přizpůsobily obsahu a požadavkům GDPR (viz https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0914&qid=1623166912410 a https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0915&qid=1623166912410).

Standardní smluvní doložka je vzorový text smlouvy schválený Evropskou komisí, kterou mezi sebou uzavřou zainteresované strany, tj. správci osobních údajů mezi sebou, nebo správce osobních údajů a zpracovatel osobních údajů v třetí zemi apod.

Důležité je nezapomenout, že smluvní vztah ošetřující předávání osobních údajů do třetí země s nedostatečnou úrovní ochrany osobních údajů musí zahrnovat nejen standardní smluvní doložky, ale i zpracovatelskou smlouvu se všemi náležitostmi vyžadovanými příslušnými ustanoveními GDPR.

Problematika home office z pohledu bezpečnostních rizik

I když onemocnění Covid-19 pomalu odeznívání, tak mnoho zaměstnavatelů nadále umožňuje svým zaměstnancům částečnou práci z domova, tzv. home office. Práce z domova však sebou přináší jistá bezpečnostní rizika, která mohou mít dopad do oblasti ochrany osobních údajů. Proto je vhodné pravidla home office ošetřit interní směrnicí.

Stěžejní zásady pro výkon práce v režimu home office:

  • Veškeré činnosti provádí výlučně zaměstnanec, nepověří jimi třetí osobu.
  • Pokud má zaměstnanec k dispozici vybavení poskytnuté společností (HW, SW, data) – zákaz poskytnutí vybavení třetím osobám, zajištění šifrování dat, uložení pod uzamčením, nepřipojovat k zařízení žádný další HW, ani tiskárny.
  • Pokud zaměstnanec pro práci využívá vlastní vybavení, zřídí na něm samostatný účet jen pro práci, zabezpečený heslem a po skončení home office tento účet zruší.
  • Vhodně uspořádat pracovní místo – obrazovky / monitory umístit tak, aby do nich nemohly nahlížet třetí osoby, při opuštění pracovního místa zabezpečit zařízení i data proti přístupu třetí osoby.
  • Pravidelně ukládat data, aby nedošlo k jejich ztrátě. Zákaz ukládat data na soukromé nosiče nebo veřejná úložiště internetu.
  • Zákaz sdílení přístupových údajů třetím osobám, včetně rodinných příslušníků a osob ve společné domácnosti.
  • Zákaz tisku dokumentů, ve výjimečných případech pak zajištění zabezpečeného uložení a likvidace v kanceláři společnosti (ne popelnice).
  • Zákaz přeposílat cokoliv na soukromé e-mailové adresy.
  • Zákaz účasti na videokonferencích za přítomnosti třetích osob, na veřejných prostranstvích nebo v místech možného odposlechu (otevřené okno, zahrada, balkon, …).
  • Minimalizovat přemisťování papírových dokumentů, dodržovat opatření definovaná společností pro převoz písemné dokumentace (přenášet dokumenty v uzavřených složkách a zavazadlech, nenechávat je bez dozoru, …).
  • Ohlásit neprodleně vedení společnosti jakékoliv porušení zabezpečení (incident) nebo podezření na porušení zabezpečení (náhodné nebo protiprávní zničení, ztráta, změna nebo neoprávněné poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů, odcizení, porucha nebo proniknutí malware).
  • Respektovat interní směrnici společnosti o zpracování osobních údajů.
  • Umožnit zaměstnavateli kontrolu dodržování uvedených pravidel, při zjištění nedostatků neprodleně zjednat nápravu.

Skartace prováděná externí společností

V případě, že organizace využívá pro likvidaci nosičů dat (např. písemností, CD / DVD, pevných disků atd.) služby externí společnosti, tak s ní musí mít uzavřenou zpracovatelskou smlouvu, neboť z pohledu ochrany osobních údajů je externí skartační společnost zpracovatelem osobních údajů.

Zpracovatelská smlouva (smlouvu o zpracování osobních údajů) definuje smluvní vztah mezi správcem osobních údajů a zpracovatelem osobních údajů, kterého správce pověřil, aby pro něj zpracovával data – osobní údaje. Externí skartační společnost tedy při likvidaci nosičů dat zodpovídá za dodržování platných právních předpisů o ochraně osobních dat a utajovaných informací. V souladu s platnými právními předpisy musí vždy skartační společnost učinit dostatečná organizační a technická opatření zabraňující přístupu neoprávněných osob k likvidačnímu zařízení a případnému úniku věcných informací a osobních dat.

V zpracovatelské smlouvě, která musí být ze zákona uzavřena písemně (může existovat jen v elektronické podobě), musí být zejména uvedeno:

  • Jaké osobní údaje se budou zpracovávat.
  • Doba trvání zpracování osobních údajů.
  • Povaha a účel zpracování osobních údajů.
  • Způsob předání osobních údajů.
  • Co se s osobními údaji stane po ukončení spolupráce správce a zpracovatele osobních údajů.
  • Práva a povinnosti správce a zpracovatele osobních údajů.
  • Odpovědnost za porušení povinností.

Právo na přístup k osobním údajům – odpověď na žádost subjektu údajů

V souladu s Nařízením GDPR může každý člověk (tj. subjekt údajů) požádat státní organizaci nebo soukromou společnost (tj. správce osobních údajů) o bezplatnou informaci, jaká všechna data o něm dotyčný subjekt vede.

Při přijetí žádosti musí správce osobních údajů ověřit totožnost žadatele – subjektu údajů. Odpověď musí správce osobních údajů zpracovat bez zbytečného odkladu, nejpozději do 30 dnů od obdržení žádosti. Informace o zpracování osobních údajů žadatele musí být poskytnuty stručně, transparentně, srozumitelně a bezplatně. Ke zpoplatnění může správce osobních údajů přistoupit pokud se jedná o opakovanou žádost (např. dříve než za šest měsíců), žádost je zjevně neopodstatněná či nepřiměřená, subjekt údajů požaduje několik kopií údajů apod. Při stanovení výše možného poplatku musí správce osobních údajů vzít v úvahu správní náklady na dodání informací a na provedení případného požadovaného opatření.

Subjekt údajů by měl být v rámci odpovědi na podanou žádost o přístupu k osobním údajům informován o následujících základních údajích / informacích:

  • Jméno a kontaktní údaje správce osobních údajů.
  • Jaké kategorie osobních údajů správce o subjektu údajů zpracovává.
  • Z jakého účelu jsou zpracovávány osobní údaje subjektu údajů.
  • Právní základy pro zpracování osobních údajů.
  • Doba, po kterou dochází ke zpracování osobních údajů.
  • Komu jsou osobní údaje dále předávány nebo sdělovány, a zda jsou předávány mimo EU nebo EHP.
  • Zdroje osobních údajů, pokud nejsou získány přímo od subjektu údajů.
  • Poučení o právech subjektu údajů.

Pořizování zvukových a obrazových nahrávek z ústního jednání v rámci veřejné správy

Za splnění určitých podmínek (pokud to není omezeno zákonem) lze pořizovat záznamy druhých v rámci styku s osobami vykonávajícími veřejnou moc. K pořizování nahrávek musí nahrávající splnit jak podmínky definované občanským zákoníkem (zákon č. 89/2012 Sb.), tak zároveň i podmínky ochrany osobních údajů dle Nařízení GDPR.

Občanský zákoník stanovuje základní pravidlo, že zachytit podobu člověka jakýmkoli způsobem, ze kterého bude možné určit jeho totožnost, je možné jen s jeho svolením. Bez souhlasu dovoluje občanský zákoník zachycovat podobu z důvodu ochrany jiných práv a zájmů (např. kamerový systém chránící majetek), dále pro vědecké, umělecké, zpravodajské a úřední účely vč. vystoupení osoby vykonávající veřejnou moc v záležitosti veřejného zájmu. Vystoupení ve veřejném zájmu musí být spojeno s výkonem veřejné moci, nesmí se jednat o projev osobní povahy veřejně činné osoby v jejím volném čase.

Pořizování nahrávek a jejich případné šíření je zpracováním osobních údajů, které se řídí pravidly Nařízení GDPR. Zvukové i obrazové záznamy druhých lidí, na základě kterých lze dotyčné osoby identifikovat, spadají podle GDPR do osobních údajů. Pro nahrávání osob veřejné správy je relevantní čl. 6 odst. 1 písm. f) Nařízení GDPR stanovující, že zpracování osobních údajů je možné bez souhlasu subjektu osobních údajů v případech, kdy je to nezbytné pro účely oprávněných zájmů příslušného správce (správcem je ten, kdo s pořízeným záznamem disponuje; oprávněným zájmem je např. sledování výkonu pravomoci zvolených zástupců).

Pro nahrávání osob vykonávajících veřejnou moc (úředníci, zastupitelé, policisté atd.) není tedy potřeba jejich souhlasu, a to na základě výše uvedených výjimek z občanského zákoníku a Nařízení GDPR.

GDPR a nový stavební zákon

Dne 29.7.2021 byl ve Sbírce zákonů publikován pod č. 283/2021 Sb. nový stavební zákon, jehož hlavním cílem je zrychlit stavební řízení a zajistit dodržování stanovených lhůt. Tento nový stavební zákon má vstoupit v účinnost k 1. červenci 2023, některé změny ale začnou platit již od ledna 2022. To umožní například budovat novou síť státní stavební správy a nabírat do ní nové lidi. Stavební úřady budou spadat pod Nejvyšší stavební úřad a budou organizovány podobně jako třeba finanční správa.

Nový stavební zákon upravuje nejen působnost orgánů státní stavební správy, orgánů územního plánování a orgánů územní samosprávy v oblasti územního plánování a stavebního řádu, ale stanovuje i cíle, úkoly a nástroje územního plánování, požadavky na výstavbu a stavební řád. Upravuje rovněž podmínky pro integrovanou ochranu veřejných zájmů při územním plánování, povolování staveb a výstavbě, povinnosti osob při přípravě a provádění staveb, podmínky pro projektovou činnost a provádění staveb, některé účely vyvlastnění, oprávnění autorizovaných inspektorů a výkon kontroly.

Výkon stavebního řízení v souladu s novým stavebním zákonem se tedy bude dotýkat i oblasti zpracování a ochrany osobních údajů, protože správní orgány (Nejvyšší stavební úřad a jednotlivé stavební úřady) budou nakládat s osobními údaji účastníků stavebního řízení. Samostatnou oblastí pak budou i způsoby ukládání, archivace a likvidace osobních údajů stávajících stavebních úřadů a jejich předávání orgánům státní stavební správy.

Ve Sbírce zákonů byl pod č. 284/2021 Sb. publikován rovněž zákon, kterým se mění některé zákony v souvislosti s přijetím stavebního zákona. Jedná se o doprovodný zákon k novému stavebnímu zákonu, který mění 58 dalších zákonů.

Zpřístupnění aplikace na provedení DPIA

Francouzský dozorový úřad Commission Nationale de l‘Informatique et des Libertés (CNIL) zveřejnil koncem června 2021 novou verzi svého nástroje pro provádění posouzení vlivu na ochranu osobních údajů (DPIA).

Aplikace jednoduše provede správce osobních údajů metodikou vypracování posouzení vlivu na ochranu osobních údajů. Nástroj je dostupný ve dvaceti jazycích (i v češtině), je možné si ho zdarma stáhnout z webových stránek CNIL (https://www.cnil.fr/en/privacy-impact-assessment-cnil-releases-version-3-0-its-pia-software).

Plánované kontroly ÚOOÚ ve veřejném sektoru

V rámci kontrolního plánu na rok 2021 se Úřad pro ochranu osobních údajů zaměřuje i na kontrolu elektronických úředních desek a kamerových systémů vybraných měst / městských částí.

Velmi častým nedostatkem v případě elektronické úřední desky je, že vyvěšené dokumenty jsou nedostatečně anonymizovány a nejsou po uplynutí doby vyvěšení správně svěšeny, jsou nadále dostupné např. prostřednictvím vyhledávače. Z tohoto důvodu ÚOOÚ v rámci plánovaných kontrol elektronické úřední desky kontroluje zejména ověření existence způsobu vyvěšování a svěšování dokumentů ve vztahu k ochraně osobních údajů na nich umístěných, s uvážením následků vyvěšení způsobeným vyhledávači na internetu, případně profilováním údajů získávaným v rámci tzv. monitorování úředních desek.

V rámci městských kamerových systémů se ÚOOÚ zaměřuje na kontrolu ověření legality provozovaného městského biometrického kamerového systému, tedy zejména na ověření právního základu daného zpracování ve vztahu ke skutečnému účelu prováděného zpracování, přijetí technicko-organizačních opatření, zabezpečení osobních údajů a výkon práv subjektu údajů.

Uchovávání informací / certifikátů o provedeném očkování proti COVID-19

Zaměstnavatel může od svých zaměstnanců, kteří byli očkování proti nakažlivé nemoci COVID-19, požadovat předložení certifikátu o očkování. Certifikát o provedeném očkování, který dosvědčuje skutečnost, že dané osobě byla podána vakcína, obsahuje nejen identifikační údaje osoby včetně data narození, ale i informace o podané vakcíně.

Zaměstnavatel musí při kontrole a příp. uchovávání informací o provedeném očkování zaměstnanců dodržet zásadu minimalizace dle čl. 5 Nařízení GDPR, tj. zpracovávat pouze nezbytně nutný obsah osobních údajů. Zaměstnavatel při rozhodování o uchovávání informací či kopie certifikátu proti očkování COVID-19 zaměstnanců tedy musí zohlednit všechny okolnosti včetně možného zásahu do práv subjektů údajů a případných rizik.

Možné varianty uchovávání informací / certifikátu o provedeném očkování proti COVID-19 (dle zdůvodněného zájmu zaměstnavatele a minimalizace zpracovávaných osobních údajů):

  • zapsání informace, že zaměstnance není potřeba testovat, protože je již očkován;
  • zapsání nezbytně nutných údajů o provedeném očkování zaměstnance (datum vakcinace, číslo certifikátu apod.);
  • uchovávání částečně anonymizované kopie certifikátu o provedeném očkování.

Prozatím nejsou jednotně upřesněny informace týkající se kontrol provedeného očkování zaměstnanců proti COVID-19 zaměstnavatelem. Zaměstnavatel se tedy v současné době může pro případ kontroly očkování zaměstnanců odkazovat na informace z Očkovacího portálu občana, v rámci kterého by měl být každý z certifikátu o provedeném očkování evidován. V případě běžného zaměstnavatele by měla postačit částečně anonymizovaná podoba certifikátu o provedeném očkování či jen opsané údaje z předloženého certifikátu.

Zpřísnění pravidel pro ukládání cookies

Poslanecká sněmovna schválila 16.6.2021 novelu zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů. Novela zákona nyní míří k projednání do Senátu.

Novela zákona (bude-li schválena v plném znění) zpřísní pravidla pro získávání souhlasů na webových stránkách. Každá webová stránka si nyní může ukládat informace o svém návštěvníkovi prostřednictvím cookies (datových souborů), které patří mezi tzv. síťové identifikátory řešené v rámci GDPR.

V rámci cookies by měl být pravděpodobně od ledna 2022 plně implementován režim OPT-IN. Varianta souhlasu s cookies na webových stránkách v režimu OPT-IN znamená, že reklamní cookies se neuloží, dokud není kliknuto na „Souhlasím“ (tj. uložení cookies je možné až v okamžiku, kdy k tomu dá uživatel výslovný souhlas). Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.

Novela zákona o svobodném přístupu k informacím

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který je účinný od 1.1.2000, prošel velkou řadou novelizací a další novela zákona je předložena do druhého čtení v Poslanecké sněmovně.

Zákon o svobodném přístupu k informacím patří k základním právním předpisům, které v rámci své činnosti užívají státní orgány, orgány územních samosprávných celků a další veřejné instituce podílející se na veřejné správě či hospodaření s veřejnými prostředky. Zákon upravuje pravidla pro poskytování informací a podmínky práva svobodného přístupu k těmto informacím.

Současná novela zákona (bude-li schválena v plném znění) přinese změny:

  • v přenesení pravomoci posuzovat stížnosti proti odmítnutí žádosti o informace z ÚOOÚ na osobu v čele úřadu, jehož informace žadatel požaduje (pokud nelze určit nadřízený úřad);
  • související s implementací směrnice Evropského parlamentu o otevřených datech, např. rozšíří okruh subjektů, které budou mít povinnost informace poskytovat, o veřejné podniky ovládané státem;
  • v poskytování informace na základě žádosti za podmínek, které jsou objektivní, přiměřené, nediskriminační, nevýhradní a neomezují způsob ani účel následného využití poskytovaných informací;
  • v zavedení finanční zálohy v případě rozsáhlého vyhledávání údajů (z důvodu ochrany úřadů / institucí před zneužíváním práva na informace ze strany žadatelů).

Nařízení ePrivacy

Nařízení ePrivacy, tj. nařízení o respekto­vání soukromého života a ochra­ně osobních údajů v elektronic­kých komunikacích, se řeší již od roku 2017 a zatím nebylo přijato.

V únoru 2021 se členské státy EU dohodly na společné vyjednávací pozici pro další legislativní proces. O znění návrhu ePrivacy bude tedy nyní jednat Rada EU a Evropský parlament (finální text nařízení musí být schválen jak Radou EU, tak i Evropským parlamentem). Nařízení ePrivacy má zrušit směr­nici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických ko­munikací.

Nařízení ePrivacy má doplňovat právní úpravu GDPR. Cílem nařízení je nastavit pravidla týkající se ochrany základních práv a svobod fyzických a právnických osob při poskytování a využívání slu­žeb elektronických komunikací. Naří­zení by mělo upravovat podmínky pro zpracování dat elektronických komu­nikací, kterými se rozumí jak jejich obsah, tak i metadata.

Bezpečnostní kamery pro osobní použití

Řada lidí využívá pro ochranu svého soukromého majetku bezpečnostní kamery. Kamery pro osobní použití za účelem ochrany soukromého majetku lze umístit v bytě (nelze je umístit na společné chodbě), v rodinném domě či na zahradě rodinného domu.

Základní pravidla pro použití bezpečnostních kamer pro ochranu soukromého majetku:

  • Zorné pole kamery musí být natočeno jen na soukromý prostor / pozemek majitele kamery, ne na veřejné prostranství či sousední pozemek.
  • Kamera bez ukládání záznamu – podléhá pouze občanskému zákoníku a Listině základních práv a svobod (právo na ochranu soukromí, právo na ochranu zdraví a majetku), nepodléhá Nařízení GDPR.
  • Kamera s ukládáním záznamu – podléhá Nařízení GDPR (zájem ochrany osob a majetku), je nezbytné informovat okolí, že je v daném prostoru pořizován záznam z bezpečnostní kamery.

Pravomoci vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním osobních údajů

Soudní dvůr Evropské unie (SDEU) upřesnil podmínky výkonu pravomocí vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním osobních údajů.

Na údajné porušení Nařízení GDPR může dle rozhodnutí SDEU upozornit vnitrostátní dozorový úřad členského státu, který nemá postavení vedoucího úřadu, soud členského státu a zahájit soudní řízení v souvislosti s přeshraničním zpracováním údajů. GDPR ale musí tomuto vnitrostátnímu dozorovému úřadu přiznávat pravomoc přijmout rozhodnutí konstatující, že toto zpracování porušuje pravidla stanovená Nařízením GDPR. Tato přiznaná pravomoc musí být vždy použita v souladu s postupy spolupráce a jednotnosti stanovenými Nařízením GDPR.

Nařízení GDPR stanovuje pro přeshraniční zpracování mechanismus jediného kontaktního místa, který je založen na rozdělení pravomocí mezi vedoucí dozorový úřad a ostatní dotčené vnitrostátní dozorové úřady. Dle GDPR je k přijetí rozhodnutí konstatujícího porušení pravidel při přeshraničním zpracováním příslušný vedoucí dozorový úřad, ostatní dozorové úřady k přijetí takového rozhodnutí mají výjimku.

Problematika covid pasů v české legislativě

V současné době je řešena novela zákona o ochraně veřejného zdraví (zákon č. 258/2000 Sb.), která se týká podmínek pro zavedení tzv. covid pasů. Návrh zákona o covid pasech má adaptovat český právní řád na návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (tzv. digitální certifikát COVID v EU).

Návrh zákona o covid pasech bude projednán na 109. schůzi Poslanecké sněmovny 9. června 2021.

K návrhu zákona o covid pasech, kterým se mění zákon č. 258/2000 Sb., se vyjádřil i ÚOOÚ – své vyjádření zaslal Poslanecké sněmovně Parlamentu. Ve vyjádření ÚOOÚ upozorňuje na některé procedurální nedostatky z pohledu ochrany osobních údajů, a to zejména nedostatečné posouzení vlivu na ochranu osobních údajů podle čl. 35 Nařízení GDPR a nedodržení postupu dle čl. 36 odst. 4 Nařízení GDPR, tedy neprojednání s ÚOOÚ.

Celé vyjádření ÚOOÚ k návrhu zákona o covid pasech je zveřejněno na stránkách ÚOOÚ https://www.uoou.cz/k-vladnimu-navrhu-zakona-o-covid-pasech/d-50514.

Zveřejňování záběrů z očkovacích center

Při očkování proti nemoci COVID-19 si někteří lidé pořizují fotografie z očkovacích center a poté je zveřejňují na sociálních sítí. Tyto fotografie ale mnohdy zachycují nejen dotyčnou očkovanou osobu, i další očkované, což je problém z hlediska ochrany osobních údajů, protože tyto osoby nedaly ke zveřejnění aktivní souhlas.

Dle vyjádření ÚOOÚ zveřejňování fotografií návštěvníků očkovacích center na osobním profilu dotyčné osoby nespadá pod Nařízení GDPR, ale řadí se spíše pod režim ochrany osobnosti dle občanského zákoníku (podle § 85 odst. 1 občanského zákoníku je možné rozšiřovat podobu člověka jen s jeho svolením). Pokud klient očkovacího centra zveřejní svou fotografii z očkování a nejsou na ni zachyceny podoby jiných osob, tak je vše v pořádku. Pokud jsou na fotografii zveřejněny podoby jiných osob, pak podle § 82 odst. 1 občanského zákoníku má člověk, jehož osobnost byla dotčena, právo domáhat se nápravy (odstranění fotografie ze sociální sítě) a příp. odškodnění.

Záběry z očkovacích center publikované na speciálně vytvořené stránce, či na ilustračních a opakovaných záběrech v TV (tj. záběry pořízené pro novinářské účely, nebo pro účely akademické), se posuzují na základě okolností daného konkrétního případu, nicméně v obecnosti lze uvést, že ve většině případech spadají do působnosti Nařízení GDPR (jedná se o oprávněný zájem správce).

Uchovávání údajů z platebních karet

Během pandemie COVID-19 došlo a dochází k rozšíření používání bezkontaktních a online plateb. V souvislosti s tímto rozvojem je kladen větší důraz na obchodníky, aby získané platební údaje patřičně zabezpečili proti jejich úniku a zneužití.

Osobní údaje zákazníků musí být vždy zpracovávány na základě právního základu, ve většině případů tedy z důvodu uzavření kupní smlouvy, ke kterému jsou nezbytné některé osobní údaje. Avšak následné uchovávání osobních údajů pro usnadnění případných dalších nákupů a transakcí již nelze pod plnění uzavřené smlouvy a provedení platby zahrnout. Takové další zpracování je možné provádět pouze na základě uděleného souhlasu zákazníkem.

Tento souhlas musí zákazník udělit svobodně, konkrétně, informovaně a jednoznačně ještě před uložením údajů z platební karty. Souhlas musí mít zákazník možnost udělit jasným potvrzujícím úkonem, tedy např. zaškrtnutím příslušného políčka ve formuláři. Zákazník musí mít možnost souhlas kdykoliv odvolat a zároveň musí být odlišen od souhlasu poskytnutého s obchodními podmínkami a nelze jím podmiňovat dokončení transakce.

GDPR a umělá inteligence

V souvislosti s rozvojem umělé inteligence začínají vznikat koncepty nařízení o evropském přístupu k umělé inteligenci. Evropská komise zdůraznila, že v rámci tohoto tématu bude k problematice přistupovat jako zaměření na člověka. Z tohoto důvodu se bude také posuzovat v rámci Nařízení GDPR.

Již nyní se setkáváme s umělou inteligencí v běžném životě. Příkladem může být:

  • Vyhledávání informací
  • Administrativní úkony
  • Vyhledávání vhodných pracovních nabídek
  • Výrobky inteligentního bydlení
  • Virtuální asistenti – Siri, Alexa, Google Assistant

Nařízení bude řešit umělé inteligence, které představují hrozbu pro bezpečnost, život a základní práva a svobody lidí, dále bude specifikovat speciálními požadavky na transparentnost, výše pokut za porušení zakázaných činností a další oblasti.

Pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí

Na jednání zastupitelstev obcí vždy vystupují konkrétní identifikovatelné fyzické osoby (zastupitelé), občané z řad veřejnosti a ve většině případech při projednávání jednotlivých bodů jednání zaznívají i osobní údaje dalších osob. V případě pořízení, uchování a zveřejnění zvukového či audiovizuálního záznamu z jednání zastupitelstva obce se jedná o zpracování osobních údajů, neboť záznamy mohou obsahovat informace týkající se identifikované nebo identifikovatelné fyzické osoby. Obec tedy v tomto případě vystupuje v postavení správce osobních údajů.

Nařízení GDPR přímo neupravuje pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí. Pokud se však jedná o veřejné vystoupení v záležitostech veřejného zájmu, lze pro pořizování a zveřejňování záznamů z jednání zastupitelstva aplikovat čl. 6 Nařízení GDPR, tj. naplnění oprávněného zájmu obce informovat veřejnost o dění na zastupitelstvu. Záznam z jednání zastupitelstva je možné tedy pořídit bez souhlasu zúčastněných osob, neboť je tento postup v souladu s § 88 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, který stanoví, že svolení není třeba ani v případě, když se podobizna, písemnost osobní povahy nebo zvukový či obrazový záznam pořídí nebo použijí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu.

Pro následné zveřejňování záznamu z jednání zastupitelstev obcí platí, že žádný právní předpis nestanovuje povinnost jejich zveřejnění a záleží tedy na obci, zda k tomuto kroku přistoupí, či nikoliv. Pokud ale povinnost zveřejňování nahrávání jednání stanoví zastupitelstvo obce v jednacím řádu, zveřejnit se musí. K případnému zveřejnění by mělo docházet na internetových stránkách obce, případně opoziční politické strany, nikoli na sociálních sítích, kde je vyšší riziko možného následného zpracování osobních údajů jinými subjekty.

Projednávají-li se na jednání zastupitelstva obce soukromé záležitosti občana, ať přítomného či nepřítomného, zejména týkající se jeho zdravotního stavu nebo sociální situace, je třeba pro zveřejnění záznamu na internetu tyto pasáže následně vypustit nebo anonymizovat. V takových situacích by mělo být i pořizování záznamu přerušeno a nezbytné informace zaznamenány pouze v textové formě. Zveřejnění oněch soukromých záležitostí, případně i pořízení záznamu, by v takovém případě mohlo být v rozporu s § 86 zákona č. 89/2012 Sb., občanský zákoník: Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit. Ve stejném rozsahu jsou chráněny i soukromé písemnosti osobní povahy. Porušení citovaného ustanovení občanského zákoníku může být předmětem občanskoprávní žaloby na osobnosti.

Základní pravidla pro pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí:

  • Před zahájením vlastního pořizování záznamu musí zaznít informace o tom, že bude pořizován záznam, za jakým účelem bude záznam pořizován a jakým způsobem bude s vytvořeným záznamem zacházeno.
  • Musí být splněna stanovená doba uchování osobních záznamů (resp. doby zveřejnění).
  • Anonymizovat soukromé záležitosti projednávané zastupitelstvem obce.
  • Umožnit subjektům údajů právo na námitku proti zpracování osobních údajů. Individuálně posoudit každou vznesenou námitku (tj. zda nedochází k nedůvodnému a nepřiměřenému zásahu do soukromí).

Účelem zpracování osobních údajů při jednání zastupitelstev obcí jsou v zásadě dva důvody:

  • Pořízení záznamu jako podkladu pro pozdější vyhotovení zápisu ze zasedání zastupitelstva obce.
  • Pořízení záznamu za účelem informování veřejnosti o činnosti obce a zastupitelstva (typicky prostřednictvím jeho zveřejnění na internetových stránkách obce).

Ať je záznam pořizován z rozhodnutí zastupitelstva obce či individuálně zastupitelem nebo jinou osobou, měli by být přítomní v souladu se zásadou transparentnosti o pořizování záznamu informováni předtím než je pořizování záznamu zahájeno. Prostor, kde probíhá jednání zastupitelstva obce, musí být označen informací o pořizování záznamu, kým bude záznam vyhotoven a za jakým účelem, komu mohou být osobní údaje zpřístupněny, a dále o právu přítomných na námitku proti zpracování osobních údajů (tj. proti existenci záznamu). Stejná informace může být např. i součástí jednacího řádu zastupitelstva obce. Tyto informace by měly zaznít na začátku každého jednání. Stejné podmínky platí pro pořizování audiovizuálního záznamu z jednání, a to pouze pro účely vyhotovení zápisu. V tomto případě by měl být obrazový záznam pořizován pouze z prostor, kde se nacházejí zastupitelé a příp. řečníci z řad veřejnosti. Kamera tedy musí být umístěna tak, aby nepřetržitě nezabírala prostor pro veřejnost, která se aktivně neúčastní.

Pořízení záznamu z jednání zastupitelstva obce pro potřeby vyhotovení zápisu se řídí § 95 zákona č. 128/2000 Sb., o obcích, které dává povinnost z každého zasedání zastupitelstva obce pořídit zápis, a to do 10 dnů po skončení zasedání. Jedním z podkladů, na základě kterého lze zápis vyhotovit, může být právě zvukový či audiovizuální záznam.

Whistleblowing – ochrana oznamovatelů

Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.

Členské státy EU mají povinnost Směrnici implementovat národní legislativou do 17. prosince 2021, návrh Zákona o ochraně oznamovatelů (dále také ZoOO) počítá s přechodným obdobím do 31. března 2022, kdy je povinný subjekt povinen vnitřní oznamovací systém a postupy pro oznamování a přijímání následných opatření zavést. Návrh zákona o ochraně oznamovatelů byl schválen vládou ČR a v současné době probíhá jeho projednávání Parlamentem ČR.

Povinným subjektem podle § 8 odst. 1 návrhu Zákona o ochraně oznamovatelů jsou:

  • veřejní zadavatelé podle zákona upravujícího zadávání veřejných zakázek (s výjimkou obce s méně než 5 000 obyvateli, nejedná-li se o obec s rozšířenou působností);
  • zaměstnavatelé, kteří v uplynulém kalendářním čtvrtletí zaměstnávali v průměru nejméně 25 zaměstnanců; a
  • další subjekty uvedené v § 8 odst. 1 ZoOO.

Nedodržování pravidel ochrany oznamovatelů může vést, kromě neplatnosti některých jednání, též k uložení pokuty. Postihován by měl být ten, kdo brání oznámení, přijme odvetné opatření nebo poruší povinnost zachovávat důvěrnost získaných informací. Na druhé straně může být pokutován i ten, kdo vědomě oznámí či zveřejní nepravdivé informace.

Pokud instituce nezavede procesy pro ochranu oznamovatelů, nebo podnikne odvetné opatření proti oznamovateli, je vystavena pokutě až do výše 1 milionu Kč nebo 5 % z čistého obratu za poslední účetní období.

Kopírování občanského průkazu a prokazování totožnosti

Je zakázáno pořizovat kopie osobních dokladů bez prokazatelného souhlasu občana, kterému byl průkaz vydán, pokud další zákon nestanoví jinak. V převážné míře případů je dostatečné provést kontrolu předloženého průkazu totožnosti a zaznamenání nezbytných osobních údajů. Běžně je však souhlasem s pořízením kopie podmiňováno poskytnutí nějaké služby. Tím souhlas nenaplňuje podmínku svobodného projevu vůle. Je proto podstatné, aby držitel dokladu byl výslovně informován o možnosti nesouhlasit s pořízením kopie a důsledcích takového odmítnutí.

Zákon jasně stanovuje, které osoby mohou, nikoliv musí kopie pořizovat. Lze mezi ně zařadit banky a další finanční instituce poskytující peněžní, investiční a obchodní služby. Dále pojišťovna, notář, obchodník s uměleckými díly a další. Zákon však stanoví pořízení kopie průkazu jako fakultativní možnost při identifikaci klienta, ne jako povinnost kopii pořídit.

Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je považováno za přestupek fyzické osoby, která kopii pořídila.

V případě požadavku na prokázání totožnosti je možné použít vždy občanský průkaz, dále cestovní doklad, pokud obsahuje podobiznu majitele a také např. řidičský či služební průkaz, pokud to bude protistranou akceptovatelné. Jestliže zvláštní právní předpis stanoví povinnost prokazovat skutečnosti zapsané v občanském průkazu jiným způsobem, musí tak občan učinit. Takováto pouhá kontrola dotyčných osob ještě není z pohledu GDPR zpracování osobních údajů. Tím se stává až v případě, že kontrolor osobní údaje někam zaeviduje či pořídí kopii onoho dokladu.

Dále při preventivní silniční kontrole je povinnost řidiče se prokázat pouze platným řidičským průkazem, občanský průkaz již není potřeba. Stejně tak v případě běžné kontroly prokázání totožnosti by měl být dostačující jakýkoliv doklad obsahující nezbytné osobní údaje – jméno/a, příjmení, datum narození a v případě potřeby také adresa místa trvalého pobytu, adresa místa pobytu nebo adresa bydliště v zahraničí, rodné číslo a státní příslušnost.

Právo na prokázání totožnosti má nejen Policie ČR, ale také další orgány veřejné moci – správce daní, inspekce práce, kontrolor v rámci zákona o rybářství či ochraně přírody, v rámci správních řízení, banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci nebo účetní.

Při vedení jakékoliv evidence je třeba stále dodržovat zásadu minimalizace údajů, tedy zaznamenávat a ukládat jen ty údaje, které jsou nezbytné pro naplnění daného účelu. Tento rozsah je ve většině případů stanoven zákonem, pokud tomu ale tak není, je nutné rozsah údajů posoudit. V případě návštěv v budovách by mělo docházet ke zpracování pouze jména, příjmení, popř. číslo kanceláře do které daná osoba jde. Zásadně by nemělo docházet k evidenci více osobních údajů, pokud tak nestanoví zákon.

Vedení evidence testovaných či očkovaných zaměstnanců

Informace o zdravotním stavu, mezi které patří údaje o testování či očkování, se dle Nařízení GDPR řadí do kategorie zvláštních / citlivých osobních údajů. Tyto údaje může zaměstnavatel zpracovávat pouze na základě:

  • zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva;
  • zpracování je nezbytné z důvodu významného veřejného zájmu;
  • či je možné zpracování provádět na základě mimořádného opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-27/MIN/KAN, které zaměstnavatelům, jež pro své zaměstnance zajišťují antigenní testy k použití laickou osobou, nařizuje vést evidenci provedených testů. V případě evidence očkovaných zaměstnanců je pak možné se odkazovat na mimořádné opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-16/MIN/KAN, které nepřímo tuto povinnost zaměstnavateli ukládá.

V případě, že provádí testování poskytovatel lékařských služeb, jedná se o postavení dvou samostatných správců osobních údajů, tedy poskytovatel lékařských služeb není v roli zpracovatele. Poskytovatel, který testování provádí, následně předává zaměstnavateli potvrzení o provedeném testu k jeho interní evidenci. Tito správci mají mít mezi sebou uzavřenou běžnou obchodní smlouvu (nikoliv smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem).

Evidence testovaných a očkovaných zaměstnanců zaměstnavateli přináší novou agendu, kterou je nutné z hlediska GDPR náležitě ošetřit. Je tedy nezbytné:

  • informovat zaměstnance o takovém zpracování, o účelu, právním základu, rozsahu zpracovávaných osobních údajů, době uchovávání atp.;
  • vést pro tuto novou agendu záznam o činnosti zpracování osobních údajů;
  • evidenci dostatečně zabezpečit.

Je nutné mít na paměti, že zaměstnavatel má právo od zaměstnance vyžadovat a tím evidovat informace o testování, neboť tato povinnost je uložena mimořádným opatřením, ale informace o očkování z důvodu dobrovolnosti podstoupit očkování již není zaměstnanec povinen sdělit.

Zpracovávání osobních údajů ve službách

S postupným rozvolňováním proti epidemiologických opatření dostali provozovatelé holičství, kadeřnictví, pedikúr, manikúr, kosmetických, masérských a obdobných regeneračních nebo rekondičních služeb nařízeno vést evidenci zákazníků.

Úřad pro ochranu osobních údajů však reagoval, že takové zpracovávání osobních údajů považuje za nepřípustné, neboť není stanoven konkrétní účel zpracování, rozsah údajů, doba zpracování a další. Dále ÚOOÚ upozornil, že Ministerstvo zdravotnictví nemá dle pandemického zákona takovou pravomoc, která by je zmocňovala k uložení této povinnosti u provozovatelů.

Osobní spisy bývalých zaměstnanců

Zákon každému zaměstnavateli ukládá povinnost evidovat nejrůznější osobní údaje svých zaměstnanců. Všechny tyto údaje posbírané během pracovněprávního vztahu by měly tvořit tzv. spis zaměstnance. Po ukončení pracovněprávních vztahů má zaměstnavatel jako správce osobních údajů povinnost údaje zlikvidovat, pokud pominul účel jejich zpracování. To však může nastat jen u některých dokumentů spisu, rozhodně to neplatí absolutně. Zaměstnavatel má i po skončení pracovněprávního vztahu povinnost konkrétní údaje a dokumenty uchovávat i nadále.

Konkrétně jaké dokumenty a osobní údaje je zaměstnavatel povinen či oprávněn nadále uschovávat vyplývá primárně z aktuálně platných zákonů, ale také z oprávněných zájmů správce. Může totiž nastat situace, kdy vznikne právní spor s bývalým zaměstnancem či třetí stranou. Podle občanského zákoníku je promlčecí lhůta na případné spory 3 roky. Mezi dokumenty, které je oprávněn zaměstnavatel uchovávat z důvodu oprávněného zájmu patří např. i podklady pro hodnocení a odměňování. Za další dokumenty uchovávané ale podle zákonů patří evidenční listy, dokumenty pro účely důchodového a nemocenského pojištění, mzdové listy, účetní záznamy a další.

Přání jubilantům (občanům obce)

Na základě zákona o obcích č. 128/2000 Sb. mohou obce ocenit významné životní události svých občanů (např. pro blahopřání k životním jubileím, k narozením, svatbám apod.). Jednotlivé obce jsou tedy oprávněny pro tyto účely čerpat příslušné údaje ze základního registru obyvatel a z informačního systému evidence obyvatel, a to v rozsahu stanoveném zákonem. Z tohoto důvodu není nutné vyžadovat souhlas „oceňovaných“ osob s takovou aktivitou obce, např. v podobě výzev k přihlášení se pro účely blahopřání k životnímu jubileu.

Na druhou stranu je tato aktivita obce uvedena jako oprávnění obce a nikoli jako její povinnost. Nezavádí tedy povinnost životní jubilea ocenit, stejně tak jako neruší ani možnost obce postupovat dosavadním způsobem, tedy např. vítat jen ty „nové občánky“, jejichž rodiče mají o takovou společenskou akci sami zájem.

Způsob ocenění významné životní události občana je závislý na povaze významné životní události (např. pozvání na „vítání občánků“, zaslání gratulace starosty obce k výročí narození či k výročí svatby). Není však možné bez souhlasu občana zveřejnit (např. v tisku, místním rozhlase, na internetu) údaje týkající se jeho osoby. Pokud by tedy obec např. chtěla gratulaci k výročí narozenin uveřejnit v místních novinách či v místním rozhlase, byl by k tomu nutný souhlas občana, jehož se gratulace týká.

Evidence testovaných zaměstnanců

V minulých novinkách jsme Vám poskytli informace ohledně evidence testovaných zaměstnanců na COVID-19 a nyní bychom rádi tyto informace rozšířili:

  • I když je zaměstnanec během testování na slabší straně pracovněprávního vztahu a musí se nechat testovat, musí s ním být stále zacházeno s nanejvýš ohleduplným a šetrným způsobem a respektovat nejen jeho osobní údaje, ale celkově jeho soukromí a lidskou důstojnost.
  • Testování zaměstnanců se neprovádí na základě jimi uděleného souhlasu, ale na základě vyhlášených mimořádných opatření, která zaměstnavateli dávají dostatečnou právní oporu.
  • Každý zaměstnavatel musí zpracovávané osobní údaje v rámci evidence testovaných přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti, neexistuje jedna podoba pro všechny.
  • Stále platí, že evidence testovaných by měla obsahovat pouze: jméno, příjmení, datum narození, které je možno nahradit identifikátorem zaměstnance, datum provedení testu, výsledek testu na přítomnost viru a případně důvod výjimky z testování (prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost).
  • Jestliže testování provádí přímo zaměstnavatel a bude docházet k proplácení od zdravotních pojišťoven, bude evidence obsahovat i údaje potřebné pro zdravotní pojišťovnu (např. číslo pojištěnce a kód pojišťovny).
  • Pokud je testování zajištěno externě poskytovatelem zdravotních služeb vystupují z pohledu GDPR v celé činnosti dva správci, přičemž každý z nich může vést jinou podobu evidence. V případě poskytovatele zdravotních služeb může docházet např. k předávání údajů do Informačního systému infekčních nemocí a samozřejmě vytváření nové zdravotnické dokumentace ke každému testovanému zaměstnanci, která může mít určený jiný rozsah a dobu uchování.
  • K výsledkům testů musí mít přístup jen nezbytné množství osob a musí být zajištěno dostatečné zabezpečení.
  • Doba pro uchování evidence testování sice nebyla v rámci mimořádného opatření stanovena, ale jako maximální doba uchování osobních údajů v evidenci testování ÚOOÚ doporučilo tři roky od doby pořízení testu.
  • Pokud nebude zaměstnavatel své zaměstnance testovat, je možné, že mu orgány ochrany veřejného zdraví udělí pokutu až půl milionu korun za nesplnění povinnosti.

GDPR a zákon o svobodném přístupu k informacím

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který je účinný od 1.1.2000, prošel velkou řadou novelizací a další novelizace zákona je očekávána. Zákon patří k základním právním předpisům, které v rámci své činnosti užívají státní orgány, orgány územních samosprávných celků a další veřejné instituce podílející se na veřejné správě či hospodaření s veřejnými prostředky. Zákon upravuje pravidla pro poskytování informací a podmínky práva svobodného přístupu k těmto informacím.

Podle dostupných statistik se více informací poskytuje podle zákona č. 106/1999 Sb. než podle Nařízení GDPR. Zákon o svobodném přístupu k informacím je „obecný“ zákon – pokud tedy řešenou problematiku upravuje i jiný „sektorový“ zákon (např. správní řád, stavební zákon apod.) jsou informace poskytovány v souladu se zákonem pro danou řešenou oblast.

V podané žádosti o poskytnutí informace podle zákona č. 106/1999 Sb. musí být uvedeno kdo žádá, koho žádá, co žádá a že žádá podle zákona č. 106/1999 Sb. Žádat o poskytnutí informace může kdokoliv a může žádat o jakoukoliv informaci, která není vyloučena. Zákonem o svobodném přístupu k informacím jsou z poskytování vyloučeny:

  • utajované informace;
  • informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje (tyto informace mohou být poskytnuty jen v souladu s právními předpisy, upravujícími jejich ochranu);
  • obchodní tajemství;
  • informace o majetkových poměrech osoby, která není povinným subjektem, získané na základě zákonů o daních, poplatcích, penzijním nebo zdravotním pojištění anebo sociálním zabezpečení;
  • informace vzniklé bez použití veřejných prostředků, jestliže byly předány osobou, které takovouto povinnost zákon neukládá;
  • informace, jejichž poskytnutím by byla porušena ochrana práv třetích osob k předmětu autorského práva;
  • informace, které subjekt získal od třetí osoby při plnění úkolů v rámci kontrolní, dozorové, dohledové nebo obdobné činnosti prováděné na základě zvláštního právního předpisu;
  • informace o probíhajícím trestním řízení;
  • informace o rozhodovací činnosti soudů s výjimkou rozsudků;
  • a další informace uvedené v §7 – 11 zákona č. 106/1999 Sb.

Způsoby vyřízení žádosti o poskytnutí informace podle zákona č. 106/1999 Sb.:

  • Poskytnutí informace
  • Rozhodnutí o (částečném) odmítnutí žádosti
  • Odložení žádosti

Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele). Pokud je zveřejněna i žádost, musejí být osobní údaje žadatele (případně další uvedené v žádosti) anonymizovány. Při zveřejnění poskytnuté informace, např. na webové stránce subjektu nebo úřední desce obce, musí dojít k anonymizaci osobních údajů uvedených v poskytnuté informaci. Poskytnuté informace bez anonymizace jsou žadateli sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit právo na ochranu osobnosti a osobních údajů daných osob ústavně nepřiměřeným způsobem.

Opravné prostředky žádosti o poskytnutí informace podle zákona č. 106/1999 Sb.:

  • Informační příkaz
  • Přezkumné řízení před ÚOOÚ
  • Opatření proti nečinnosti před ÚOOÚ

Zákon o svobodném přístupu k informacím, novelizovaný na základě zákona č. 111/2019 Sb., upravil i působnost ÚOOÚ v oblasti práva na informace. ÚOOÚ – tedy kromě primární působnosti v oblasti ochrany osobních údajů – zajišťuje i úkony spojené se svobodným přístupem k informacím:

  • ÚOOÚ je oprávněn přezkoumat rozhodnutí odvolacího orgánu ve věci žádosti o informace, tj. rozhodnutí o odvolání, rozhodnutí o rozkladu.
  • ÚOOÚ je oprávněn, zpravidla na základě podnětu žadatele o informace, posoudit, zda je nadřízený orgán nečinný podle zákona č. 106/1999 Sb. a případně rozhodnout o opatření proti jeho nečinnosti.
  • ÚOOÚ je odvolacím orgánem pro povinné subjekty, u kterých dosud rozhodoval o odvolání a stížnostech ten, kdo stojí v čele povinného subjektu, a to s ohledem na skutečnost, že není možno určit nadřízený orgán dle ustanovení § 178 zákona č. 500/2004 Sb.

Výsledky činnosti ÚOOÚ za rok 2020

Mezi nejčastěji zjištěná porušení v rámci kontrolní činnosti v roce 2020 patřila absence řádného právního důvodu pro uskutečňované zpracování ze strany správce osobních údajů. V řadě případů bylo kontrolami také zjištěno porušení výkonu práv subjektu údajů.

Z celkem 1855 přijatých podnětů bylo zahájeno konkrétně 54 hloubkových kontrol a ÚOOÚ pouze v 5 případech uložil pokuty v celkové výši 1.323.000,- Kč.

Mezi výsledky kontrolních činností ÚOOÚ zařadilo následující poznatky:

  • Vynucení souhlasu se zpracováním osobních údajů např. vyloučením ze spolku.
  • Neoprávněné vstupování do systému Centrálního úložiště elektronických receptů ze strany Státního ústavu pro kontrolu léčiv či konkrétních lékárníků.
  • Nepřiměřené zpracování osobních údajů nad rámec novinářské licence kamerami společností provozující internetovou televizi, která umístila kamery zabírající veřejné prostranství s možností jasně identifikovat všechny osoby a SPZ aut.
  • Soukromá internetová stránka se dopustila porušení GDPR, když mimo jiné „překlápěla“ osobní údaje stovek tisíc podnikatelů z obchodního a živnostenského rejstříku, neboť nesplnila podmínku nezbytnosti ve vztahu k účelu zpracování osobních údajů. Byla tedy uložena pokuta ve výši půl milionu korun spolu s pokutou sto tisíc korun za nesoučinnost.
  • Půjčovna lyžařského vybavení v rámci smlouvy o půjčení vybavení požadovala také pořízení kopie občanského průkazu, avšak na základě souhlasu, který nemohl zákazník odmítnout, neboť byl již zakomponován do podepisované smlouvy. Vyžadování takového souhlasu je v rozporu s obecným nařízením.
  • V rámci přímého marketingu byly neoprávněně použity kontakty, které obchodníci / poradci získali za plnění pracovních povinností pro jinou společnost. Šlo tedy o nezákonné zpracování ve smyslu obecného nařízení.

Zpracování osobních údajů Policií ČR

ÚOOÚ začal prošetřovat, jakým způsobem je nakládáno s osobními údaji lidí, kterým byla udělena karanténní opatření v rámci pandemie COVID-19. Během ledna a února 2021 začala totiž dostávat Policie ČR od Krajských hygienických stanic a České správy sociálního zabezpečení informace o lidech v karanténě bez jejich vědomí.

ÚOOÚ nyní místním šetřením kontroluje, jak jsou data Policií ČR uchovávána a dále používána, tedy zda dochází k fyzické kontrole těchto osob a v jaké souvislosti, dále jak jsou osobní údaje zabezpečeny, zda a jak je přístup k těmto datům nastaven a řízen a zda jsou vytvořeny k této nové činnosti potřebné záznamy o činnostech zpracování osobních údajů.

I v této nelehké situaci stále platí, že ministerstva a ostatní úřady musí připravit a nastavit zpracování osobních údajů takovým způsobem, aby vždy byla dodržena pravidla a principy Nařízení GDPR a zákona o ochraně osobních údajů.

Osobní údaje ze soudních jednání

Dle vyjádření ÚOOÚ dochází během soudních jednání ke zveřejňování osobních údajů. Takto je činěno v souvislosti s transparentností soudních jednání a má sloužit výhradně pro informování veřejnosti. Je běžnou praxí, že v různých fázích jednání dochází k uveřejnění různých typů údajů. Je ale vždy na samotném soudu posoudit vhodnost takových uveřejnění a najít rovnováhu ve snížení rizik jejich zneužití a naplněním požadavku na veřejnou kontrolu výkonu soudní moci.

Například pro dočasné zveřejnění osobních údajů účastníků řízení pro účely informování veřejnosti o soudním jednání je možno snáze najít argumenty než pro zveřejnění týchž osobních údajů po skončení řízení.

Zároveň ÚOOÚ upozorňuje, že technické řešení takového zveřejňování má bránit zneužití zveřejňovaných údajů jejich systematickým a plošným stahováním a neomezeným uchováváním případně dalšímu zveřejňování. Dále doporučuje zvážit, zda sledovaný účel vyžaduje neomezený přístup anonymních uživatelů k osobním údajům účastníků řízení či zda není vhodné přístup usměrňovat (individualizovat).

Nová centrální evidence psů a majitelů

V meziresortním připomínkovém řízení je nyní novela zákona č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), která se také zásadně nově dotýká osobních údajů.

Součástí novely je vytvoření centrální evidence psů, ve které by měly být uvedeny také osobní údaje statisíců majitelů psů. ÚOOÚ v rámci tohoto připomínkového řízení překontroloval mj. technické nastavení evidence a právní oporu, na základě které bude možné tyto osobní údaje evidovat.

Monitorování zaměstnanců

Pokud chce zaměstnavatel nějakým způsobem kontrolovat a tedy monitorovat své zaměstnance, musí při tom dodržovat podmínky stanovené zákoníkem práce a samozřejmě také pravidla vyplývající z obecného nařízení o ochraně osobních údajů. Vždy k tomu musí najít pádnou právní oporu. Při neoprávněném monitorování může být zaměstnavateli udělena pokuta až 1 milion Kč.

Běžně se v rámci kontroly lze setkat s otevřeným či skrytým monitoringem a to pomocí kamerového systému, lokátoru GPS, odposlechu a zaznamenávání hovorů či kontroly elektronické pošty nebo listovních zásilek adresovaných zaměstnanci.

Vždy by měla být dodržena zásada proporcionality, tedy úměrnost mezi narušením soukromí zaměstnance versus hodnota zájmů zaměstnavatele. Dále má zaměstnavatel povinnost zaměstnance o možnosti kontroly vždy informovat, například pomocí popisu uplatněných sledovacích mechanismů ve směrnici o zpracování a ochraně osobních údajů nebo v jiném, zaměstnanci přístupném vnitropodnikovém dokumentu.

Firemní testování zaměstnanců na Covid-19

Z důvodu nutnosti testovat zaměstnance na přítomnost nákazy Covid-19, která vyplývá z mimořádného opatření Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN), začínají nyní zaměstnavatelé z pohledu GDPR a zákona o zpracování osobních údajů realizovat novou činnost. Jelikož bude při této činnosti zaměstnavatel o svých zaměstnancích evidovat nové osobní údaje a zejména pak citlivé údaje – informaci o zdravotním stavu, musí začít plnit povinnosti ochrany osobních údajů. Je nezbytné se zaměřit na následující body:

  • Zaměstnavatel je oprávněn údaje shromažďovat pouze na základě právního důvodu „zákonná povinnost“ a „veřejný zájem v oblasti ochrany veřejného zdraví“.
  • Vést záznamy o činnosti zpracování této nové agendy.
  • Informace z testování používat pouze v souvislosti s plněním povinností uložených mimořádným opatřením.
  • Záznamy o provedení testů mohou obsahovat pouze nezbytné osobní údaje – jméno a příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, přesný čas provedení testu a výsledek testu.
  • Pokud má některý zaměstnanec z testování udělenou výjimku, je nutné o takové osobě vést pouze identifikační údaje a důvod výjimky z testování.
  • Doba uschování záznamů by měla být minimálně do zrušení mimořádného opatření a dále k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.
  • Maximálně zabezpečit tyto zpracovávané osobní údaje.
  • Zpřístupnit osobní údaje pouze těm zaměstnancům, kteří jsou k tomu oprávnění – např. osobě, která byla pověřena k plnění úkolů k dodržování mimořádného opatření.
  • Zajistit informovanost testovaných zaměstnanců o druhu a povaze testů, o zvoleném způsobu testování a samozřejmě o tom, jak budou jejich osobní údaje zpracovávány.
  • Vzorovou informaci pro zaměstnance a vzorový záznam o činnosti naleznete v příloze emailu – poslat pouze platícím zákazníkům.

Testování není nutné provádět v následujících případech:

  • Jestliže zaměstnanec prodělal laboratorně potvrzené onemocnění Covid-19, uběhla potřebná doba izolace, nejeví žádné příznaky nemoci Covid-19 a od prvního pozitivního PCR testu nebo antigenního testu neuplynulo více než 90 dní. Vše je povinno doložit lékařskou zprávou.
  • Dále pokud zaměstnanec předloží negativní výsledek PCR testu nebo profesionálně provedeného antigenního testu.
  • A také, pokud je daný zaměstnanec plně naočkovaný a od poslední dávky uplynulo alespoň 14 dnů.

Pokud zaměstnanec testování odmítne, je možné se domluvit na výkonu práce z domova, čerpání dovolené, poskytnutí neplaceného volna nebo na změně harmonogramu rozvržení směn. Jestliže se zaměstnanec a zaměstnavatel nedohodnou, půjde podle § 199 odst. 1 zákoníku práce o jinou důležitou osobní překážku v práci na straně zaměstnance, za kterou zaměstnanci však nepřísluší náhrada mzdy nebo platu. Zaměstnanci také podle zákona č. 94/2021 Sb. (pandemický zákon) hrozí finanční sankce.

Předávání údajů o karanténě policii

V souvislosti s pandemií Covid-19 dochází k enormnímu nárůstu evidovaných osob s nařízenou karanténou z důvodu možného propuknutí nemoci. Za celou dobu mělo karanténu nařízeno přes 421 tisíc osob. Informace o tom, že daná osoba je v karanténě, spolu s datem narození, trvalým bydlištěm a přechodným bydlištěm, předávaly všechny krajské hygienické stanice a Česká správa sociálního zabezpečení Policii ČR za účelem kontroly porušování zakázaného pohybu.

I v případě nouzového stavu však platí, že státní orgány musí zacházet s osobními údaji občanů vždy přesně v intencích zákona a zákonným způsobem, účelně a přiměřeně. Z tohoto důvodu pravděpodobně dojde k úpravě novely Ministerstva vnitra tak, aby mohla policie evidovat opakované porušování nařízení – např. neuposlechnutí zákazu provozovat služby. Dojde tedy k rozšíření registru přestupků o přestupky spáchané podle krizového zákona.

Rezervace návštěvy na úřadě

V případě, že si potřebujete něco vyřídit na úřadě, ve velké řadě případů je možné se na návštěvu objednat, tedy rezervovat přesné datum a čas. Dané rezervační systémy jsou většinou zajištovány soukromými společnosti, ale je to právě daný úřad, který se tak stává správcem osobních údajů ze systému získaných a nese všechnu odpovědnost. Aby daný úřad neporušoval ochranu osobních údajů, musí u dané společnosti zajistit, že v rezervačním systému budou po občanovi vyžadovány pouze nezbytné osobní údaje k zajištění rezervace.

Mezi nejčastější porušení ochrany osobních údajů v případě rezervačních systémů patří:

  • Sběr nadbytečného množství osobních údajů.
  • Nedostatečná informace, jaké osobní údaje a proč jsou zpracovávány. Také je velice často opomenuta informace o soukromé společnosti, která systém zajišťuje.
  • Nedostatečná informovanost o právech spojených s udělením souhlasu.
  • Nesprávné užití souhlasu.
  • Příliš dlouhá doba uložení dat.

Vzdělávání v oblasti ochrany osobních údajů a bezpečnosti na internetu pro děti

Úřad pro ochranu osobních údajů průběžně zveřejňuje dostupné hry a vzdělávací zdroje pro mládež, které pomáhají v rozvoji informační gramotnosti, ochrany osobních údajů a správným návykům při pohybu v online světě.

Odcizené přihlašovací údaje

V druhé polovině minulého roku probíhalo rozesílání phishingových emailů, v kterých byli příjemci vyzváni, aby otevřeli přiloženou HTML přílohu pro zobrazení naskenovaných dokumentů. Ve skutečnosti však šlo o podvržený email, který následně ukládal získaná hesla.

Veškerá hesla se pak ukládala do databáze, která se ale díky indexování webových stránek stala veřejnou a při pouhém zadání emailu okradené osoby bylo možné se dostat ke všem zcizeným přihlašovacím údajům.

Každé heslo, ať už je sebesilnější, je stále možné prolomit. Z tohoto důvodu je vhodné svá hesla pravidelně měnit, ideálně v intervalech tří měsíců.

Nejčastější důvody pokut

Za uplynulé roky, kdy je v platnosti Nařízení GDPR a příslušné zákony řešící ochranu osobních údajů, stále existují případy, a není jich málo, kdy kontrolní úřad musel sáhnout k udělení nemalých pokut. Existuje několik oblastí, ve kterých správci osobních údajů nejčastěji chybují:

  • Transparentnost – správce musí mít k dispozici pro subjekty údajů přehledný popis toho, jaké údaje a jakým způsobem je zpracovává. Tyto informace musí být také jednoduše dostupné.
  • Právní základ – veškeré osobní údaje může správce sbírat a zpracovávat jen pouze na základě řádného právního základu. Mezi ty nejzákladnější je možné zařadit povinnost danou zákonem, na základě uzavřené smlouvy, souhlasu či na základě oprávněného zájmu.
  • Nedostatečná implementace potřebného zabezpečení – během zpracovávání získaných osobních údajů musí být průběžně aktualizována dostatečná bezpečnostní opatření. Např. by mělo pravidelně docházet k monitorování osob, které mají k datům přístup, zajistit šifrování dat, zavádět používání vícefaktorového ověřování, logování neúspěšných přihlášení atp.
  • Nedodržení zásady minimalizace a doby ukládání dat – během získávání dat dochází často ke zpracování většího rozsahu dat, než je k danému účelu ve skutečnosti potřebné.

Sdílení fotek na internetu

Řada z nás za existence internetu a zejména sociálních sítí alespoň jednou sdílela fotku sebe, svých blízkých či přátel. Jedná se ale zejména o rodiče, kteří se se světem chtějí podělit o radost ze svých ratolestí a tak neváhají na internet „poslat“ kde co. V průměru se jedná až o 1 500 fotek, které rodiče nasdílí během pěti let od narození dítěte. Jedná se zejména o fotky z dovolených nebo úspěchy svých dětí.

S rozmachem sociálních sítí je ale také snaha upozornit uživatele na rizika spojená s využíváním těchto platforem. A jsou to právě fotky, které o nás nebo ostatních mohou prozradit mnohem více informací, než může být na první pohled patrné.

Mezi informace, které je možné velice často z fotografie či popisku zjistit patří:

  • Jméno a příjmení
  • Datum narození
  • Bydliště
  • Škola a třída, kterou dítě navštěvuje
  • Samotné dítě – obličej nebo obnažené tělo
  • Údaje uvedené na vysvědčení
  • Přezdívka
  • Název týmu, za které dítě hraje

Odstrašujícím příkladem je používání fotografií malých dětí pedofily, které jsou získávány z nezabezpečených fotografických portálů. Např. na jednom ruském webu se hojně objevily i fotky českých dětí.

Pokud se i přes všechny nástrahy rozhodnete sdílet fotografie dětí a daná platforma to nabízí, sdílejte informace pouze s vybraným okruhem přátel / uživatelů, nikoliv naprosto veřejně se všemi. A je dobré si pamatovat, že co jednou internet schvátí, už nikdy nenavrátí.

Zveřejňování kontaktů zaměstnanců obce

V případě veřejných institucí je možné se v případě zveřejňování osobních údajů zaměstnanců opřít o právní základ – zpracování osobních údajů nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo pro výkon veřejné moci či splnění právní povinnosti, která se na správce osobních údajů vztahuje.

Mezi osobní údaje, které je možné zveřejnit na webových stránkách např. úřadu patří:

  • Jméno a příjmení úředníka.
  • Funkce.
  • Služební telefonní číslo nebo email pouze u zaměstnanců, kteří přicházejí do kontaktu s občany či komunikují s dalšími institucemi.

Na zvážení je pak zveřejnění titulu, neboť v případě nižšího vzdělání může docházet k „poškození“ dané osoby. Proto je doporučováno uveřejnit titul pouze u vedoucích osob nebo se souhlasem daného zaměstnance. Bez souhlasu by také neměly být uveřejněny soukromá telefonní čísla, fotografie či životopis.

Brexit a GDPR

V okamžiku, kdy se Velká Británie přestala řadit mezi země EU a stala se tak třetí zemí ve vztahu k GDPR, se zásadně změnil režim ochrany osobních údajů na jejím území, včetně pravidel pro předávání osobních údajů z EU a opačně.

Jestliže společnost se sídlem ve Velké Británii bude dostávat data z EU (např. bude poskytovat cloudové úložiště), budou tato data předávána do třetí země. Takovéto předávání dat se pak bude muset dít pouze za splnění konkrétních podmínek GDPR. Jako nejvýhodnější se jeví vydání rozhodnutí Evropské komise o odpovídající ochraně osobních údajů. Takovým rozhodnutím se řídí vůči EU již 12 zemí světa, jako je např. Kanada, Švýcarsko, Nový Zéland nebo Japonsko. Jako další možnost je pak pro správce uzavřít s každým zpracovatelem jednoduché smluvní doložky o ochraně osobních údajů.

Za těchto okolností bylo vyjednáno, že po dobu šesti měsíců, tedy nejpozději do konce června 2021, bude předávání osobních údajů fungovat stále za stejných podmínek, řídí se tedy obecným Nařízením GDPR. Do této doby je Velká Británie povinna předložit a s EU schválit nová pravidla. Pokud se tak nestane, zařadí se Velká Británie skutečně do režimu třetí země a předávání osobních údajů se tak značně zkomplikuje.

WhatsApp a jeho nové podmínky

Začátkem roku mnoho z nás, kteří používáme ke komunikaci aplikaci WhatsApp, obdrželo informaci o tom, že bude nutné k dalšímu využívání aplikace nejpozději do 8. února 2021 akceptovat nové zásady ochrany osobních údajů. Hlavním tématem bylo to, že WhatsApp měl od tohoto data předávat získané osobní údaje z konverzací společnosti Facebook, jakožto majiteli této aplikace k dalšímu zpracování. Tyto nové změny rozpoutaly masivní přesun uživatelů na jiné aplikace, jako je Signal nebo Telegram.

WhatsApp po vzniklém pozdvižení učinil nápravné kroky, mezi které patří nejen odsunutí účinnosti nových zásad o tři měsíce, ale zejména upřesnění a vysvětlení nových podmínek uživatelů.

Změna zásad se totiž vůbec neměla týkat osobních účtů uživatelů ani jejich soukromých konverzací, ale účtů firemních a konverzací mezi zákazníkem a firmou v rámci nákupů nebo zákaznické podpory. Získaná data měla pak být zpracovávána pro marketingové účely a tím i cílenou reklamu.

Nejdůležitější informace však je, že nové zásady jsou vytvořeny ve dvou variantách, kdy výše uvedené platí pouze pro uživatele mimo EU. V rámci České republiky a EU se nás tato změna netýká, neboť jsme chráněni přísnějšími pravidly GDPR. Přesto se jedná o velmi pěknou ukázku změny myšlení uživatelů online služeb, kdy již není možné vynuceným odsouhlasením změn podmínek užití bez povšimnutí prosadit další (zne)užívání osobních údajů.

Zásady ochrany soukromí neboli Privacy Notice

Každý majitel webových stránek, který nějakým způsobem shromažďuje a zpracovává osobní údaje návštěvníků či zákazníků, je povinen o takovém zpracování stručně, transparentně a srozumitelně všechny informovat. Z toho důvodu se nabízí zpracování tzv. Zásad ochrany soukromí (Informační memorandum), které nám dají informaci o tom, zda jsou naše osobní údaje pro majitele webových stránek důvěrné, zda jsou dále sdíleny nebo předávány třetím stranám.

Při vytváření takových Zásad je dobré reflektovat odpovědi na následující otázky:

  • Je má společnost / organizace správcem nebo zpracovatelem?
  • Mám povinnost jmenovat pověřence, a tím uvést i jeho / její kontakty?
  • Jaké konkrétní informace shromažďuji?
  • Kdo ve skutečnosti daná data sbírá?
  • Jak jsou shromažďována?
  • Z jakého důvodu jsou shromažďována?
  • Jak je budu následně používat?
  • Budu data dále s někým sdílet?
  • Bude nějaký dopad na dotčené osoby?
  • Hrozí, že naše použití získaných osobních údajů povede ke stížnostem či dokonce k námitkám?

Jak vytvořit silné heslo

Používání hesel je jedno ze základních druhů zabezpečení. Používáme ho při přihlášení do počítače, mobilního telefonu, aplikací, systémů apod. Každý z nás by měl při tvorbě hesla dbát na základní pravidla, která zajistí jeho větší „sílu“ tedy míru odolnosti při snaze heslo prolomit. Zaměstnavatelé by měli nastavit jasná kritéria při vytváření hesel do nejrůznějších aplikací a systémů s vynucením pravidelné obměny hesla.

Z hlediska náročnosti prolomit slabá hesla trvá méně než jednu sekundu např. u hesla „123456“. Stejně si stojí také heslo „heslo“ či „111111“.

Při tvorbě každého hesla doporučujeme dodržovat následující pravidla:

  • Pro každý uživatelský účet vytvořte zcela odlišné a silné heslo, nepoužívejte pouze několik hesel, která střídáte.
  • Nepoužívejte jména rodinných příslušníků, domácích mazlíčků, herců, názvy oblíbených filmů či seriálů, sportů, jídel, nadávek ani pozitivních slov. Stejně je tomu u řady po sobě jdoucích písmen nebo čísel. Dále nepoužívejte osobní údaje spjaté s vaší osobou – datum narození, rodné číslo, adresu apod.
  • Dodržujte dostatečný počet znaků, tedy minimálně 12.
  • Kombinujte velká a malá písmena, ideálně háčky a čárky, čísla a speciální znaky. Vše používejte na různých pozicích hesla.
  • Nepoužívejte nahrazování písmen tvarově podobnou číslicí, jako je např. „VEVERKA“ za „V3V3RKA“.
  • Pokud je to možné, používejte dvoustupňové neboli dvoufaktorové ověření / autentizaci pomocí hesla a např. SMS zprávy.

Právní základ pro videokonference

S pokračující situací kolem pandemie koronaviru se primárním způsobem jednání staly vzdálené videokonference. Online komunikace je také základní komunikační kanál v rámci školské výuky.

Abychom mohli ke komunikaci využívat videokonference, tedy zapojit do hovoru také obraz, je stále nutné si tento požadavek obhájit i z pohledu GDPR. Existují právní základy, které nám dovolují video během hovoru používat:

  • Udělený souhlas – lze použít pouze tehdy, pokud ke komunikaci existuje i jiná alternativa.
  • Plnění uzavřené smlouvy.
  • Oprávněný zájem odpovědné osoby.
  • Zákon – v případě orgánů veřejné moci např. školský zákon, v případě plnění pracovních povinností pak zákoník práce.

Dále doporučujeme při práci z domova aktivovat jiné pozadí či vyrovnat kameru tak, aby nedošlo k zásahu do soukromí účastníka hovoru.

Registrační systém na antigenní testování

Během uplynulých týdnů bylo možné se v souvislosti s Covid-19 objednat na tzv. antigenní testování přítomnosti viru v těle. Na takové testování bylo a je nutné se předem objednat pomocí rezervačních systémů jednotlivých testovacích míst. Velké množství nemocnic využívá k registraci rezervační systém Reservatic, který je součástí centrálního státního rezervačního systému.

Tento systém, provozovaný ostravskou společností Reservatic, však kromě vytvoření rezervace posílal některé získané osobní údaje společnostem jako je Seznam, Facebook či Google, které následně zacílí zobrazovanou reklamu. V současné době jsou již některé skripty odstraněny, ne ovšem plně.

V souvislosti s tímto zjištěním byla zahájena kontrola Úřadem pro ochranu osobních údajů, která zahrnuje také prošetření rezervačního systému na očkování, jež dle zjištění obsahuje zásadní nedostatky a pochybení z hlediska ochrany osobních údajů.

Dále je vhodné upozornit, že rezervační systémy velice často sbírají některé osobní údaje neoprávněně. Jedná se např. o rodné číslo, které je možné získávat až při dané návštěvě z kartičky pojištěnce či v případě antigenních testů bydliště a telefon. Tyto údaje testovací místo nepotřebuje, neboť výsledek se dozvíte okamžitě na místě.

Jak správně vyžadovat souhlas

Souhlas je jedním z právních základů, které opravňují správce zpracovávat jisté osobní údaje. Zároveň bylo již několikrát řečeno, že souhlas musí být jasný, dobrovolný a vědomý.

Mezi nejčastější chyby při sběru souhlasů se zpracováním osobních údajů patří:

  • Souhlas je zakomponovaný do obchodních podmínek a subjekt údajů nemá možnost se k souhlasu vyjádřit samostatně. Tímto je donucen „se souhlasem souhlasit“, pokud si chce daný produkt koupit nebo uzavřít smlouvu.
  • Políčko, které je uvedeno u souhlasu je předem zaškrtnuto a vy musíte ručně souhlas odškrtnout, pokud s daným zpracováním osobních údajů nesouhlasíte.

V případě první situace je takovéto vyžadování souhlasu zcela neakceptovatelné. Druhá situace dává možnost se k souhlasu vyjádřit, je však stále v rozporu s Nařízením GDPR. Správný postup je takový, kdy subjekt údajů musí sám, dobrovolně a vědomě políčko zaškrtnout. Správce je pak povinen daný souhlas subjektu údajů na vyžádání předložit.

Kamerový systém a souhlas

Velice často se setkáváme se situací, kdy zaměstnavatel či různá sdružení vyžadují souhlas zaměstnanců nebo členů při pořizování kamerového systému. Nejprve je potřeba připomenout, že samotné pořízení zabezpečovacího kamerového systému nesouvisí s problematikou GDPR. Jeho následné používání už ale ano.

V případě, že jsou respektovány základní zásady jako je například to, že kamerový systém nebude zasahovat do svobod a soukromí fyzických osob a všechny osoby jsou o pořizování záznamů prokazatelně informovány, je možné dané zpracovávání osobních údajů odůvodnit oprávněným zájmem zajistit bezpečnost osob a majetku. V takovémto případně není nutné a ani možné od daných osob vyžadovat souhlas, neboť daný kamerový systém by byl nainstalován i pokud by nesouhlasila jediná osoba. Zároveň není vhodné vyžadovat souhlas i z důvodu, že každý udělený souhlas musí být odvolatelný, což není v takovémto případě proveditelné.

Platba osobními údaji při poskytování digitálního obsahu či digitálních služeb

V současné době již existují obchodní modely, kdy spotřebitel neplatí obchodníkovi za digitální obsah či digitální služby, ale namísto toho mu poskytuje osobní údaje. V právních předpisech se tedy postupně zakotvuje nový termín – tzv. platba osobními údaji. Směrnice Evropského parlamentu a Rady (EU) 2019/2161 ze dne 27. listopadu 2019 (tzv. Doprovodná směrnice) přinesla úpravu čtyř stávajících unijních spotřebitelských směrnic, mezi nimi i směrnici 2011/83/EU o právech spotřebitelů, která mj. upravuje a bere v potaz jak situace, kdy spotřebitel platí nebo se zavazuje platit penězi, tak i ty, kdy spotřebitel poskytne nebo se zavazuje poskytnout obchodníkovi své osobní údaje za určitou službu.

Doprovodná směrnice zajistila konzistentnost mimo jiné se směrnicí Evropského parlamentu a Rady (EU) 2019/770 ze dne 20. května 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb, která se vztahuje i na smlouvy, na jejichž základě poskytovatel poskytuje nebo se zavazuje poskytovat digitální obsah nebo digitální službu spotřebiteli a spotřebitel poskytne nebo se zavazuje poskytnout osobní údaje.

Směrnice 2011/83/EU a směrnice 2019/770/EU se tedy vztahují na smlouvy o poskytování digitálních služeb a obsahu, který není poskytován na hmotném nosiči (tj. poskytnutí digitálního obsahu online), bez ohledu na to, zda spotřebitel platí cenu v penězích nebo poskytne osobní údaje. V těchto případech vždy vzniká smluvní vztah. Větší ochranu, transparentnost a více práv pro spotřebitele přinese transpozice Doprovodné směrnice členskými státy, která je stanovena k 28. listopadu 2021.

I přes novelizaci relevantních zákonů a směrnic by obchodník měl nadále provádět veškeré zpracování osobních údajů spotřebitele v souladu s Nařízením GDPR. Směrnicemi nejsou nijak dotčena práva spotřebitelů, jakožto subjektu údajů, která se vztahují na veškeré osobní údaje poskytnuté spotřebitelem obchodníkovi nebo shromážděné obchodníkem v souvislosti se smlouvou a v okamžiku, kdy spotřebitel ukončil smlouvu v souladu se směrnicemi.

Komunikace přes videokonference

Současná situace ohledně šíření nakažlivé nemoci – koronaviru zapříčinila značné zapojení videokonferencí při běžné komunikaci mezi zaměstnanci, klienty, ale i v rámci výuky na školách. Je na místě tedy připomenout, že během online jednání či výuky dochází ke zpracování osobních údajů a je nutné zajistit dostatečné organizační a technická zabezpečení. Obraz, zvuk, stejně jako osobní údaje uvedené v promítaných dokumentech či v textu chatu, tak i metadata komunikace jsou osobními údaji.

Většina videokonferencí je realizována přes externí provozovatele těchto služeb. Jedná se například o MS Teams, Cisco Webex, Zoom, Google Classroom atd. V takovém případě se daný provozovatel považuje za zpracovatele osobních údajů a je tedy nutné mít vše pokryté uzavřenou zpracovatelskou smlouvou.

Dále je potřeba mít na paměti, že primární zodpovědnost vždy nese osoba, která online jednání zorganizovala.

Emaily či SMS obsahující přání k Vánocům

V minulých několika týdnech většina z nás obdržela email či SMS s přáním k svátkům. Podle zákona č. 480/2004 Sb., o některých službách informační společnosti se takové zprávy považují za obchodní sdělení, neboť se jedná o sdělení určené ke zlepšení image podniku.

Takováto obchodní sdělení však stále musí splňovat určité podmínky, nelze je posílat kdekomu. Emaily či SMS je možné poslat na kontakty, které:

  • V minulosti udělily souhlas se zasíláním obchodních sdělení. Těmto kontaktům je pak možné poslat samostatné přání.
  • Nebo kontaktům, které jsou s danou organizací v obchodním vztahu (v minulém či současném období). V tomto případě musí být přání připojeno k obchodnímu sdělení, které se bude týkat vlastních, obdobných výrobků či služeb, které byly dodány nebo poskytnuty v rámci obchodního vztahu. Není tedy možné poslat samostatné přání.

Další metody sledování kromě známých cookies

Mezi další nástroje, které nejsou zatím tak známé, diskutované a kontrolované je možno zařadit tzv. trackery a pixely. Tyto nástroje mají, stejně jako cookies, sledovat chování uživatele a shromažďovat o něm potřebné informace. Je možné je najít na většině webových stránek.

Trackovací, neboli sledovací / profilující pixel je pro uživatele neviditelný obrázek, který přidá provozovatel webu nebo odesílatel do emailu či odkazu. Po kliknutí na odkaz nebo pouhým otevřením emailu dostane autor informaci, že jste tak učinili.

Tyto sledovací nástroje a techniky tak zjišťují a posílají informace o uživateli, které jsou dále zpracovávány do profilů na základě kterých je zacílena reklama. Mezi získávané informace je možné zařadit:

  • IP adresu, ze které je možné zjistit poskytovatele internetových služeb, polohu a data z profilu na sociálních sítích.
  • Aktivitu vykonanou na daném webu.
  • Čas návštěvy webu nebo otevření emailu.
  • Používaný operační systém.
  • Typ webového prohlížeče.
  • Typ emailového klienta.
  • Použité rozlišení monitoru.

Trackery a pixely podléhají, stejně jako cookies, Nařízení GDPR a jejich autor by měl vždy na jejich využívání uživatele upozornit pomocí souhlasu. Výjimkou mohou být pouze případy, kdy tyto nástroje slouží k poskytnutí dané služby z hlediska technického nastavení a neposkytují specifické informace o každém uživateli.

Sledování pomocí pixelů je možné omezit, pokud:

  • Bude email a prohlížeč nastaven na nejvyšší úroveň ochrany soukromí.
  • Budete v prohlížeči používat rozšíření, které zviditelní sledovací pixely.
  • Budete používat anonymní procházení.
  • Zamezíte používání Javaskriptu v prohlížeči.

Zpracování biometrických osobních údajů

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách neoficiální překlad materiálu Evropského inspektora ochrany údajů s názvem Čtrnáct nedorozumění ohledně biometrické identifikace a autentizace, který reflektuje současný zájem o oblast zpracování biometrických osobních údajů a upozorňuje na některá obecně rozšířená nedorozumění.

Mezi časté omyly a skutečnosti patří následující body:

  • Biometrická informace je uchovávána v samotném algoritmu – zpracované informace jsou uloženy v tzv. vzorech, šablonách či podpisech.
  • Užívání biometrických údajů je stejně rušivé jako jakýkoliv jiný identifikační / autentizační systém – zpracování biometrických údajů je více rušivé, dochází ke zpracování většího rozsahu osobních údajů.
  • Biometrická identifikace / autentizace je přesná – procentuálně je biometrická identifikace přesná na zhruba 96 % na rozdíl od hesla, kde musí být shoda 100%.
  • Biometrická identifikace / autentizace je natolik přesná, aby vždy rozlišila mezi dvěma osobami – v případě sourozenců může vzniknout chybovost správné identifikace.
  • Biometrická identifikace / autentizace je vhodná pro všechny osoby – některé osoby mající specifické biologické vlastnosti a fyziologické znaky nedokáže daný systém rozpoznat.
  • Postup biometrické identifikace / autentifikace nelze obejít – biometrickou identifikaci lze obejít pomocí 3D masek či kopií otisků prstů.
  • Biometrická informace nemůže být prozrazena – některé biometrické údaje je možné zjistit na dálku, např. pohybový vzorec chůze, obrysy obličeje apod.
  • Jakékoliv biometrické zpracování předpokládá identifikaci / autentizaci – biometrické údaje mohou sloužit pouze k rozlišování mezi člověkem a robotem, zvířetem či pohlavím aniž by docházelo k identifikaci.
  • Biometrické identifikační / autentizační systémy jsou pro uživatele bezpečnější – stejně jako u jiných systémů, může i zde dojít k porušení zabezpečení, které může vést k obdobným škodám jako v případě úniku hesla.
  • Biometrická autentizace je silná – systém založený pouze na biometrické identifikaci je považován naopak za slabé ověření.
  • Biometrická identifikace / autentizace je uživatelsky přívětivější – používání biometrické identifikace může navodit pocit narušení soukromí, dále mohou být některé osoby nekompatibilní či nemožnost přihlášení v případě selhání systému.
  • Biometrickou informaci převedenou do hashe nelze obnovit – odstraněný biometrický údaj lze znovu obnovit a přečíst.
  • Uložená biometrická informace neumožňuje rekonstrukci původní biometrické informace, ze které byla získána – z uložené biometrické informace lze částečně zrekonstruovat původní biometrický údaj, kterým může být např. obličej.
  • Biometrická informace není interoperabilní – systémy jsou naopak vytvářeny tak, aby byly schopny mezi sebou vzájemně spolupracovat.

Podrobnější informace naleznete na stránkách ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=43988.

Bezpečností incident – porušení zabezpečení osobních údajů

V současné době neplatí, že by správce osobních údajů musel ohlašovat každé porušení zabezpečení osobních údajů. Ohlašuje se pouze takový incident, který může mít za následek riziko pro práva a svobody fyzických osob. Správce osobních údajů musí ohlásit například ztrátu osobního spisu zaměstnance, avšak už není nutné hlásit ztrátu prezenční listiny ke školení.

Každé ohlášení porušení zabezpečení osobních údajů musí obsahovat (https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5020):

  • Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů.
  • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
  • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn. zejména ve vztahu vůči subjektům údajů).
  • Popis opatření, která správce / zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Porušení zabezpečení osobních údajů ohlásí správce osobních údajů dozorovému úřadu (Úřad pro ochranu osobních údajů) elektronickou formou použitím formuláře Ohlášení porušení zabezpečení osobních údajů dle GDPR, který zašle na e-mailovou adresu posta@uoou.cz nebo do datové schránky ÚOOÚ: qkbaa2n.

Pokud porušení zabezpečení osobních údajů zjistí zpracovatel osobních údajů, tak toto porušení ohlásí správci osobních údajů.

Incident se musí ohlásit ÚOOÚ do 72 hodin od okamžiku, kdy se o něm správce osobních údajů dozvěděl.

Jestliže je pravděpodobné, že má porušení zabezpečení osobních údajů za následek zásadní riziko pro práva a svobody dotčených osob, je nutné dané osoby o incidentu informovat. V případě nepřiměřeného úsilí při oznamování může správce osobních údajů informovat pomocí veřejného oznámení nebo podobného opatření.

Pokud se organizace řídí zákonem č. 181/2014 Sb., o kybernetické bezpečnosti může vznikat informační povinnost také vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) či CSIRT.CZ.

Školská zařízení – používání kamery při distanční výuce

V rámci zavedených opatřeních z důvodu šíření nakažlivé nemoci – koronaviru musela školská zařízení v České republice přejít z prezenční výuky na výuku distanční. Tento druh výuky má za úkol co nejlépe kopírovat podmínky vyučování ve třídě. Z tohoto důvodu je kontakt učitele a žáka přes online výuku nezbytný a požadavek na zapnutou kameru je tedy zcela legitimní, neboť se distanční výuka v nastalé situaci opírá o splnění úkolu ve veřejném zájmu ve smyslu čl. 6 odst. 1 písm. e) Nařízení GDPR. Škola vždy musí distanční výuku přizpůsobit individuálním podmínkám a technickým možnostem jednotlivých žáků a pedagogů.

Ministerstvo školství, mládeže a tělovýchovy zpracovalo pro školská zařízení Metodické doporučení pro vzdělávání distančním způsobem (https://www.msmt.cz/file/53629/), které shrnuje právní, organizační a pedagogické prvky distančního způsobu vzdělávání.

Bezpečnostní rizika spojená s prací z domova

Současná situace ohledně šíření nakažlivé nemoci – koronaviru donutila mnoho zaměstnavatelů změnit pohled na práci z domova, tzv. home office. Práce z domova však sebou přináší jistá bezpečnostní rizika, která mohou mít dopad do oblasti ochrany osobních údajů.

Společnosti, jejíchž zaměstnanci začali z velké míry pracovat z domova, musí stále dodržovat platné smlouvy a s tím i dostatečná technická a organizační opatření zajišťující náležitou úroveň bezpečnosti. Společnosti budou muset zavést nové procesy práce s daty určující, jakým způsobem budou ukládána, jak a kdy budou odstraněna nebo zničena. Zaměstnanci mohou být donuceni využívat soukromá zařízení jako mobilní telefony a notebooky, které nemusí poskytovat dostatečné zabezpečení.

Zaměstnavatel by měl klást důraz zejména na následující body:

  • Všechna zařízení využívaná k práci musí být po dokončení práce uzamčena a uložena na bezpečném místě, kde nemůže dojít k odcizení. Zároveň by měla existovat možnost výmazu vybraných dat na dálku.
  • Zajistit softwarovou aktualizaci společně s pravidelným zálohováním dat.
  • Nastavit silná hesla a šifrování dat.
  • Pro pracovní účely nepoužívat soukromé e-mailové účty.
  • Připomínat obezřetnost na podvržené emaily – phishing (v dnešní době je zjištěn zvýšený počet útoků).
  • Dokumenty, které jsou za běžného chodu uloženy v uzamčené kartotéce, nenechávat volně na stole k nahlédnutí či ztrátě. Zároveň zajistit řádnou likvidaci všech dokumentů obsahující osobní údaje.

Zpracování osobních údajů prostřednictvím externího informačního systému

Za zpracování osobních údajů je vždy odpovědný správce osobních údajů (viz čl. 5 odst. 2 a čl. 24 Nařízení GDPR). Správce je odpovědný i za zapracování osobních údajů prostřednictvím externího informačního systému (informačního systému externího dodavatele). Správce má tedy povinnost zajistit a být schopen doložit, že zpracování osobních údajů je prováděno v souladu s Nařízením GDPR.

Při výběru informačního systému musí vždy správce osobních údajů posoudit možnosti jeho funkcionalit a nastavení, a to i s ohledem na ochranu osobních údajů (čl. 25 Nařízení GDPR – záměrná a standardní ochrana osobních údajů, čl. 5 odst. 1 Nařízení GDPR – základní zásady, např. minimalizace údajů).

Z hlediska ochrany osobních údajů je neakceptovatelné argumentovat skutečností, že správce osobních údajů využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který koupil či mu byl dodán. Pokud si správce osobních údajů pořizuje složitější informační systém, musí již od počátku spolupracovat s dodavatelem (vývojářem) informačního systému, aby informační systém odpovídal potřebám správce i s ohledem na jeho odpovědnost dle Nařízení GDPR.

ÚOOÚ upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že stejný informační systém je využíván i dalšími obdobnými správci.

Podle GDPR má každý, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, právo obdržet od správce osobních údajů nebo zpracovatele osobních údajů náhradu. Vzhledem k tomu by správce osobních údajů, který má pochybnosti o nastavení systému externím dodavatelem v souladu s Nařízením GDPR, měl zvážit spolupráci raději s takovým, který nastavení systému garantuje a případně by se na pokrytí újmy podílel.

Cookies na webových stránkách – režim OPT-IN vs. OPT-OUT

Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies (datových souborů), které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR. Existuje několik druhů cookies, od těch nejzákladnějších, které pomáhají nastavit správné zobrazení a fungování dané webové stránky, po cookies, které slouží k marketingovým účelům. Pro všechny cookies však platí, že správce webových stránek musí o používaných cookies informovat každého návštěvníka.

Varianty souhlasu s cookies na webových stránkách:

  • Režim OPT-IN: reklamní cookies se neuloží, dokud není kliknuto na „Souhlasím“. Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.
  • Režim OPT-OUT: cookies se ukládají, dokud je uživatel neodmítne.

Problematika cookies je řešena po celou platnost Nařízení GDPR. V současnosti ale panuje rozpor mezi českou právní úpravou cookies uvedenou v § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích (zde je dle jazykového výkladu uveden režim OPT-OUT) a směrnicí 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (tzv. směrnice o e-privacy), jež stanovuje režim OPT-IN, tedy možnost cookies odmítnout, nikoliv je aktivně povolit.

Zavedení režimu OPT-IN podpořil i Evropský sbor pro ochranu osobních údajů. ÚOOÚ tedy doporučuje upřednostnit v rámci cookies režim OPT-IN, jelikož se jedná o celoevropsky uznávaný přístup a zároveň je navrhován v rámci novelizace zákona o elektronických komunikacích.

Zpracovávání osobních údajů zaměstnanců

Dle Nařízení GDPR existuje celkem 6 důvodů, které opravňují zaměstnavatele ke zpracovávání osobních údajů zaměstnanců, avšak zaměstnavatel většinou použije následující:

  • zpracování je nezbytné k plnění smlouvy uzavřené se zaměstnancem (pracovní smlouva, DPČ, DPP);
  • zpracování je nezbytné k plnění právní povinnosti zaměstnavatele;
  • zpracování je nezbytné pro účely oprávněných zájmů zaměstnavatele;
  • zaměstnanec udělil souhlas.

Velice často se stává, že zaměstnavatel od svých zaměstnanců vyžaduje ke zpracování souhlas. Ten by měl být jednak použit velice opatrně a zároveň je ve většině případů použit zbytečně, neboť zaměstnavatel se primárně řídí plněním povinností plynoucí z uzavřené smlouvy a právních povinností uložené legislativou.

Po zániku pracovního vztahu je zaměstnavatel oprávněn uchovávat osobní údaje po nezbytně dlouhou dobu. Důvodem je primárně plnění zákonných lhůt archivace, ale i řešení případných sporů se zaměstnancem. Obvyklé lhůty pracovněprávních dokumentů jsou:

  • evidenční listy – 3 roky;
  • záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti – 6 let;
  • záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti u poživatelů starobního nebo invalidního důchodu – 10 let;
  • mzdové listy, účetní záznamy pro účely důchodového pojištění, např. doklady o pracovním vztahu, záznamy o pracovních úrazech, nemocech z povolání, záznamy o evidenci pracovní doby – 30 let.

Cíle a hodnocení zaměstnanců z pohledu osobních údajů

Stejně jako mzdová a personální agenda, tak i v případě cílů a hodnocení zaměstnanců se jedná o osobní údaje a je tedy nutné s nimi zacházet stejným způsobem.

Informace týkající se hodnocení pracovní výkonosti, dosažení ročních cílů zaměstnanců apod. je zaměstnavatel povinen zabezpečit a samozřejmě po uplynutí potřebné lhůty také zlikvidovat. Aktuálně platná legislativa bohužel neuvádí skartační lhůty týkající se těchto osobních údajů, je doporučeno tyto informace zachovávat přiměřeně dlouhou dobu po skončení pracovního poměru, neboť mohou být použity při obraně proti nařčení např. z diskriminace před soudem nebo pro případné kontroly inspekce práce. Jako přiměřeně dlouhá doba je v tomto případě doba trvání promlčecí lhůty, která trvá 3 roky.

Whistleblowing a ochrana osobních údajů

Whistleblowing je termín, kdy současný nebo bývalý zaměstnanec organizace upozorní oprávněný orgán či instituci na nezákonné nebo neetické chování zaměstnavatele.

Všechny členské státy EU musí do 17. prosince 2021 transponovat směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie (tzv. směrnici o whistleblowingu). Z tohoto důvodu Ministerstvo spravedlnosti vypracovalo návrh zákona o ochraně oznamovatelů protiprávních jednání – whistleblowerů, který je nyní v připomínkovém řízení.

V současné době zatím není známa konečná podoba zákona o ochraně oznamovatelů, je však možné konstatovat, že každá organizace bude povinna zavést nové procesy, které mj. budou muset respektovat ochranu osobních údajů.

Obce a aplikace ochrany osobních údajů

Přestože je Nařízení GDPR účinné více jak dva roky, stále většina obcí nenaplňuje dostatečnou ochranu osobních údajů občanů a zaměstnanců. Povinnost jmenovat pověřence pro ochranu osobních údajů sice obce splnily, ale zaměstnanci stále plně nedodržují zásady bezpečnosti. Například:

  • navštěvují podezřelé internetové stránky;
  • otvírají podezřelé emaily;
  • nemají dostatečně silné heslo;
  • vyzrazují důvěrné informace ze správních řízení;
  • neaktualizují dokumentaci GDPR vytvořenou v roce 2018;
  • zveřejňují identifikační údaje žadatele ve zveřejněných odpovědích na žádost o informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím;
  • neoprávněně nahlížejí do registrů;
  • nedostatečně zabezpečí dokumenty s osobními údaji.

Fotografie dětí na internetu

Městská část Praha 11 zveřejnila v rámci bezpečnostní prevence rizikovost sdílení fotek na internetu:

  • Nechtěný zájem o vaše dítě může vyvolat jedna jediná fotka umístěná veřejně kdekoli na síti. Je to fotka před domem, ve vaší čtvrti, u školy, v kroužku? Dáváte tím světu na vědomí, kde se vaše dítě pravidelně pohybuje.
  • Tisíce lidí cíleně procházejí profily na sociálních sítích, internetová alba, videa, blogy a další webové stránky jen za tím účelem, aby našly „atraktivní“ fotky či nahrávky dětí. Někteří se „jen“ podělí o své úlovky na diskuzním fóru, jiní mohou mít touhu se s takovým dítětem setkat. Ti, kteří pouze předávají fotky, dostávají obsah k dalším. Nemáte šanci je nikdy poznat, stejně jako jejich motivace.
  • Myslete na to, že každá fotka, kterou jednou vložíte, žije na internetu navždy. Nikdy ji nesmažete. Nevíte, kdo ji má v počítači, komu ji pošle, na co ji použije a za jak dlouho ji může nechat opět vynořit.
  • Na takzvaném darknetu, tedy ve veřejnosti složitě přístupné části internetu, jsou fotky dětí z celého světa, ke kterým si pedofilové předávají důvěrné informace a vkládají sexuálně laděné komentáře.
  • Nejde zdaleka jen o to, jaké informace sami zveřejníte o svém dítěti. Internet je přece síť a v kombinaci s fotkami potenciálně velmi nebezpečná. Jaké informace jste zveřejnili o sobě, jaké jste publikovali vlastní fotky? Kolik snímků má škola na svém Facebooku či webu a kolik kamarádi vašeho dítěte? K těm se dá přece také snadno dostat: jsou to přátelé na Facebooku, sledující a sledovaní na Instagramu, komentující na Youtube. Vše se doplňuje a je to mozaika plná vodítek.
  • Zdaleka ne poslední bod, ale jeden z hlavních: Jaké přátele sami máte na sociálních sítích, kde zveřejňujete fotky potomků? Jste schopni se za všechny zaručit? A pokud jste přesvědčeni, že ano, víte, jak mají silná hesla? Víte, kdo s nimi v domácnosti používá počítač nebo jiné zařízení, přes které přistupují na sítě? Víte, že se nikde nezapomínají odhlásit?

Doporučujeme k pročtení celý článek, který zasazuje celý problém do reálného prostředí a vše dokresluje (http://www.praha11.cz/redakce/index.php?lanG=cs&slozka=7532&xsekce=8265&clanek=12427).

Pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí

Na jednání zastupitelstev obcí vždy vystupují konkrétní identifikovatelné fyzické osoby (zastupitelé), občané z řad veřejnosti a ve většině případech při projednávání jednotlivých bodů jednání zaznívají i osobní údaje dalších osob. V případě pořízení, uchování a zveřejnění zvukového či audiovizuálního záznamu z jednání zastupitelstva obce se jedná o zpracování osobních údajů, neboť záznamy mohou obsahovat informace týkající se identifikované nebo identifikovatelné fyzické osoby. Obec tedy v tomto případě vystupuje v postavení správce osobních údajů.

Nařízení GDPR přímo neupravuje pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí. Pokud se však jedná o veřejné vystoupení v záležitostech veřejného zájmu, lze pro pořizování a zveřejňování záznamů z jednání zastupitelstva aplikovat čl. 6 Nařízení GDPR, tj. naplnění oprávněného zájmu obce informovat veřejnost o dění na zastupitelstvu. Záznam z jednání zastupitelstva je možné tedy pořídit bez souhlasu zúčastněných osob, neboť je tento postup v souladu s § 88 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, který stanoví, že svolení není třeba ani v případě, když se podobizna, písemnost osobní povahy nebo zvukový či obrazový záznam pořídí nebo použijí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu.

Pro následné zveřejňování záznamu z jednání zastupitelstev obcí platí, že žádný právní předpis nestanovuje povinnost jejich zveřejnění a záleží tedy na obci, zda k tomuto kroku přistoupí, či nikoliv. Pokud ale povinnost zveřejňování nahrávání jednání stanoví zastupitelstvo obce v jednacím řádu, zveřejnit se musí. K případnému zveřejnění by mělo docházet na internetových stránkách obce, případně opoziční politické strany, nikoli na sociálních sítích, kde je vyšší riziko možného následného zpracování osobních údajů jinými subjekty.

Projednávají-li se na jednání zastupitelstva obce soukromé záležitosti občana, ať přítomného či nepřítomného, zejména týkající se jeho zdravotního stavu nebo sociální situace, je třeba pro zveřejnění záznamu na internetu tyto pasáže následně vypustit nebo anonymizovat. V takových situacích by mělo být i pořizování záznamu přerušeno a nezbytné informace zaznamenány pouze v textové formě. Zveřejnění oněch soukromých záležitostí, případně i pořízení záznamu, by v takovém případě mohlo být v rozporu s § 86 zákona č. 89/2012 Sb., občanský zákoník: Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit. Ve stejném rozsahu jsou chráněny i soukromé písemnosti osobní povahy. Porušení citovaného ustanovení občanského zákoníku může být předmětem občanskoprávní žaloby na osobnosti.

Základní pravidla pro pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí:

  • Před zahájením vlastního pořizování záznamu musí zaznít informace o tom, že bude pořizován záznam, za jakým účelem bude záznam pořizován a jakým způsobem bude s vytvořeným záznamem zacházeno.
  • Musí být splněna stanovená doba uchování osobních záznamů (resp. doby zveřejnění).
  • Anonymizovat soukromé záležitosti projednávané zastupitelstvem obce.
  • Umožnit subjektům údajů právo na námitku proti zpracování osobních údajů. Individuálně posoudit každou vznesenou námitku (tj. zda nedochází k nedůvodnému a nepřiměřenému zásahu do soukromí).

Účelem zpracování osobních údajů při jednání zastupitelstev obcí jsou v zásadě dva důvody:

  • Pořízení záznamu jako podkladu pro pozdější vyhotovení zápisu ze zasedání zastupitelstva obce.
  • Pořízení záznamu za účelem informování veřejnosti o činnosti obce a zastupitelstva (typicky prostřednictvím jeho zveřejnění na internetových stránkách obce).

Ať je záznam pořizován z rozhodnutí zastupitelstva obce či individuálně zastupitelem nebo jinou osobou, měli by být přítomní v souladu se zásadou transparentnosti o pořizování záznamu informováni předtím než je pořizování záznamu zahájeno. Prostor, kde probíhá jednání zastupitelstva obce, musí být označen informací o pořizování záznamu, kým bude záznam vyhotoven a za jakým účelem, komu mohou být osobní údaje zpřístupněny, a dále o právu přítomných na námitku proti zpracování osobních údajů (tj. proti existenci záznamu). Stejná informace může být např. i součástí jednacího řádu zastupitelstva obce. Tyto informace by měly zaznít na začátku každého jednání. Stejné podmínky platí pro pořizování audiovizuálního záznamu z jednání, a to pouze pro účely vyhotovení zápisu. V tomto případě by měl být obrazový záznam pořizován pouze z prostor, kde se nacházejí zastupitelé a příp. řečníci z řad veřejnosti. Kamera tedy musí být umístěna tak, aby nepřetržitě nezabírala prostor pro veřejnost, která se aktivně neúčastní.

Pořízení záznamu z jednání zastupitelstva obce pro potřeby vyhotovení zápisu se řídí § 95 zákona č. 128/2000 Sb., o obcích, které dává v povinnost z každého zasedání zastupitelstva obce pořídit zápis, a to do 10 dnů po skončení zasedání. Jedním z podkladů, na základě kterého lze zápis vyhotovit, může být právě zvukový či audiovizuální záznam.

Kopírování dokladů zaměstnanců

  • V případě daňových úlev zaměstnanců (např. na manželku, děti, hypoteční úroky) je plátcem daně zaměstnavatel. Ten má dle zákona č. 586/1992 Sb., o daních z příjmů povinnost předkládat daňová přiznání, ve kterých musí uvedené informace korespondovat s informacemi na předložených dokladech zaměstnanců.
  • Dle stanoviska ÚOOÚ není dovoleno pořizovat kopie předkládaných dokladů zaměstnanců pro důkazní účely v následných kontrolách. Kopie dokladů a listin je možné pořizovat pouze v případě zahájení kontroly Finančním úřadem.

Poskytovatel cloudových či hostingových služeb je zpracovatel osobních údajů

  • Mnoho společností, které nabízejí služby jako cloudové úložiště nebo zajišťují hostingový prostor, se často dle jejich názoru neřadí mezi tzv. zpracovatele osobních údajů. Jejich argumentací je skutečnost, že osobní údaje u nich uložené jsou šifrované, pseudonymizované a že nikdo ze zaměstnanců nemá k datům přístup ani je nijak nezpracovává. Avšak podle čl. 4 odst. 2 Nařízení GDPR je zpracováním osobních údajů i jejich pouhé uložení. Pro správce osobních údajů pak vyplývá povinnost s každým zpracovatelem osobních údajů uzavřít zpracovatelkou smlouvu.

Na co si dát pozor ve zpracovatelských smlouvách

  • Smlouva musí být uzavřena písemně či elektronicky. Pokud je smlouva nepsaná či zcela chybí, jedná se o porušení Nařízení GDPR a vinni jsou zpracovatel osobních údajů i správce osobních údajů.
  • Zpracovatelské smlouvy vytvořené samotným zpracovatelem osobních údajů velice často „kopírují“ text čl. 28 Nařízení GDPR a zcela opomíjí důležité části a informace.
  • Velice často ve smlouvách chybí předmět zpracování osobních údajů nebo není jasně specifikovaný. Stejně tomu je v případě trvání zpracování, kdy údaj musí mít jasné časové vymezení.
  • Povaha zpracování osobních údajů má reflektovat skutečné činnosti prováděné zpracovatelem. Příkladem může být: natáčení, nahrávání a archivace fotek.
  • Účel zpracování osobních údajů by neměl kopírovat účel uzavřené smlouvy. Správně formulovaným účelem je například detekce nezákonného vstupu na pozemek namísto pouhého provozování kamerového systému.
  • Zpracovatel by měl osobní údaje zpracovávat pouze na pokyn správce osobních údajů. Pokud zpracovatel osobních údajů překročí pokyny, které mu ke zpracování udělil správce, jednak porušuje své povinnosti a zároveň se sám stává správcem osobních údajů. To, jakým způsobem (např. email) bude zpracovateli dán pokyn ke zpracování, by mělo být jasně stanoveno v každé zpracovatelské smlouvě.
  • Jednou z nejčastějších chyb zpracovatelských smluv je nedostatečný popis nebo absence bezpečnostních opatření. Mnoho zpracovatelů osobních údajů pouze uvede informaci, že se zavazuje přijmout vhodná bezpečností opatření, avšak už není popsáno jaká.

Uveřejnění členů pracovní skupiny obce – občané i zastupitelé

  • V případě, že obec plánuje uveřejnit osobní údaje (identifikační údaje, údaje o zaměstnání nebo členství v zastupitelstvu, mobilní telefon a e-mailovou adresu) členů pracovní skupiny na svých webových stránkách, je zde namístě upozornit, že kompletní zveřejnění těchto osobních údajů není plně kryto plněním ve veřejném zájmu.
  • Na základě veřejného zájmu může obec uveřejnit jméno a členství v pracovní skupině, avšak kontaktní údaje nikoliv. Je však možné zveřejnit telefon či email pověřeného člena pracovní skupiny, který bude postupovat k projednání náměty z řad veřejnosti.

Doručování veřejnou vyhláškou na úřední desce

  • Ve smyslu § 25 zákona č. 500/2004 Sb., správní řád, je možné doručování veřejnou vyhláškou realizovat dvěma způsoby. Prvním způsobem je vyvěšením celé písemnosti na úřední desce správního orgánu, druhým způsobem pak vyvěšení pouhého oznámení o možnosti převzít písemnost. To, jakou možnost daný správní orgán zvolí, není již stanoveno, avšak je vždy nutné zajistit ochranu obsahu písemnosti a osobních údajů v ní obsažených.
  • Pokud je uveřejněno oznámení o převzetí písemnosti, měly by být uvedeny pouze osobní údaje nezbytné pro identifikaci adresáta.
  • V případě elektronické úřední desky nesmí být použito indexování, které umožní zobrazení oznámení i po jejich faktickém odstranění.

Střet zájmů Pověřence pro ochranu osobních údajů

  • Při jmenování Pověřence pro ochranu osobních údajů v rámci organizace je důležité předejít případnému střetu zájmu. Nařízení GDPR (čl. 38 odst. 6) stanovuje, že „Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“
  • Absence střetu zájmů úzce souvisí s požadavkem kladeným na Pověřence pro ochranu osobních údajů jednat nezávisle, tj. Pověřenci mohou v rámci organizace zastávat i jiné funkce, ale jinými úkoly a povinnostmi je lze pověřit jenom za předpokladu, že u nich nedojde ke střetu zájmů. Pověřenec pro ochranu osobních údajů tedy nemůže v rámci organizace zastávat pozici, ve které by měl určovat účely a prostředky zpracování osobních údajů, např. pozici vedoucího pracovníka či pozici personalisty, IT atd.

Zpracování osobních údajů v rámci opatření proti šíření koronaviru

Hrozba kybernetických útoků – hackeři útočí na nemocnice, městské části i ministerstva

  • V poslední době se v České republice velmi často vyskytují kybernetické útoky na nemocnice, města / městské části i ministerstva. Napaden byl např. informační systém městské části Prahy 3, informační systém státního podniku Povodí Vltavy. Hackeři se dále pokusili napadnout několik nemocnic, energetickou společnost ČEZ Distribuce, Ministerstvo zdravotnictví (tyto útoky byly odvráceny).
  • Hackeři využívají současnou situaci ohledně šíření nakažlivé nemoci COVID-19 a rozesílají e-maily s odkazy na podezřelé stránky s označením koronavir nebo COVID, po jejichž otevření získají kontrolu nad informačním systémem oběti.
  • Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v souvislosti s hrozbou doporučuje několik bezpečnostních opatření. Zařízení by mělo upozornit uživatele systémů na podezřelé soubory (typu obrázek .png, .exe, text .txt, .exe, dokument .pdf, .exe a další podobné přílohy). Pokud je to možné, mělo by se také pomocí centrálního nastavení zabránit spouštění aktivního obsahu a maker především v souborech s přílohou doc.

Identifikace osob prostřednictvím otisku prstu

  • Otisk prstu, který je jednoznačnou charakteristikou člověka, spadá dle Nařízení GDPR do zvláštní kategorie osobních údajů. Při zpracování zvláštních kategorií osobních údajů je nutné, aby správce osobních údajů disponoval některým z obecných právních titulů i právním titulem pro zpracování zvláštních kategorií údajů a subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.
  • Systémy umožňující identifikaci osob na základě technologie rozpoznání otisku prstů (např. docházkové systémy / docházkové terminály) vybírají z poskytnutého otisku prstu některé rysy specifické pro dané jednotlivce (tzv. markanty). Systém vytváří biometrickou šablonu na základě zjištěných markant, kterou před uložením v systému zpracuje matematickou operací do číselného vyjádření, tzv. hash kódu. Takto vytvořený hash kód (tj. otisk prstu převedený do číselné podoby) je následně uložen v řídící jednotce systému, zatímco obraz otisku prstu a zjištěné markanty jsou ihned po vytvoření hash kódu mazány.
  • V souvislosti s účinností Nařízení GDPR, které mimo jiné zohledňuje vývoj technologií v oblasti zpracovávání osobních údajů, došlo ke změně v posuzování šablon biometrických údajů (hash), a jejich zpracování za účelem identifikace osob. Z pohledu této právní regulace je nutno i využívání systémů pracujících s šablonami (tj. nikoli přímo s biometrickými údaji, ale jejich algoritmickým vyjádřením v podobě hash kód) považovat za zpracování zvláštních kategorií osobních údajů, které vyžadují zvláštní, resp. přísnější systém ochrany. Postup spočívající ve vytvoření a následném využívání hash biometrického údaje lze považovat za jeden z prvků zabezpečení, není však důvodem k vyjmutí ze zvláštních kategorií osobních údajů.
  • Dle vyjádření ÚOOÚ by zpracování biometrických údajů za účelem jednoznačné identifikace osob v rámci docházkových systémů mělo být využíváno pouze ve výjimečných situacích, kdy jiné řešení spočívající v prosté evidenci osob není s ohledem na specifické okolnosti dostačující (viz základní zásady zpracování osobních údajů – minimalizace rozsahu zpracovávaných osobních údajů).
  • Tedy i v případě, že je otisk prstu uložen ve formě hash kódu, se jedná o zpracování zvláštní kategorie osobních údajů a je nezbytné, aby subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.

Nahlížení do zápisů ze schůze rady obce

Zastupitelé obce mají právo na zápisy ze schůze rady obce pouze nahlížet – viz informace vyplývající z Průvodce pro přípravu měst a obcí na požadavky GDPR a stanoviska SMO ČR:

Zpracování osobních údajů v souvislosti s pronajímáním obecních bytů

  • Při uzavírání smluv o pronajímání obecních bytů bývá často vyžadováno doložení dalších skutečností (vlastnictví jiné nemovitosti, výpis z Insolvenčního rejstříku apod.). Dle vyjádření ÚOOÚ je při uzavření smlouvy o nájmu obecního bytu vhodnější, aby uchazeč sám doložil požadované skutečnosti. Pokud má být i po uzavření smlouvy s nájemcem kontrolováno a ověřováno, zda nájemce nenabyl jiné nemovitosti nebo s ním nebylo zahájeno insolvenční řízení, je třeba, aby byl o způsobu kontroly informován ve smyslu článku 14 odst. 4 Nařízení GDPR. Jako právní důvod lze v takovém případě shledávat plnění úkolu prováděného ve veřejném zájmu (čl. 6 odst. 1 písm. e) respektive i oprávněný zájem obce (čl. 6 odst. 1 písm. f) Nařízení GDPR.
  • Rodná čísla lze v souvislosti s pronajímáním obecních bytů využívat jen tehdy, pokud je to nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, jsou-li přijata konkrétní opatření k ochraně práv a svobod subjektu údajů. Toto ustanovení zákona nelze ustanovení vykládat extenzivně v tom smyslu, že rodné číslo je nezbytné pro uzavření jakékoliv smlouvy uzavírané s fyzickou osobou pro případ, že by neplnila smluvní ujednání. Jestliže je ale obec v souladu s § 4 odst. 2 a § 5 odst. 3 zákona o evidenci obyvatel a rodných číslech uživatelem rodného čísla zpracovávaného podle § 3 odst. 3 písm. e) tohoto zákona, lze rodná čísla za uvedeným účelem využívat, za předpokladu, že jsou o tom uchazeči předem informováni a jsou přijata opatření ustanovením § 13c odst. 1 písm. c) zákona o evidenci obyvatel a rodných číslech stanovená.

Hry / aplikace umožňující lépe pochopit základní principy ochrany osobních údajů

Pro rozšíření povědomí o principech ochrany osobních údajů a využívání služeb informační společnosti je vhodné začlenit problematiku i do vzdělávacího systému. V současné době existuje již několik her / aplikací, které umožňují lépe pochopit základní principy ochrany osobních údajů:

  • Interland: Hra od Googlu přináší čtyři napínavá dobrodružství se spoustou nástrah i legrace. Kromě získání úrovně “internetový Úžasňák” se lze naučit jak si poradit s hackery, phishery, kyberšikanou nebo sdílením informací na sociálních sítích. (https://www.e-bezpeci.cz/index.php/tiskove-zpravy/1914-nova-webova-hra-interland-od-googlu-uci-deti-bezpecne-pouzivat-internet)
  • Digitální stopa: Projekt NÚKIB názorně ukazuje, jak málo stačí, aby se člověk stal obětí kyberšikany, a poskytuje návod, jak tento problém řešit. (https://moodle.nic.cz/mod/page/view.php?id=345)
  • Bad News: Mezinárodně rozšířená hra, vytvořená nevládní organizací think-tank Evropské hodnoty, o dezinformacích a jejich nebezpečí. Hra zábavnou formou provádí základními manipulačními technikami. (https://www.getbadnews.cz/droggame_book/junior/#intro)
  • Než řekneš ano: Poučná on-line hra vytvořená spotřebitelskou organizací BEUC a dTest. Ve hře pomůžete Sáře a Kristiánovi naplánovat včas svatbu a vyhnout se přitom některým internetovým nástrahám. Narazíte na bezpečnost přístupových hesel, nakupování v e-shopu, komunikaci na sociálních sítích, ale třeba také rychlé odstranění poškozujícího online obsahu, odhalení podvodného e-mailu či obranu proti kyberzločinu. (https://www.nezreknesano.cz/)
  • Cyber Chronix: Aplikace z dílny Evropské komise, v rámci které pomůžete hrdinům ze vzdálené planety překonávat překážky spojené s ochranou osobních dat. (https://ec.europa.eu/jrc/en/news/understanding-gdpr-new-game-jrc)
  • Webowou diwočinou: Hra vytvořená Radou Evropy v rámci programu „Budujeme Evropu pro děti a s dětmi“. V rámci hry si vytvoříte vlastní postavičku a projdete se úžasnou zemí fantazie, a to včetně nástrah a úkolů ohledně ochrany vašich osobních údajů. (https://www.uoou.cz/webowou-diwocinou/ds-2433/archiv=0)

ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“

  • ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“, která obsahuje cenné informace k ochraně osobních údajů v hravé a zajímavé formě. https://www.uoou.cz/pro-mladez/ds-2331/p1=2331
  • Rubrika „Pro mládež“ obsahuje záložky Aktuality, Hry, Bezpečně na internetu, Kovyho mediální ring, Digi-obránci, Soutěže, Ultimátní příručka pro soukromí na Androidu, O vašich právech, Jak se chovat online, Archiv.

Pokuta za uchovávání nadbytečných dokumentů / kopií ve spisech zaměstnanců

  • ÚOOÚ udělil organizaci pokutu za uchovávání nadbytečných kopií ve spisech zaměstnanců. Problém uchovávání nadbytečných dokumentů (především kopie různých dokladů) o zaměstnancích se bohužel stále týká řady zaměstnavatelů. Při provedené kontrole ÚOOÚ zpochybnil uchovávání dokumentů, u kterých je jejich uchovávání skutečně neobhajitelné (kopie občanských průkazů, cestovních pasů apod.), uchovávání originálů výpisů z rejstříku trestů, kopie kartiček pojištěnce nebo bankovních kartiček s číslem účtu, ale i uchovávání daňových dokumentů (rodné listy, oddací listy, rozsudky o rozvodu manželství apod.) s poznámkou, že tyto doklady obsahují i řadu údajů třetích osob (dětí a manželů zaměstnanců).
  • Přestože realita je taková, že veškeré ostatní kontrolní úřady (kromě ÚOOÚ) mají tendenci vyžadovat jakékoli kopie dokumentů, nezbytné pro kontrolu to není a z pohledu ÚOOÚ stačí, pokud zaměstnavatel do dokladu nahlédne a učiní o tom záznam s upřesněním, ze kterého dokladu byla předmětná skutečnost dovozena.

Problematika poskytování informací o klientech sociální práce

  • Obecnou povinnost mlčenlivosti úředníka územního samosprávného celku definuje zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů. Podle tohoto zákona je jednou z povinností úředníka, jímž je i sociální pracovník obecního úřadu, v rozsahu stanoveném zvláštními právními předpisy zachovávat mlčenlivost o skutečnostech, které se dozvěděl při výkonu zaměstnání a v souvislosti s ním. To neplatí, pokud byl povinnosti mlčenlivosti zproštěn, přičemž povinnosti zachovávat mlčenlivost může úředníka zprostit vedoucí obecního úřadu, jím pověřený vedoucí úředník nebo příslušný správní úřad podle zvláštních právních předpisů, nestanoví-li zvláštní právní předpis jinak.
  • Zákon č. 108/2006 Sb., o sociálních službách a zákon č. 111/2006 Sb., o pomoci v hmotné nouzi definují úkoly sociálních pracovníků obecních úřadů při realizaci činností sociální práce a ukládají povinnost mlčenlivosti sociálnímu pracovníkovi obecního úřadu. Povinnost mlčenlivosti sociálního pracovníka obecního úřadu je tedy „zpřísněna“ zákonem o sociálních službách a zákonem o pomoci v hmotné nouzi – podle těchto speciálních právních předpisů může totiž povinnosti mlčenlivosti zprostit sociálního pracovníka pouze ten, v jehož zájmu tuto povinnost mají, tj. klient sociální práce.
  • Dle aktuálního výkladu výše zmíněných zákonů a vzhledem k tomu, že výkon činností sociální práce je výkonem přenesené působnosti, není možné informace o situaci konkrétního klienta sociální práce sdělit v žádném případě starostovi, žádnému jinému členu zastupitelstva obce ani jeho výboru či komisi rady obce. Ke konkrétním informacím o klientech sociálního pracovníka rovněž nemůže mít přístup tajemník obecního úřadu či vedoucí odboru sociálního, pokud současně nevykonávají činnosti sociální práce.

Absence zákonné povinnosti mlčenlivosti v zákoně o zpracování osobních údajů

  • Oproti předchozí právní úpravě není v zákoně č. 110/2019 Sb., o zpracování osobních údajů, ukotvena zákonná povinnost mlčenlivosti všech zaměstnanců správce osobních údajů či jeho smluvních partnerů.
  • Povinnost mlčenlivosti je zakotvena v aktuálně platném zákoně o zpracování osobních údajů pouze v hlavě IV (Ochrana osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky) § 47, která reguluje ochranu osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Předmětná povinnost se tak vztahuje, jak zmiňuje i důvodová zpráva k zákonu č. 110/2019 Sb., na zpracování prováděné zpravodajskými službami, tj. na zpracování zcela mimo působnost Nařízení GDPR.
  • Aktuálně platné znění zákona č. 110/2019 Sb. tedy vůbec neřeší zákonnou povinnost mlčenlivosti o osobních údajích pro zaměstnance či smluvní partnery správce či zpracovatele osobních údajů (neřeší zákonnou povinnost mlčenlivosti při zpracování osobních údajů u jiných činností jako např. při zpracování osobních údajů orgány veřejné správy nebo podnikatelskými subjekty, na která dopadá Nařízení GDPR). O vypuštění této povinnosti ve vztahu k jiným zpracováním než zpravodajskými službami mlčí i důvodová zpráva k zákonu č. 110/2019 Sb., a není tak zcela zřejmé, zda se jedná o úmysl či spíše opomenutí zákonodárce.
  • Doporučujeme proto zaměstnavatelům zakotvit takovou povinnost do pracovních smluv či dodatků k již uzavřeným pracovním smlouvám.

Udělení souhlasu s cookies na webových stránkách

  • Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies, které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR.
  • Z rozsudku Soudního dvora EU ze dne 1.10.2019 (C‑673/17) ale vyplývá, že použití předem zaškrtnutých políček pro poskytnutí souhlasu se zpracováním osobních údajů je nevhodné jak obecně, tak vzhledem k povolení ukládání cookies zvlášť, tj. souhlas se zpracováním osobních údajů není právoplatně udělen, pokud jsou ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleny předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit.
  • Subjekt osobních údajů by měl vždy obdržet mj. též informaci o době existence cookies a o tom, kdo k nim může získat přístup.

Zveřejňování dokumentů třetích stran na úřední desce obce

  • Při vyvěšování dokumentů třetích stran (orgánů veřejné správy nebo orgánů veřejné moci) obecní úřady nezačerňují osobní údaje uvedené na dokumentu, protože jde o dokument třetí strany a zaměstnanec obecního úřadu není kompetentní k tomu, aby sám posoudil nadbytečnost zpracování osobních údajů. Tj. obecní úřad obsah dané písemnosti orgánu veřejné správy či orgánu veřejné moci nezkoumá, nemůže ji měnit ani do ní jakkoliv zasahovat.
  • U dokumentů zveřejňovaných na úřední desce, které nepochází od jiných orgánů veřejné správy nebo orgánů veřejné moci, je třeba při jejich zveřejnění na úřední desce dbát na to, aby rozsah zveřejňovaných osobních údajů byl přiměřený a omezený na nezbytné minimum (zásada minimalizace údajů).

Uvádění rodného čísla při exekuci, v dražební vyhlášce

  • Rodné číslo lze – v souladu s § 13c zákona č. 133/2000 Sb., o evidenci obyvatel – využívat, jen jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí. Podle § 28 zákona č. 120/2001 Sb., exekuční řád se úkony exekutora při provádění exekuce považují za úkony exekučního soudu, proto je soudní exekutor oprávněn využívat při své činnosti rodná čísla. Nejvyšší správní soud v rozsudku (sp. zn. 1 As 36/2008-77) judikoval, že účelem zpracování rodného čísla je zjištění co nejrychlejšího a nejefektivnějšího provedení exekuce a smyslem poskytnutí rodného čísla osoby, na jejíž majetek byla prohlášena exekuce, je umožnit vyšetření majetkové situace povinného exekutorem.
  • Exekutor tak využívá znalost rodného čísla při podávání žádosti o součinnost dle exekučního zákona, avšak žádné procesně právní předpisy neukládají exekutorovi povinnost označovat osoby ve svých rozhodnutích či jiných listinách rodným číslem. Exekutor tedy nemůže neomezeně nakládat s rodným číslem, ale musí při jeho používání současně respektovat ustanovení zákona č. 110/2019 Sb., o zpracování osobních údajů. To, že účastník může být v návrhu (tj. v úkonu činěném jiným účastníkem) označen rodným číslem, nezakládá soudnímu exekutorovi právní titul k tomu, aby používal rodná čísla neomezeně ve všech listinách, které označení povinného vyžadují.
  • Pro dražební vyhlášku je z logiky věci nejpodstatnější otázka předmětu dražby. Kdo je povinným není pro konání dražby z hlediska možného zásahu do práv jakýchkoli osob nijak rozhodující, a tedy není zjevné, proč účastník řízení trvá na identifikaci rodným číslem právě v tomto typu listiny.

Transparentní účet a ochrana osobních údajů

  • Transparentní účet − bankovní účet, do kterého může nahlížet veřejnost − obsahuje údaje (název účtu, zpráva pro příjemce, výše, datum a typ platby), na jejichž základě lze ztotožnit konkrétní osobu.
  • Majitel transparentního účtu je povinen dostatečně informovat o povaze tohoto účtu osoby, které zasílají finanční plnění na tento účet, tj. musí být zřejmé, že se nejedná o běžný účet, u kterého se příchozí a odchozí platby spolu s dalšími informacemi nezveřejňují. Při provedení platby nelze jako variabilní symbol použít rodné číslo, protože rodné číslo je specifický identifikátor, jehož účely použití stanoví zákon o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon č. 133/2000 Sb.). Jako variabilní symbol je tedy nezbytné volit jinou číselnou kombinaci, která neobsahuje další informace o dané osobě.
  • Vzhledem k veřejnosti transparentního účtu nelze tento typ bankovního účtu používat např. k výplatě mezd zaměstnancům. Případné související převody peněz mezi běžným a transparentním účtem je třeba provádět souhrnně (např. výplaty, poplatky, pokuty).
  • Transparentní účet kraje / obce / městské části
  • Transparentní účet nelze doporučit využívat pro platby, které jsou přímo spojeny s výkonem veřejné moci ve vztahu k fyzickým osobám, tj. transparentní účet by neměl sloužit pro individuální příjem správních poplatků, uložených pokut, výplatu sociálních dávek, svědečného, znalečného atd. Z transparentního účtu nebo na transparentní účet lze především provádět takové platby, které by kraj / obec / městská část byly povinny poskytnout jako povinný subjekt podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Transparentní účet nadace
  • Nadace zveřejňuje v souladu s občanským zákoníkem (zákon č. 89/2012 Sb.) ve své výroční zprávě přehled o osobách, které poskytly nadační dar nebo jim byl poskytnut příspěvek v hodnotách vyšších než 10.000,- Kč, tedy pokud dárce a příjemce nepožádali o zachování své anonymity (přičemž anonymitu lze u těchto příspěvků zachovat jen v některých zvláštních situacích).

Aktualizace Metodického návodu k aplikaci zákona o registru smluv

Ministerstvo vnitra ČR na svých webových stránkách zveřejnilo aktualizaci metodické pomůcky k anonymizaci zveřejňovaných dokumentů – Metodického návodu k aplikaci zákona o registru smluv, který mimo jiné obsahuje i požadavky na anonymizaci smluv před jejich vložením.

V současné verzi Metodického návodu k aplikaci zákona o registru smluv oproti předcházející verzi byly doplněny nové skutečnosti, které přinesla novela zákona registru smluv provedená zákonem č. 177/2019 Sb., kterým se mění zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.

Nejzásadnější změnou je zrušení požadavku na anonymizaci jména osoby jednající za smluvní stranu: „Jednající / Zastoupená − Případná anonymizace tohoto údaje nemá vliv na platnost a účinnost smlouvy a ani není protiprávním jednáním. Jedná se sice o osobní údaj, ale u veřejnoprávních subjektů lze bez dalšího zpracovat osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení. U soukromoprávních subjektů je možné neanonymizovat osobní údaje, které jsou na základě zákona přístupné, jedná se tedy zejména o údaje o osobách, které jsou statutárními orgány obchodních korporací.“

Plné znění Metodického návodu k aplikaci zákona o registru smluv v aktuální verzi je uvedeno na webové stránce MV ČR https://www.mvcr.cz/clanek/registr-smluv.aspx?q=Y2hudW09OQ%3D%3D.

Aktualizace dokumentu k povinnosti správců provádět DPIA

ÚOOÚ vydal aktualizovanou verzi dokumentu K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA), která byla doplněna o seznam druhů operací zpracování nepodléhajících posouzení vlivu na ochranu osobních údajů.

Podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není správce povinen provádět posouzení vlivu na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. To znamená, že všechna zpracování osobních údajů, která jsou uložena národní legislativou, jsou od zpracování DPIA osvobozena.

Dokument je určen správcům při usnadnění rozhodování o tom, zda konkrétní zpracování podléhá povinnosti posouzení vlivu na ochranu osobních údajů či nikoliv.

Aktualizovaný dokument, který je nyní vydán pod názvem Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů (verze 1.0), je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/povinnosti-spravcu/ds-5856/p1=5856.

Pokyny ke zpracování osobních údajů prostřednictvím videozařízení (kamerových systémů)

ÚOOÚ zveřejnil na svých webových stránkách vlastní shrnutí zásadních částí aktuálních pokynů Evropského sboru pro ochranu osobních údajů (EDPB) provozovatelům kamerových systémů.

Klíčová doporučení v oblasti provozu kamerových systémů jsou:

  • Instalace videozařízení ke sledování lidí je zákonná pouze tehdy, když zpracování osobních údajů prostřednictvím videozařízení se opírá o jeden nebo více právních důvodů vyjmenovaných v čl. 6 odst.1 Nařízení GDPR, tj. např. o oprávněný zájem a plnění úkolu ve veřejném zájmu.
  • Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
  • Udělování souhlasu v případě video monitoringu je spíše výjimečné vzhledem k povaze technologie.
  • V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.
  • V případě kamerového systému navrženého záměrně ke zpracování zvláštních kategorií osobních dat, musí být správce schopen doložit nejenom zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR, ale také existenci výjimky podle čl. 9 Nařízení GDPR. Při zpracování tohoto druhu osobních údajů je nezbytné zvážit uplatnění vyšší úrovně datové bezpečnosti a příp. i vypracování posouzení vlivu na ochranu osobních údajů (DPIA).
  • Ve většině případů při sledování biometrických údajů (především v systémech rozpoznávání podle obličeje / tváře) vyžaduje použití takového video zařízení soukromým provozovatelem výslovný souhlas subjektu údajů, resp. správce musí při použití pro účely ztotožnění, nabídnout i alternativu bez zpracování biometrických dat, a to bez požadavku extra nákladů pro jednotlivce.
  • V případě ochrany práv třetích osob na záznamu lze použít software pro rozostření nebo maskování.
  • V případě nasazení kamerového systému se záznamem lze uplatnit právo na výmaz. Za vymazání se považuje i rozostření obrazu bez možnosti jeho zpětného obnovení. V souvislosti s kamerovým sledováním pro účely přímého marketingu je ovšem právo vznést námitku absolutní a subjekt údajů ho může uplatnit podle libosti.
  • Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
  • Pokyny nestanovují konkrétní přípustnou dobu uchování videozáznamu, jako pomyslné dělítko zmiňují hranici 72 hodin. Lhůty delší než 72 hodin budou vyžadovat hlubší zdůvodnění.
  • V průběhu shromažďování a uchovávání záznamů musí správce uplatňovat taková technická a organizační opatření, která odpovídají úrovni rizika, jež dané zpracování představuje pro práva a svobody jednotlivců (ochrana před náhodným či nezákonným zničením, ztrátou, pozměněním, neoprávněným zpřístupněním nebo neoprávněným přístupem).
  • Při instalaci videozařízení určených k monitorování osob vzniká ve většině případů povinnost vypracování posouzení vlivu na ochranu osobních údajů (DPIA). ÚOOÚ doporučuje všem správcům provozující kamerový systém prověřit, zda se na něho povinnost zpracování DPIA vztahuje či nikoliv.

Dokument Shrnutí Pokynů 3/2019 ke zpracování osobních údajů prostřednictvím videozařízení (dokument v českém jazyce) je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/uoou-shrnul-to-nejdulezitejsi-z-nbsp-novych-pokynu-ke-nbsp-kameram/d-39551.

Pokyny 3/2019 schválené EDPB v anglickém jazyce (Guidelines 3/2019 on processing of personal data through video devices, Version 2.0) jsou zveřejněny na webové stránce ÚOOÚ https://www.uoou.cz/sbor-vydal-nove-pokyny-provozovatelum-kamerovych-systemu/d-39498.

Splnění informační povinnost vůči návštěvníkům budovy

Právem vlastníka budovy je provádět kontrolu vstupu návštěvníků do budovy, a to s ohledem na jeho odpovědnost za majetek, provoz, případně i zajištění bezpečnosti osob nacházejících se uvnitř budovy.

Dle výkladu ÚOOÚ může správce po návštěvníkovi budovy (subjektu údajů), která není určena k běžným návštěvám veřejnosti, požadovat, aby uvedl jméno navštívené osoby (příp. číslo kanceláře) a poskytl své identifikační údaje v rozsahu jméno a příjmení. V případě pracovního jednání je důvodné vyžadovat i předložení služebního průkazu, jehož číslo vč. názvu vysílající instituce lze v této souvislosti taktéž zaznamenat. Pokud je návštěva vykonána mimo rámec pracovní či služební povinnosti, představuje takovýto doklad především občanský průkaz nebo cestovní doklad, případně i jiný, účelu návštěvy odpovídající dokument (např. předvolání).

Zpracování osobních údajů přitom probíhá na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) Nařízení GDPR. Oprávněný zájem spočívá v zajištění bezpečnosti lidí a majetku, které bude probíhat mimo jiné i pomocí možnosti následné identifikace návštěvníka, např. v případě mimořádné události přímo či nepřímo související s jeho pobytem v budově (např. bezpečnostního incidentu).

O porušení pravidel zpracování osobních údajů by se jednalo v případě, že správce budovy bude bez opodstatněného důvodu požadovat po návštěvníkovi budovy nadbytečné údaje (např. adresu bydliště).

Zdravotní pojištění – Evropský průkaz zdravotního pojištění (kartička pojišťovny)

Nárok na lékařské ošetření v jiné členské zemi Evropské unie, které je neodkladné a nemůže počkat do návratu domů, má každý občan EU pokud náhle onemocní během svého dočasného pobytu v členské zemi Evropské unie (např. na dovolené, služební cestě, školním zájezdu, stáži atd.).

V případě uchovávání a předložení originálu (nikoliv kopie) Evropského průkazu zdravotního pojištění zdravotnickému zařízení se nejedná o zpracování osobních údajů. Stále platí že není doporučováno, pořizovat a ukládat kopie kartiček pojišťovny.

Problematika pověření interního auditora, který vykonává interní audit podle zákona o finanční kontrole ve veřejné správě, funkcí pověřence pro ochranu osobních údajů v rámci agendy GDPR

Dle stanoviska Ministerstva financí ČR – Odboru Centrální harmonizační jednotky č. 1b/2018 interní auditor, který vykonává interní audit podle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, nemůže být jmenován pověřencem pro ochranu osobních údajů podle Nařízení GDPR. Pověřenec pro ochranu osobních údajů nemůže být organizačně začleněn do útvaru interního auditu nebo podřízen vedoucímu útvaru interního auditu nebo internímu auditorovi.

Odůvodnění převzaté ze stanoviska (www.mfcr.cz/cs/legislativa/metodiky/2018/stanovisko-chj-c-1-2018-k-problematice-m-31614): Interní auditor by měl mít přístup ke všem informacím, záznamům, dokladům, systémům, operacím, zaměstnancům a k veškerému majetku orgánu veřejné správy. V rámci své činnosti vytváří auditní stopu, ve které zpracovává osobní údaje. Příkladem této auditní stopy jsou zápisy ze schůzek, dotazníky, zprávy o vykonaném interním auditu. Dále je mu umožněno nahlížet do informačních systémů, smluv, faktur a další dokumentace orgánu veřejné správy, které obsahují osobní údaje. Interní auditor tudíž shromažďuje, zaznamenává, ukládá, používá, zpřístupňuje a šíří osobní údaje. Interní auditor je zpracovatelem osobních údajů.

V případě sloučení funkce interního auditora a pověřence pro ochranu osobních údajů se pověřenec dostává do střetu zájmu, protože jako interní auditor plní úkoly, u kterých v široké míře zpracovává osobní údaje a jeho činnost by měla být podřízená nezávislému a objektivní posouzení pověřence pro ochranu osobních údajů. Ve sloučené pozici může mít pověřenec zájem jako interní auditor na určitém způsobu zpracování osobních údajů. Jeho poradenská činnost a doporučení v tomto případě nebude naplňovat požadavek obecného nařízení plnit své povinnosti a úkoly nezávislým způsobem.

Právní úprava zaručuje internímu auditorovi a pověřenci pro ochranu osobních údajů nezávislé postavení a vylučuje střet zájmů. Tato nezávislost je zaručená pro tyto funkce samostatně. V případě jejich sloučení nebude požadavek na zajištění nezávislosti naplněn ani u jedné z nich.

Výkon funkce pověřence pro ochranu osobních údajů interním auditorem nebo zařazení pověřence do útvaru interního auditu je v rozporu s ustanoveními zákona o finanční kontrole, které upravují funkční nezávislost a postavení interního auditora (zejména ustanovení § 28 odst. 2 a 3, § 29 odst. 1 a 4 zákona o finanční kontrole).

Neslučitelnost funkce pověřence pro ochranu osobních údajů a interního auditora se vztahuje jen na orgány veřejné správy, které zřídily útvar interního auditu nebo výkonem interního auditu zvlášť pověřily zaměstnance podle § 28 odst. 1 zákona o finanční kontrole. Neslučitelnost funkcí se tudíž nevztahuje na obce do 15 000 obyvatel, které dle zákona nahradily interní audit přijetím jiných opatření podle § 29 odst. 6 zákona o finanční kontrole. Z celkového počtu obcí se neslučitelnosti funkcí pověřence pro ochranu osobních údajů a interního auditora vztahuje jen na 89 obcí, které přesahují 15 000 obyvatel. Dále se neslučitelnost funkcí nevztahuje na organizační složky a příspěvkové organizace, u kterých zřizovatel nahradil funkci útvaru interního auditu výkonem veřejnosprávní kontroly podle § 29 odst. 5 zákona o finanční kontrole.

Revize dokumentace z důvodu účinnosti zákona č. 110/2019, o zpracování osobních údajů

Na základě účinnosti zákona č. 110/2019 Sb., o zpracování osobních údajů, musejí veřejnoprávní i soukromoprávní subjekty v postavení správce osobních údajů či zpracovatele osobních údajů provést revizi dokumentace upravující zpracování osobních údajů v organizaci.

V prvé řadě je nezbytné provést formální revizi dokumentace týkající se osobních údajů, tj. změnu odkazů na relevantní předpisy, zejména tam, kde dokumenty odkazovaly na předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů. Dále je třeba v rámci revizí dokumentace posoudit, zda na správce osobních údajů či zpracovatele osobních údajů dopadají i dílčí změny některých zákonů, k nimž došlo účinností zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

V rámci zákona č. 110/2019 Sb. došlo k určitému posunu ve vnímání mlčenlivosti zaměstnanců a spolupracujících osob. Doporučujeme tedy zvážit doplnění pracovních smluv o jasné ustanovení, podle nějž by měli mít všichni zaměstnanci povinnost zachovávat mlčenlivost o osobních údajích a organizačních i technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost osobních údajů.

Dynamický biometrický podpis je nově posuzován jako zvláštní kategorie osobních údajů

Úřad pro ochranu osobních údajů změnil svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru (nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu). ÚOOÚ nově považuje tento způsob zpracování za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.

Dynamický biometrický podpis je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS, který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání. Dle Nařízení GDPR je dynamický biometrický podpis osobní údaj, tj. informace o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím dynamického biometrického podpisu snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány.

Pořizování a vyhodnocování kamerového záznamu obcí

Kamerový záznam (obrazový, videozáznam) je osobním údajem za předpokladu, že lze ze snímku přímo či nepřímo identifikovat konkrétní fyzickou osobu. Obec má pravomoc pořizovat záznam z kamerového systému ke sledování budov a objektů v jejím vlastnictví či nájmu proto, aby ochránila svůj majetek, kontrolovala své zaměstnance a klienty úřadu (v těchto případech se jedná o ochranu majetku obce, ne o ochranu obecné bezpečnosti a veřejného pořádku). Obec ale nemá pravomoc provozovat kamerové systémy k jiným účelům, např. k odhalovací činnosti. Odhalovací činnost nemůže provádět obec sama, neboť se jedná o dohled nad veřejným pořádkem či dodržování předpisů v rámci provozu na pozemních komunikacích (tuto pravomoc má Policie ČR nebo obecní policie; pokud obec nemá obecní policii, může uzavřít veřejnoprávní smlouvu se sousední obcí, která obecní policii zřízenou má).

Veřejná prostranství může sledovat zaměstnanec obce on-line, z pohledu ochrany osobních údajů není provozování bezzáznamového kamerového systému považováno za zpracování osobních údajů. Může se ale stále jednat o zásah do práva na soukromí, a to v režimu občanského zákoníku. Je tedy vždy nezbytné důkladně zvážit nasazení a provozování bezzáznamového kamerového systému.

Při provozování kamerového systému musí obec zajistit informování subjektů údajů snímaných kamerami (informování o daném monitorování a využití kamerových záznamů). Informování by mělo být v souladu se zásadou transparentnosti dostatečně jasné a jednoduché.

Uchovávání kopií dokladů totožnosti zaměstnanců – cizinců

Zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Zaměstnavatelé mají povinnost vést evidenci cizinců podle § 102 odst. 2 zákona o zaměstnanosti.

Přístup k informacím u bývalého zaměstnavatele po skončení pracovního poměru

Osobní údaje bývalého zaměstnance jsou i po skončení pracovního poměru zaměstnavatelem dále zpracovávány, např. v rámci evidence docházky. Bývalý zaměstnanec může pro získání informace od svého bývalého zaměstnavatele využít práva subjektu údajů na přístup k osobním údajům podle čl. 15 Nařízení GDPR. Součástí tohoto práva je i právo na poskytnutí kopie zpracovávaných osobních údajů, tedy kopie údajů, které jsou o zaměstnanci vedeny v evidenci docházky. Právo na poskytnutí kopie zpracovávaných osobních údajů však nezakládá právo nahlížet do spisů nebo evidencí, tedy např. do evidence docházky nebo osobního spisu (v případě současných zaměstnanců toto výslovně upravuje zákoník práce).

Poskytování informací o platu a odměnách zaměstnance obce

Podle Metodiky Ministerstva vnitra ČR může zaměstnavatel odmítnout poskytnout žadateli informace o platu či odměnách zaměstnance obce vyžádané na základě ustanovení § 8b zákona č. 106/1999 Sb., o svobodném přístupu k informacím, pokud nejsou splněny všechny následující podmínky:

  • účelem vyžádání informace je přispět k diskusi o věcech veřejného zájmu;
  • informace samotná se týká veřejného zájmu;
  • žadatel o informaci plní úkoly či poslání dozoru veřejnosti či roli tzv. „společenského hlídacího psa“;
  • informace existuje a je dostupná.

Zaměstnavatel může případně na základě žádosti o poskytnutí informace žadateli přeložit anonymizovanou pracovní smlouvu, tj. včetně anonymizované informace o platu či odměně.

Rozsah anonymizovaných údajů fyzické osoby při zveřejňování smlouvy o nákupu či prodeji nemovitosti v registru smluv a při podání návrhu na vklad do KN

Při zveřejnění smluv v registru smluv je vždy třeba provést anonymizaci osobních údajů. ÚOOÚ doporučuje vzhledem k právní úpravě zpracování osobních údajů dle Nařízení GDPR, aby povinné subjekty přijaly taková opatření, která zabrání neoprávněnému uveřejňování osobních údajů v registru smluv (tj. nastavení mechanismu anonymizace smluv a metadat). Rozsah osobních údajů, které mohou být v registru smluv uvedeny, je uveden v Metodickém návodu Ministerstva vnitra ČR k aplikaci zákona o registru smluv (viz www.mvcr.cz/clanek/registr-smluv).

Při nákupu či prodeji nemovitostmi (po uzavření smlouvy s fyzickou osobou) obec podává návrh na vklad do Katastru nemovitostí, který obsahuje všechny potřebné informace, včetně rodného čísla fyzické osoby, plné (neanonymizované) verze uzavřené smlouvy apod. Obec je současně povinna uzavřenou smlouvu zveřejnit i v registru smluv, a to dle pravidel ochrany osobních údajů v anonymizované podobě.

V rozsahu anonymizovaných údajů fyzické osoby při zveřejňování smlouvy v registru smluv jsou Katastrální úřady Českým úřadem zeměměřickým a katastrálním (ČÚZK) metodicky vedeny následujícím způsobem: „Identifikačními údaji uváděnými v registru smluv jsou u fyzických osob údaje minimálně v rozsahu ustanovení § 8b odst. 3 zákona č. 106/1999 Sb., o svobodném přístupu k informacím, v platném znění, tedy jméno, příjmení, rok narození a obec, kde má příjemce trvalý pobyt. Je potřeba, aby tyto údaje byly uvedeny v metadatech i v elektronickém obrazu textového obsahu smlouvy.“

Důvodem je skutečnost, že Katastrální úřad je oprávněn provést vklad do Katastru nemovitostí až v okamžiku nabytí účinnosti kupní smlouvy, ke kterému dochází až okamžikem zveřejnění smlouvy v registru smluv. Pro ověření, že smlouva nabyla účinnosti, je tedy nezbytné, aby ve smlouvě, zveřejněné obcí v registru smluv, byly zachovány základní identifikační údaje v rozsahu jméno, příjmení, rok narození a obec.

Účinnost zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabyl účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Zákon č. 111/2019 Sb. za účelem přizpůsobení dosavadního právního řádu nové právní úpravě v oblasti zpracování osobních údajů novelizuje 39 zákonů:

  • Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád)
  • Zákon č. 99/1963 Sb., občanský soudní řád
  • Zákon České národní rady č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
  • Zákon České národní rady č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád)
  • Zákon České národní rady č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky
  • Zákon České národní rady č. 6/1993 Sb., o České národní bance
  • Zákon č. 96/1993 Sb., o stavebním spoření a státní podpoře stavebního spoření a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění zákona České národní rady č. 35/1993 Sb.
  • Zákon č. 182/1993 Sb., o Ústavním soudu
  • Zákon č. 283/1993 Sb., o státním zastupitelství
  • Zákon č. 269/1994 Sb., o Rejstříku trestů
  • Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu
  • Zákon č. 85/1996 Sb., o advokacii
  • Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů
  • Zákon č. 49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů
  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím
  • Zákon č. 257/2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, zákona č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, a zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí (zákon o Probační a mediační službě)
  • Zákon č. 6/2002 Sb., o soudech, soudcích, přísedících a státní správě soudů a o změně některých dalších zákonů (zákon o soudech a soudcích)
  • Zákon č. 150/2002 Sb., soudní řád správní
  • Zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu
  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě
  • Zákon č. 187/2006 Sb., o nemocenském pojištění
  • Zákon č. 129/2008 Sb., o výkonu zabezpečovací detence a o změně některých souvisejících zákonů
  • Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
  • Zákon č. 273/2008 Sb., o Policii České republiky
  • Zákon č. 280/2009 Sb., daňový řád
  • Zákon č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů
  • Zákon č. 427/2011 Sb., o doplňkovém penzijním spoření
  • Zákon č. 456/2011 Sb., o Finanční správě České republiky
  • Zákon č. 17/2012 Sb., o Celní správě České republiky
  • Zákon č. 104/2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních
  • Zákon č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů (zákon o Vojenské policii)
  • Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
  • Zákon č. 234/2014 Sb., o státní službě
  • Zákon č. 374/2015 Sb., o ozdravných postupech a řešení krize na finančním trhu
  • Zákon č. 186/2016 Sb., o hazardních hrách
  • Zákon č. 300/2016 Sb., o centrální evidenci účtů
  • Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách)
  • Zákon č. 133/2000 Sb., o evidenci obyvatel a o rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel)
  • Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách)

Požadavek na ztotožnění žadatele o naplnění práv subjektů údajů

Na základě provedené kontroly Úřadem pro ochranu osobních údajů doporučujeme upravit Informační memorandum a návod na plnění práv subjektu údajů v oblasti prokázání totožnosti žadatele. Namísto stávajících požadavků na ztotožnění žadatele:

„Příjem žádostí je prováděn výhradně proti jednoznačné identifikaci subjektu údajů (ztotožnění), tedy podáním žádosti datovou schránkou subjektu údajů, podáním žádosti podepsané uznávaným elektronickým podpisem založeným na kvalifikovaném certifikátu subjektu údajů prostřednictvím elektronické podatelny města, podáním žádosti s úředně ověřeným podpisem subjektu údajů prostřednictvím podatelny města nebo ověřením totožnosti žadatele předložením občanského průkazu při osobním podání žádosti v podatelně města.“

doporučujeme uvést např. takovou formulaci:

„Dovolujeme si Vás upozornit, že jsme povinni řádně ověřit totožnost žadatele o naplnění práv subjektu údajů a toto ověření zdokumentovat. Existuje-li pochybnost o totožnosti subjektu údajů, který podává žádost o informace o zpracování osobních údajů, uplatňuje některé z práv subjektu údajů nebo dává správci podnět, můžeme jej požádat o poskytnutí dodatečných informací nezbytných k potvrzení jeho totožnosti.

Školení zaměstnanců v oblasti ochrany osobních údajů

V rámci zpracování osobních údajů je důležité provádět pravidelná školení zaměstnanců obce v oblasti ochrany osobních údajů. Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením je tedy vhodné přidat i ochranu osobních údajů. Všichni zaměstnanci obce by měli být seznámeni se základy GDPR, měli by minimálně znát základní pojmy a umět identifikovat osobní údaje.

U současných zaměstnanců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

Všechna provedená školení doporučujeme zdokumentovat prezenční listinou.

Práva a povinnosti zaměstnavatelů při zpracování osobních údajů

Moderní technologie nabízí širokou škálu prostředků pro sledování činností zaměstnanců, např. kamerové systémy instalované v zájmu ochrany oprávněných zájmů zaměstnavatele, GPS v automobilech, nástroje pro filtrování webových stránek, aplikace či jiná zařízení určená ke sledování za účelem prevence úniku dat atd.

Zákon č. 262/2006 Sb., zákoník práce definuje vztahy mezi zaměstnavatelem a zaměstnancem, tj. definuje i závislou práci a povinnosti vyplývající z pracovního poměru. Z povahy pracovněprávního vztahu vyplývá, že je legitimní, aby zaměstnavatel kontroloval zaměstnance při užívání svěřeného majetku určeného k plnění pracovních úkolů. Zaměstnanec je povinen sdělovat, resp. umožnit sběr informací týkajících se jeho osoby, pokud se týkají vykonávané práce nebo je zaměstnavatel potřebuje ke splnění svých povinností stanovených obecně závaznými právními předpisy. Typicky se jedná o ohlašovací povinnosti zaměstnavatele (např. ČSSZ, zdravotním pojišťovnám atd.).

Zaměstnavatel ale musí vždy respektovat hranici mezi soukromím zaměstnanců a kontrolou pracovních povinností zaměstnanců. Obecně by zaměstnavatel neměl své zaměstnance monitorovat, pokud k tomu nemá závažný důvod, případně lze sledování provádět pouze namátkově. Závažné důvody musí spočívat ve zvláštní povaze činnosti zaměstnavatele. Není však možné obecně určit, kdy jsou tyto závažné důvody spočívající ve zvláštní povaze činnosti zaměstnavatele naplněny, resp. kterých všech činností se výjimka týká. Naplnění podmínek je třeba zkoumat v každém konkrétním případě a zároveň zajistit, aby opatření zaměstnavatele dopadající na soukromí zaměstnance bylo přiměřené jeho účelu.

Využívání online rezervačního systému z pohledu ochrany osobních údajů

Při využívání online rezervačního systému zadávají klienti do systému své jméno a telefonní číslo. Jsou-li tyto osobní údaje poskytovány v souvislosti se vznikem právního vztahu, např. v souvislosti s uzavřením smlouvy (tj. klient si rezervuje službu, ohledně které se uzavírá smlouva), je pro vznik a realizaci daného právního vztahu nezbytná oboustranná výměna informací. V případě následné rezervace služby není tedy potřeba souhlasu subjektu se zpracováním osobních údajů a plně postačuje splnění informační povinnosti o zpracování osobních údajů na webových stránkách.

Postup provedení „práva být zapomenut“ v Google a sociálních sítích

Právo být zapomenut, tj. vymazat zmínky a údaje o své osobě, lze provést i v rámci internetu – v Google a sociálních sítích.

Google

Společnost Google umožňuje odstranění informací z vyhledávání na základě evropských předpisů o ochraně údajů. Žadatel o odstranění musí prokázat svoji identitu, označit webové stránky, které uvádí jméno dotčené osoby a popsat situaci, v níž dochází k porušení ochrany osobních údajů. Postup pro odstranění informací z vyhledávače Google je uveden na internetové adrese https://support.google.com/webmasters/answer/6332384?hl=cs&ref_topic=1724262. Formulář je uveden na adrese https://support.google.com/legal/contact/lr_eudpa?product=websearch.

Google Maps (Street View)

Podmínky ochrany soukromí při přidávání fotografií na Mapy Google jsou uvedeny na internetových stránkách https://www.google.com/intl/cs/streetview/policy/#privacy-and-blurring. V případě, že byl obsah map přidaný společností Google, lze nahlásit problém (např. požádat o odstranění / rozmazání fotografie s vaší tváří, vaším domovem nebo jinou identifikující informací zveřejněnou bez vašeho souhlasu) na adrese https://support.google.com/maps/answer/3093484?hl=cs.

Mapy.cz

Pravidla (licenční ujednání) ke vkládání fotografií na internetovou stránku Mapy.cz jsou uvedena na adrese https://napoveda.seznam.cz/cz/mapy/licencni-ujednani-ke-vkladani-fotografii-na-mapycz/. Porušení pravidel pro přidávání fotografií lze nahlásit na adrese https://napoveda.seznam.cz/cz/mapy-hlaseni-chyby/.

Facebook

Obecné nastavení soukromí a možnosti zveřejnění uživatelů Facebooku jsou upraveny prostřednictvím nástroje pro soukromí (https://www.facebook.com/help/325807937506242?helpref=popular_topics), v rámci kterého lze kontrolovat veřejnost přidávaných příspěvků, možnosti označení a ochrana osobních údajů. V případě, kdy se profil osoby vedený na Facebooku zobrazuje v internetových prohlížečích, je možné toto zobrazení skrýt pomocí nástroje nastavení veřejného vyhledávání https://www.facebook.com/help/124518907626945?helpref=faq_content.

Twitter

V jednotlivých příspěvcích na Twitter lze kontrolovat označování na fotografiích a příspěvcích, objevitelnost dle telefonního čísla či e-mailové adresy a zobrazování reklam – kontrolu lze provést v sekci zabezpečení a soukromí https://twitter.com/settings/security.

Adaptační zákon

Dne 24.4.2019 vešel v účinnost nový zákon č. 110/2019 Sb., o zpracování osobních údajů. Tímto Adaptačním zákonem se ruší zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a nový zákon společně s Nařízením GDPR jej tak zcela nahrazují.

Nejzásadnější novinky se týkají stanovení výše pokut, jejichž nastavení má každá členská země EU ve své kompetenci. Pokud se fyzická, právnická nebo podnikající fyzická osoba dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem (např. trestním řádem či zákonem o soudnictví ve věcech mládeže), je možné za takový přestupek uložit pokutu do 1.000.000,- Kč, nebo 5.000.000,- Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.

Orgánům veřejné moci a veřejným subjektům České republiky nebude správní trest (pokuta) uložen, ale v případě, že kontrolovaná osoba neprovedla nápravu na základě předchozího zjištění ÚOOÚ, může proti ní být zahájeno řízení o přestupku nesoucí možné sankce.

V případě, že půjde o porušení některých povinností týkající se ochrany osobních údajů právnickou osobou vyplývající z hlavy III zákona č. 110/2019 Sb. (zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti), může být uložena pokuta až do výše 10.000.000,- Kč. Orgány veřejné moci a veřejné subjekty České republiky již od této pokuty nejsou osvobozeny.

Důležité je připomenout, že výše pokut je uvedena jako maximální a v případě udělení finanční sankce nesmí být její výše pro daný subjekt likvidační.

Zákon dále například stanovuje hranici pro způsobilost dítěte k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (např. zpracování osobních údajů provozovateli sociálních sítí) na 15 let.

Z důvodu této legislativní úpravy je nezbytné pouze upravit veškeré vzorové dokumenty týkající zpracování osobních údajů tak, aby vycházely již z nového zákona. Jedná se především o směrnici o nakládaní s osobními údaji a souhlasy pro zákonné zástupce, zaměstnance a další osoby. Souhlasy udělené podle zákona č. 101/2000 Sb. se považují za souhlas stále platný a není tedy nutné tyto souhlasy znovu udělovat.

Celé znění Adaptačního zákona naleznete zde.

Zpracování a archivace osobních údajů neúspěšných uchazečů o zaměstnání (v rámci výběrového řízení)

Zpracování osobních údajů uchazečů o zaměstnání v rámci výběrového řízení je nezbytné pro provedení opatření přijatých před případným uzavřením pracovní či jiné smlouvy, zpracování osobních údajů je tedy oprávněné (samozřejmě při zohlednění potřebnosti a relevance požadovaných osobních údajů). Pro fázi samotného výběrového řízení je proto souhlas nejen nadbytečným, ale dokonce nesprávným zákonným důvodem zpracování osobních údajů.

Pokud ale má zaměstnavatel zájem ponechat si po ukončení výběrového řízení shromážděné osobní údaje neúspěšných uchazečů o zaměstnání pro účely jejich budoucího oslovení s novou nabídkou, je souhlas vhodným právním důvodem dalšího zpracování. Pokud neúspěšný uchazeč o zaměstnání písemně vysloví svůj souhlas s dalším zpracováním svých osobních údajů pro účely budoucích výběrových řízení, který splňuje všechny zákonné náležitosti (viz. čl. 7 Nařízení GDPR), je zaměstnavatel oprávněn osobní údaje zpracovávat po dobu, v souhlasu stanovenou.

Zaměstnavatel vždy musí uchazeče o zaměstnání v dostatečné míře informovat o skutečnosti, že jejich osobní údaje zpracovává, proč tak činí a jakou dobu bude ve zpracování pokračovat – tedy jinými slovy splnit informační povinnost dle čl. 13, popř. čl. 14 Nařízení GDPR.

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u zaměstnanců z pohledu GDPR

Opodstatněnost doložení trestní bezúhonnosti – výpisu z Rejstříku trestů v průběhu trvání pracovněprávního vztahu, či před jeho uzavřením, je buď zákonem stanovená povinnost, nebo je dána povahou pracovní náplně zaměstnance obecního / městského úřadu.

Předložení výpisu z Rejstříku trestů zaměstnavateli omezuje přímo zákoník práce ve svém ustanovení § 316 odst. 4. Ačkoli toto ustanovení zmiňuje pouze zaměstnance, panuje shoda v tom, že v souladu s pravidlem a maiori ad minus se toto omezení zaměstnavatele vztahuje jednoznačně i na jeho požadavky vůči uchazečům o zaměstnání. Zaměstnavatel může v souladu s ustanovením § 316 odst. 4 zákoníku práce chtít po zaměstnancích pouze ty informace, které bezprostředně souvisejí s výkonem práce a se základním pracovněprávním vztahem. Výpis z Rejstříku trestů je jedna z informací, kterou zaměstnavatel po zaměstnancích požadovat nesmí. Ustanovení zákoníku práce ale obsahuje i výjimky, kdy informace o trestněprávní bezúhonnosti zaměstnavatel požadovat smí. Je tomu tak v případech, kdy je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a současně, je-li tento požadavek přiměřený anebo v případech, kdy to stanoví právní předpis. Existuje mnoho profesí, u kterých právní předpisy stanoví jako předpoklad trestní bezúhonnost.

Pokud tedy předpoklad trestněprávní bezúhonnosti není stanoven zákonem, je možné požadovat výpis z Rejstříku trestů jen v případě, když existuje vážný věcný důvod spočívající v povaze práce. Záleží tedy na typu pracovní pozice – zda u dané pracovní pozice existují či neexistují věcné důvody pro vyžádání výpisu z Rejstříku trestů, např. v případě mzdové účetní, jež manipuluje s hotovostí, má přístup do trezoru atd., by neměl požadavek na výpis z Rejstříku trestů představovat problém; u pracovní pozice typu údržbář, topič, uklízečka atd. ale věcný důvod k požadavku na doložení trestní bezúhonnosti neexistuje.

V případě doložení výpisu z Rejstříku trestu nemá zaměstnavatel povinnost výpis založit do osobního spisu zaměstnance – pro ověření trestní bezúhonnosti stačí, když si zaměstnavatel výpis nechá předložit a po ověření ho vrátí zaměstnanci, a do osobního spisu udělá zápis, kdy byla trestní bezúhonnost prokázána.

Uchovávání kopií dokladů totožnosti zaměstnanců

Kopie občanského průkazu – podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy možné jen na základě souhlasu zaměstnance.

Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný). Zaměstnavatel si např. může při nástupu nového zaměstnance ověřit jeho totožnost z originálu občanského průkazu a učinit o tomto ověření poznámku v osobní složce zaměstnance. Kopie občanského průkazu by se však v osobní složce objevit neměla.

Kopie řidičského průkazu – kopírování řidičského průkazu zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie řidičského průkazu se ve vybraných případech může opřít o tzv. oprávněný zájem zaměstnavatele. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Kopie průkazu zdravotní pojišťovny – kopírování průkazu zdravotní pojišťovny zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie průkazu zdravotní pojišťovny se ve vybraných případech může opřít o tzv. oprávněný zájem. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Uchovávání kopií dokladů totožnosti cizinců – zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je naopak povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Potřebnost uzavření smlouvy o zpracování osob­ních údajů s lékařem poskytujícím pracovnělé­kařské prohlídky

V případě lékařů zajišťujících pracovnělékařské prohlídky není třeba uzavírat smlouvu o zpracování osobních údajů. Povinnost uzavírat zpracovatelskou smlouvu je třeba pouze se zpracovateli osobních údajů. Přestože postavení lékaře v tomto vztahu vykazuje jisté znaky zpracovatele, ÚOOÚ a pracovní skupina WP 29 vydala stanovisko, podle kterého je v tomto vztahu lékař považován za správce, nikoli za zpracovatele, a tato povinnost se tak neuplatní.

Přístup ke knize úrazů

Pro případ pracovního úrazu by na každém pracovišti měla být k dispozici kniha úrazů. V knize úrazů se uvádí jméno a příjmení zaměstnance, datum úrazu a popis úrazu. Kniha úrazů tedy obsahuje osobní údaje a s ohledem na Nařízení GDPR není vhodné, aby byla na pracovišti volně přístupná všem zaměstnancům.

Knihu úrazů má mít u sebe příslušně odborně způsobilý pracovník (např. bezpečnostní pracovník, vedoucí pracovník atd.), který ji bude uchovávat uzamčenou a pracovat s ní výhradně sám.

Zaměstnavatel má po dobu 30 let povin­nost archivovat dokumenty týkající se pracovních úrazů (stejně jako nemocí z povolání). Účelem je zachovat dokumenty obsahující údaje podstat­né pro výpočet výše starobního důchodu. Konkrétně mezi tyto dokumenty patří potvrzení o době, důvodu a výši náhrad za ztrátu na výdělku po skončení pracovní neschopnosti náležející za pracovní úraz nebo nemoc z povolání.

Cookies a cookies lišta na webových stránkách

Informace o cookies jsou osobní údaje, proto provozovatel webu by měl mít pro práci s cookies právně obhajitelný důvod – buď oprávněný zájem (cookies nezbytné pro samotné fungování webu) nebo souhlas, pokud nelze prokázat oprávněný zájem.

ÚOOÚ vydal v souvislosti s GDPR doporučení k zpracování cookies a obdobných prostředků sledování. Podle tohoto doporučení již nejsou cookies lišty na webech potřeba a o sběru cookies stačí někde na stránkách přehledně informovat. Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele. Pro všechny ostatní cookies je nutno získat souhlas, který však lze získat nastavením běžných prohlížečů. Popisu zpracování osobních údajů, včetně cookies, je podle ÚOOÚ vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako „cookies“. Toto je ale pouze doporučení ÚOOÚ, není to zavazující stanovisko.

Dle doporučení ÚOOÚ není tedy cookies lišta na webových stránkách již povinná, ale cookies lištu vyžaduje např. Google (pokud při využívání služeb Google nebude mít provozovatel webu souhlas k cookies, porušuje tím smluvní pravidla Google).

Cookies má v budoucnu upravovat nový předpis z dílny EU – nařízení ePrivacy (Nařízení EU o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích).

Zveřejňování informací o pronajatých bytech v usnesení orgánů města

Zastupitelstvo města a Rada města (orgány s pravomocí rozhodovat o záležitostech patřících do samostatné působnosti města, ve smyslu § 84 odst. 1 a § 102 odst. 2 a 3 zákona č. 128/2000 Sb., o obcích) jsou oprávněni na svém zasedání projednávat otázky dispozic s majetkem města i otázky týkající se nájmu bytů ve vlastnictví města, a to včetně způsobů vymáhání dlužného nájemného. Při projednávání těchto záležitostí mají na základě zvláštních zákonů povinnost účastníky právních vztahů identifikovat, a proto mohou zpracovávat osobní údaje dotčených osob i bez jejich souhlasu.

V případě majetkových dispozic lze považovat za důvodný a účelný, tedy v souladu se zákonem, takový postup, kdy by ve zveřejněné verzi usnesení byla přesně identifikována pouze předmětná nemovitost a uvedeno, jak bylo rozhodnuto (např. prodá se, pronajme se). Takto redukované usnesení stále dostatečně informuje o tom, jaké záležitosti byly na zasedání orgánu města projednávány. Ohledně zveřejňování osobních údajů dlužníků (nájemníků, kteří dluží městu na nájemném) je nutno konstatovat, že tento postup je v podstatě opakovaným postihem těchto osob. Jelikož se jedná o postupy v rámci činností stanovených zákonem, je nutno takové jednání považovat za nedovolené. Zveřejnění osobních údajů uvedených osob by bylo možné, pokud by k tomu předem daly souhlas. Současně je vhodné ve zveřejněné verzi usnesení upozornit na právo osob vymezených v § 16 a § 17 zákona č. 128/2000 Sb., o obcích (obecní zřízení), na nahlédnutí do úplného znění usnesení nebo zápisu z jednání.

Zveřejňování osobních údajů na úřední desce

Při doručování veřejnou vyhláškou, tedy prostřednictvím úřední desky se jedná o náhradní způsob doručení písemnosti, který je podle zákona č. 500/2004 Sb., správní řád krajním způsobem řešení situace při doručování. Ke zveřejnění písemnosti na úřední desce (které je zásahem do práv subjektu údajů) tedy dochází v případě, že je takové zveřejnění nezbytné k dosažení účelu, pro který jsou osobní údaje zpracovány. To znamená, že v první řadě, musejí být (v souladu se zákonem) vždy zvoleny způsoby doručení, při kterých nejsou osobní údaje subjektu údajů zveřejněny. Až v případě, že se těmito způsoby nepodařilo písemnost doručit, může dojít k doručení, při kterém jsou údaje subjektu údajů zveřejněny na úřední desce. V takovém případě je zveřejnění osobních údajů, které jsou součástí veřejné vyhlášky, legitimní, jelikož se jedná o zpracování nezbytné pro splnění právní povinnosti.

Účelem zveřejnění písemnosti na úřední desce je umožnit adresátovi písemnosti uplatnit jeho práva a oprávněné zájmy. Je tedy nezbytné písemnost vyvěsit v celém svém rozsahu, s celým odůvodněním a uvedením všech práv a povinností, která dané osobě vznikají. V případě doručování veřejnou vyhláškou tedy nemá správní orgán možnost pro zajištění ochrany osobních údajů písemnost pozměnit, např. začerněním osobních údajů či podobnou úpravou. Proto, jestliže písemnost obsahuje osobní údaje, které lze považovat za citlivé, postupuje správní orgán tak, že na úřední desce a elektronické úřední desce vyvěsí namísto samotné písemnosti oznámení o možnosti převzít písemnost u příslušného správního orgánu (§ 25 odst. 2 správního řádu).

Správní řád neupravuje kritéria pro volbu daného způsobu, obec jako správní orgán by měla tedy zvážit okolnosti konkrétního případu, resp. obsah doručované písemnosti v jednotlivém případě. Vyvěšení písemnosti by mělo být primárním způsobem, pro vyvěšení pouhého oznámení by měly existovat důvody bránící vyvěšení samotné písemnosti (typicky její velký rozsah), anebo důvody, dané ochranou osobních údajů, tedy například případy, kdy písemnost samotná obsahuje rovněž osobní údaje jiných osob než adresáta, osobní údaje zvláštních kategorií apod.

Zprávy, u kterých uplynula lhůta pro zveřejnění (datum sejmutí), musejí být z úřední desky odstraněny, neboť pro jejich zveřejnění již neexistuje zákonné oprávnění. Pokud je v zájmu obce archivní zprávy zveřejňovat, mělo by se jednat pouze o seznam dříve zveřejněných zpráv, neobsahujících žádné osobní údaje, tedy bez uvedení osobních údajů v názvu zprávy (nelze „KAREL NOVÁK − DRAŽEBNÍ VYHLÁŠKA MOVITÝCH VĚCÍ“) a bez připojeného dokumentu. V případě potřeby zveřejnění připojeného dokumentu, musel by být tento dokument anonymizován.

Po uplynutí lhůty pro zveřejnění je potřeba dokument znepřístupnit a to tak, aby nebyl dohledatelný ani internetovými prohlížeči (tedy nestačí odstranit pouze odkaz na úřední desce, je potřeba odstranit celý dokument z webového serveru).

Doporučujeme také zamezit vyhledatelnosti zprávy internetovými prohlížeči po jejím odstranění z úřední desky. K tomu lze přijmout jednoduchá technická opatření – jedná se především o nástroje, které zamezí indexování příslušných webových stránek a zveřejněných dokumentů a nástroj, který zamezí jejich ukládání do cache internetového vyhledávače. (Účelem zpřístupnění osobních údajů, respektive konkrétních dokumentů uvedeným způsobem totiž není „automatické“ umožnění předat a sdružovat údaje zveřejněné na jednotlivých úředních deskách do úložišť mimo působnost orgánů veřejné správy, ani trvale uchovávat, prohledávat nebo profilovat dokumenty s osobními údaji, u nichž zákon přesně stanovil některé způsoby zpracování, a to včetně doby tohoto zpracování.)

Další uchovávání zpráv a dokumentů ve Spisové službě obce a dalších evidencích až do doby uplynutí skartační lhůty a zařazení do skartačního řízení je v souladu s pravidly ochrany osobních údajů.

Je také třeba vždy posoudit, zda je daný dokument skutečně určen ke zveřejnění na úřední desce a vždy určit, zda se skutečně jedná o zákonnou povinnost nebo ne.

Účastník řízení (obec) je povinen došlou písemnost např. od soudního exekutora, případně jiného orgánu veřejné moci, nejprve posoudit podle jejího obsahu, a poté učinit závěr, zda je povinen v souladu s příslušným procesním předpisem (např. občanský soudní řád, zákon o správě daní a poplatků) doručený dokument na své úřední desce zveřejnit. Pokud dospěje k závěru, že ano, poté je povinen tento dokument zveřejnit, aniž by jakkoliv zasahoval do jeho obsahu, neboť odpovědnost je poté na tom, kdo zveřejnění požaduje. Pokud ovšem žádný právní předpis zveřejnit došlý dokument neukládá, nese odpovědnost za zveřejněné osobní údaje přímo účastník řízení, a to bez ohledu na to, zda mu byla písemnost doručena omylem, nebo cíleně (např. proto, že byla soudním exekutorem nařízena exekuce srážkami ze mzdy zaměstnance účastníka řízení, což musí být samozřejmě zaměstnavateli oznámeno, viz § 282 odst. 2 občanského soudního řádu, viz https://www.uoou.cz/postup-obce-pri-nakladani-s-listinou-zaslanou-exekutorem-aniz-je-obec-jejim-opravnenym-prijemcem/d-1777). Doporučujeme na tuto skutečnost opakovaně upozornit odpovědné pracovníky.

Zveřejňování článků a fotografií v obecních / radničních novinách a v obecním kalendáři

Zveřejnění článku o určité události nebo případu s uvedením jmen jejich účastníků v obecních / radničních novinách není posuzováno jako zpracování osobních údajů, pokud nedochází k systematickému shromažďování osobních údajů o určité kategorii osob a dalším operacím s takto získanými údaji. Pro takové operacepro novinářské účely stanovuje výjimky z GDPR zákon o zpracování osobních údajů.

Režimu GDPR nepodléhá ani běžné zveřejňování fotografií v médiích, které se řídí ustanoveními § 84 až 90 zákona č. 89/2012 Sb., občanský zákoník, který v § 89 stanoví: Podobizna nebo zvukový či obrazový záznam se mohou bez svolení člověka také pořídit nebo použít přiměřeným způsobem též k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství.

V případě obecního kalendáře lze zpracovávat dobové fotografie v souladu s § 89 zákona č. 89/2012 Sb., občanský zákoník, dle kterého se podobizna nebo zvukový či obrazový záznam mohou bez svolení člověka pořídit nebo použít přiměřeným způsobem k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní či obdobné zpravodajství. V ostatních situacích je však vždy třeba dbát na to, zda není vyobrazená stavba předmětem ochrany autorského práva.

V případě použití fotografií pro propagaci – letáky, plakáty, pozvánky, publikace, dárkové předměty – je vždy nutný souhlas subjektu údajů.

Uvádění osobních údajů na dopisech (dodejky s modrým či červeným pruhem) v praxi obecního úřadu

S ohledem na Nařízení GDPR a zásadu minimalizace osobních údajů je pro identifikaci adresáta dostatečně rozlišovacím osobním údajem pro účely doručení dopisu v rámci správního řízení či při vymáhání pokut uvedení jména, příjmení, popř. titulu a roku narození adresáta.

Při uvádění osobních údajů na dopisech je třeba zohlednit zásadu účelového omezení a minimalizace osobních údajů zakotvenou v čl. 5, odst. 1, písm. b) a c) Nařízení GDPR. Účelem zpracovávání osobních údajů je doručování písemností správním orgánem (viz zákon č. 500/2004 Sb., správní řád). Takto doručované písemnosti mohou dle stanoviska Ministerstva vnitra ČR obsahovat citlivé osobní údaje, jako např. i informaci o spáchaném přestupku. Je poměrně běžné, že na doručovací adrese bydlí dvě a více osob shodného jména a příjmení, naopak je vysoce nepravděpodobné, že by takové osoby měly i stejný rok narození.

Předání osobních údajů ubytovateli

V případě, že ubytovatel vybírá pro obec poplatek za rekreační a lázeňský pobyt nebo sám platí poplatek z ubytovací kapacity může se opřít o zákon č. 565/1990 Sb., o místních poplatcích. Tento zákon říká, že poplatek za lázeňský nebo rekreační pobyt platí všechny fyzické osoby, které pobývají v lázeňských místech a v místech soustředěného turistického ruchu za účelem léčení nebo rekreace. Avšak poplatku za lázeňský nebo rekreační pobyt nepodléhají mimo jiné osoby mladší 18 let a starší 70 let. Ubytovatel je povinen vést evidenční knihu, do které zapisuje:

  • dobu ubytování,
  • účel pobytu,
  • jméno a příjmení,
  • adresu místa trvalého pobytu nebo místa trvalého bydliště v zahraničí,
  • číslo občanského průkazu nebo cestovního pasu.

Z toho tedy plyne, že např. v případě pobytu na škole v přírodě, ubytovatel v evidenční knize vede pouze údaje o dospělých ubytovaných, nikoliv o dětech.

Údaje, které zákonem o místních poplatcích stanoveny nejsou, tedy datum narození a rodné číslo ubytovaného, ubytovatel ani obecní úřad vyžadovat pro zápis do knihy nemůže.

V místech, kde poplatek podle zákona o místních poplatcích vybírán není, je však identifikace objednatele služby – fyzické osoby nezbytná pro uzavření a plnění smlouvy o ubytování. K identifikaci v tomto případě postačují údaje v rozsahu:

  • objednatel (právnická osoba) nebo jméno a příjmení (pokud je objednatelem fyzická osoba),
  • adresa místa podnikání nebo trvalého pobytu,
  • datum narození u fyzické osoby,
  • datum zahájení a ukončení pobytu (nepovinné),
  • částka za ubytování a služby (nepovinné).

V případě, že je na základě smlouvy s objednatelem ubytováno více osob, které neplatí poplatek, postačuje zpracování osobních údajů pouze objednatele – fyzické osoby a počet dalších ubytovaných osob.

Ubytovaní, kteří mají jiný důvod pobytu (například služební cesta), poplatek neplatí.

Předávání osobních údajů přijímaných prvňáčků mezi zřizovatelem (obcí) a školou

Proces přijímacího řízení je souborem úkolů vyplývajících ze zákona č. 561/2004 Sb., školský zákon, a prováděcí vyhlášky č. 48/2005 Sb., o základním vzdělávání a některých náležitostech plnění povinné školní docházky, na kterém se podílí jak obec, tak i škola. Dle ustanovení § 36 odst. 8 školského zákona, obecní úřad obce, na jejímž území je školský obvod základní školy, poskytuje této škole s dostatečným předstihem před termínem zápisu k povinné školní docházce seznam dětí, pro které je tato škola spádová a jichž se týká povinnost podle odstavce 4 (pozn. přihlásit dítě k povinné školní docházce). Seznam obsahuje vždy jméno, popřípadě jména, a příjmení, datum narození a adresu místa trvalého pobytu dítěte, v případě cizince místo pobytu dítěte.

Pokud je dítě přijato na jinou než spádovou školu, oznámí ředitel této školy tuto skutečnost řediteli školy spádové, a to nejpozději do konce května kalendářního roku, v němž má dítě zahájit povinnou školní docházku. Pokud ředitel školy zjistí, že některé ze spádových dětí nebylo zapsáno na žádnou školu, nastává mu oznamovací povinnost vůči příslušnému OSPOD.

Upozorňujeme tedy na skutečnost, že obec je oprávněna (povinna) předat osobní údaje dětí škole, ale škola již nemá oprávnění předávat obci zpět informace o přijatých dětech.

Pokud zřizovatel provozuje informační systém k přijímání prvňáčků, není oprávněn do této evidence nahlížet. Zřizovatel je navíc povinen uzavřít zpracovatelskou smlouvu s případným provozovatelem takového systému.

Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance

Zaměstnavatel (obec) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:

  • Zveřejněná informace o možnosti zasílat motivační dopisy a životopisy na danou pracovní pozici musí obsahovat konkrétní kontakt pro zaslání těchto dokumentů (nemělo by se tedy jednat o obecnou adresu přístupnou několika zaměstnancům) a dále musí obsahovat poučení o tom, jak budou chráněny osobní údaje uchazeče / potenciálního zaměstnance, které zaměstnavatel ve výběrovém řízení získá.
  • Zaměstnavatel nesmí vyžadovat od uchazeče / potenciálního zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem.
  • Na základě písemné žádosti neúspěšného uchazeče si zaměstnavatel může pro své účely archivovat dokumenty tohoto uchazeče (motivační dopis, životopis), a to po stanovenou dobu nebo do odvolání uchazečem.

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u úřednických a neúřednických pozic z pohledu GDPR

Zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů, vyžaduje u úředníků doložení trestní bezúhonnosti – výpis z Rejstříku trestů.

Pokud ale předpoklad trestněprávní bezúhonnosti není sta­noven zákonem, je možné požadovat výpis z Rejstříku trestů jen v případě, když existuje vážný věcný důvod spočíva­jící v povaze práce. Záleží tedy na typu pracovní pozice – zda u dané pracovní pozice existují či neexistují věcné důvody pro vyžádání výpisu z Rejstříku trestů, např. v případě mzdové účetní, jež manipuluje s hotovostí, má přístup do trezoru atd., by neměl po­žadavek na výpis z Rejstříku trestů představovat problém; u pracovní pozice typu údržbář, topič, uklízečka atd. ale věcný důvod k požadavku na doložení trestní bezúhonnosti neexistuje.

Nakládání s osobními údaji při zajištění BOZP a PO

Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (obec) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.

Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.

V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.

Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.

S ochranou osobních údajů úzce souvisí i doba uchovávání jednotlivých dokumentů obsahujících osobní údaje (naplnění zásady omezení uložení). Je jedno, zda se jedná o dokumenty v listinné, nebo elektronické podobě. Z hlediska zajištění souladu s GDPR osobní údaje mohou být v dokumentech uvedené pouze po dobu trvání účelu, pro který byly osobní údaje získány a zpracovávány (doba uchování dokumentů).

Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád obce, v některých případech je doba uchování upravena přímo právním předpisem, např.:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10 let, resp. 40 let podle druhu práce;
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky;
  • § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy) – 5 let;
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) – 30 let.

Frekvence školení zaměstnanců v oblasti ochrany osobních údajů

Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě

Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.

Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.

V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.

Kopie dokladů totožnosti

Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).

V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).

V souvislosti s ověřováním / dokládáním totožnosti subjektu údajů v rámci některých agend obce je dále třeba zřetelně vyjasnit pojmy „doložit“, „předložit“ a „připojit“. Pokud příslušný zákon říká, že je nutné doklad totožnosti připojit, měl by podatel (subjekt údajů) sám příslušný doklad totožnosti ke svému podání připojit. Pokud se tak nestane, úřad by měl podatele následně k doložení dokladu vyzvat. Obdobně by mělo být postupováno i v případě, kdy je v zákoně stanovena povinnost podatele příslušný doklad totožnosti doložit. Pokud je podle zákona stanovena povinnost doklad totožnosti pouze předložit, nejedná se o stejnou situaci jako v případě připojení či doložení dokladu. Je proto na zvážení úřadu, zda v těchto případech vyhotovit fotokopii dokladu totožnosti nebo jiným způsobem zaznamenat informaci o tom, že byl požadovaný doklad totožnosti předložen.

Vítání občánků a životní jubilea

Pro účely zaslání pozvánky k vítání občánků, vypracování jmenného seznamu dětí, které jsou pak vyvolávány na dané akci, nebo zaslání gratulací k životním jubileím občanům obce, orgán obec nemusí mít přihlášku zákonného zástupce / občana a souhlas se zpracováním osobních údajů. Zpracování těchto osobních údajů lze opřít o čl. 6 odst. 1 písm. e) Nařízení GDPR.

Lze totiž dojít k závěru, že ve veřejném zájmu je pořádání obecních akcí, které slouží k podpoře života obce jako společenství občanů. K tomu patří jak vítání občánků a jejich příp. zápis do kroniky obce (není ale důvod uvádět v kronice konkrétní data narození, postačuje uvést, které děti se narodily v určitém časovém úseku), tak gratulace k významným životním výročím. Zpracování osobních údajů musí být vždy přiměřené danému účelu.

Osobní údaje uvedené v kronice obce

Osobní údaje uvedené v kronice obce musí být přiměřené danému účelu zpracování. Obec je podle zákona č. 132/2006 Sb., o kronikách obcí, povinna vést kroniku obce, do níž se zaznamenávají zprávy o důležitých a pamětihodných událostech v obci pro informaci i poučení budoucím generacím. Je nepochybné, že tyto chronologicky zapisované zprávy i přílohy kroniky obce (písemné, obrazové nebo zvukové dokumenty doplňující zápis v kronice), obsahují v nezbytně nutném rozsahu i údaje o osobách, které se pamětihodných událostí obce zúčastnily.

Podle § 3 zákona o kronikách obcí (Zápis do kroniky) rozhoduje o zápisu do kroniky obec. Jako důležitou událost hodnou zaznamenání může obec posoudit případně i událost týkající se soukromého života určité osoby, např. sňatek v obci známé osoby, narození dítěte v její rodině, významné životní jubileum i úmrtí takové osoby, případně veřejně známé okolnosti s těmito událostmi spojené. Zápis v kronice o takové události ale nesmí rozsahem uváděných osobních údajů zasahovat do soukromého života těchto osob nepřiměřeným způsobem.

Zákon o kronikách obcí však nepředpokládá, že v kronice budou uváděny jakékoli soupisy místních občanů, které jsou zpracováním osobních údajů ve smyslu § 4 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů. Pro zařazení takového soupisu v rozsahu údajů: jméno a příjmení, přesná adresa bydliště, případně datum nebo rok narození a další osobní údaje, např. soupis jubilantů v určitém roce nebo soupis osob, které se přistěhovaly nebo odstěhovaly, je proto třeba získat souhlas těchto subjektů údajů. V případě soupisu nově narozených dětí je třeba získat souhlas jejich zákonných zástupců.

Vzhledem k tomu, že povinnost získat souhlas subjektu údajů je vztažena pouze k žijícím osobám, není zařazení soupisů zemřelých osob do kroniky obce bez souhlasu blízkých osob zemřelých porušením zákona o ochraně osobních údajů, pokud nejsou tyto údaje získávány z evidence obyvatel nebo z matriky, což neumožňují příslušné zvláštní zákony. Blízké osoby zemřelých však mohou případně uplatňovat právo na ochranu jejich osobnosti podle občanského zákoníku.

Zákon o kronikách obcí umožňuje vedení kroniky v elektronické podobě, nepředpokládá však její zveřejňování na webových stránkách obce. Podmínky pro zpřístupňování kroniky stanoví § 4 zákona o kronikách obcí (Nahlížení do kroniky a využití kroniky) – do kroniky může každý nahlédnout ve vymezené době na obecním úřadě.

Ochrana osobních údajů v souvislosti se zákonem o registru smluv

Zákon č. 340/2015 Sb., o registru smluv, neobsahuje samostatnou úpravu týkající se osobních údajů – v § 3 odst. 1 zákon odkazuje na právní předpisy upravující svobodný přístup k informacím (zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který svůj vztah k osobním údajům vymezuje zejména v § 8a). Je proto nutné vycházet z obecné úpravy ochrany osobních údajů stanovené zejména Nařízením GDPR a zákonem o zpracování osobních údajů. Osobní údaje je možné zpracovat / uveřejnit jen na základě některého z právních titulů vymezených v čl. 6 Nařízení GDPR. Pokud ke zpracování osobních údajů jejich zveřejněním není k dispozici právní titul, je nezbytné osobní údaje v dané smlouvě anonymizovat. Ve výjimečných případech lze uvažovat i o souhlasu dotčené osoby s takovýmto zpracováním jejích údajů.

Nařízení GDPR ale nezná právní titul pro zpracování oprávněně zveřejněných osobních údajů, tak jak tomu bylo v zákoně o ochraně osobních údajů. Bez jiného právního titulu tak není možné osobní údaje, které jsou veřejné podle jiného zákona, uveřejňovat v registru smluv.

ÚOOÚ doporučuje vzhledem k právní úpravě zpracování osobních údajů dle Nařízení GDPR, aby povinné subjekty přijaly taková opatření, která zabrání neoprávněnému uveřejňování osobních údajů v registru smluv (tj. nastavení mechanismu anonymizace smluv a metadat). Rozsah osobních údajů, které mohou být v registru smluv uvedeny, je uveden v Metodickém návodu Ministerstva vnitra ČR k aplikaci zákona o registru smluv (více informace naleznete zde).

Osobní údaje uvedené na dotačních programech

Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě práv­ního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.

Novela vyhlášky o poskytování údajů z katastru nemovitostí

Dnem 1.1.2019 nabyla své účinnosti vyhláška č. 256/2018 Sb., kterou se mění vyhláška č. 358/2013 Sb., o poskytování údajů z katastru nemovitostí, ve znění vyhlášky č. 354/2015 Sb. Jedná se relativně o rozsáhlou novelu o bezmála třech desítkách změnových bodů. Český úřad zeměměřický a katastrální (ČÚZK) jí především reaguje na přijetí a účinnost obecného nařízení o ochraně osobních údajů (Nařízení GDPR). Jejím prostřednictvím mají být rovněž optimalizovány formy poskytování údajů katastru a výše úplat.

Novela vyhlášky o poskytování údajů z katastru nemovitostí upravuje následující body vyhlášky:

  • Kopie z katastrálního operátu v případech, ve kterých nejde o poskytnutí údajů ve formě veřejných listin.
  • Výstupy a kopie z katastrálního operátu v případech, ve kterých nejde o poskytnutí údajů ve formě veřejných listin.
  • Šíření údajů katastru.
  • Šíření údajů katastru za úplatu.
  • Bezúplatné šíření údajů katastru.
  • Přechodná ustanovení.

Více informací naleznete zde.

Dopad Nařízení GDPR na práci členů orgánů obce

S ohledem na proběhnuvší komunální volby (volby do zastupitelstva obcí 2018) si dovolujeme upozornit, že Nařízení GDPR má dopad i na práci jednotlivých členů orgánů obce. Zastupitel obce je z pohledu GDPR běžnou fyzickou osobou a může být postižen stejnou sankcí jako každý jiný subjekt. Vztah zastupitele a obce je z pohledu nakládání s osobními údaji poměrně složitý – jsou si vzájemně zpracovateli, dodavateli a poskytují si aktiva k výkonu činnosti správce. Zastupitel potřebuje, jako kdokoliv jiný, zákonný důvod (přesněji zákonné oprávnění), k nakládání s osobními údaji jiných.

Pokud ho nemá, nebo ho má k jinému účelu, musí si zajistit souhlas subjektu údajů. To platí i na případy, kdy zastupitel obce komunikuje s občany, zabývá se jejich podněty, fotografuje se s nimi na společenské akci apod. Stejně opatrně a zodpovědně musí zastupitel obce nakládat s osobními údaji svých asistentů, smluvních partnerů či obce.

Zastupitel obce je oprávněn používat osobní údaje vždy pouze za tím účelem, za kterým mu byly poskytnuty (např. pokud je kontaktován občanem s žádostí o informaci, je oprávněn použít osobní údaje občana pouze za účelem poskytnutí odpovědi, nikoliv pro následné oslovení občana v jiných věcech).

Zastupitel obce, stejně jako kterýkoliv jiný správce nebo zpracovatel osobních údajů, by měl být v oblasti ochrany osobních údajů řádně vyškolen. Každý zastupitel obce by se měl sám, nebo s pomocí obce seznámit alespoň v minimální míře s právy a povinnostmi při zpracování osobních údajů. Jeho vztah s obcí by měl být v této oblasti formalizován, stejně jako jeho vztah s asistentem a dalšími osobami. Obec může poskytnout zastupiteli vzory souhlasů a smluv, stejně jako přístup k základnímu proškolení v oblasti GDPR.

Využití politických názorů občanů

V souvislosti s volbami do Senátu a Zastupitelstev obcí 2018 je na místě připomenout, že údaje vypovídající o politických názorech občanů patří do zvláštní kategorie osobních údajů, pro které GDPR stanovuje zákaz jejich zpracování s přísně stanovenými výjimkami.

Využití osobních údajů ze sociálních sítí a komunikací na webových stránkách pro účely volební kampaně bez výslovného souhlasu voliče je porušením zásad GDPR.

Personální agenda – archivace a skartace spisů zaměstnanců

Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (obce). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu obce uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci obce i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů (viz vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby).

Osobní spis zaměstnance obce má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.

Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů

Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (obcí) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:

  • obecnou archivační dobu stanovuje zákon č. 563/1991 Sb., o účetnictví, v délce 10 let pro účetní závěrky a výroční zprávy a v délce 5 let pro ostatní účetní doklady a účetní záznamy (počítá se vždy od konce daného účetního období);
  • speciální lhůty pro archivaci mzdových listů a dalších údajů potřebných pro důchodové pojištění (30 let a 10 let) stanovuje zákon č. 155/1995 Sb., o důchodovém pojištění;
  • zvláštní lhůty pro archivaci evidence pro účely nemocenského pojištění (10 let) stanovuje zákon č. 187/2006 Sb., o nemocenském pojištění.

Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:

  • mzdové listy a další údaje potřebné pro důchodové pojištění min. 30 let (jde-li o mzdové listy poživatele starobního důchodu, činí lhůta pouze 10 let);
  • záznamy o vzniku a zániku pracovněprávního vztahu, evidenci pracovní doby min. 10 let;
  • doklady o mzdách a dávkách nemocenského pojištění min. 10 let;
  • stejnopisy evidenčních listů min. 3 roky.

Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankcionován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.

Zveřejňování informací o přítomnosti zaměstnanců úřadu na pracovišti

Některé úřady v návaznosti na transparentnost činností obce a dostupnost služeb poskytovaných občanům zveřejňují na webových stránkách obce (prostřednictvím docházkového systému úřadu) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců úřadů na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců úřadů) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.

Zveřejnění informace o přítomnosti zaměstnance úřadu na pracovišti navíc nevede k vyšší informovanosti veřejnosti. Občan z uvedené informace pouze zjistí, že konkrétní zaměstnanec úřadu je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance úřadu na jeho pracovišti po celou pracovní dobu, resp. po dobu úředních hodin, kdy se občané na úřad obracejí.

Evidence kontaktních údajů

Součástí některých formulářů obce mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.

V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.

V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.

Nástroj pro anonymizaci dokumentů

Ministerstvo vnitra ČR bezplatně nabízí zaměstnancům orgánů veřejné moci nástroj pro anonymizaci dokumentů. Pomocí tohoto anonymizačního nástroje zaměstnanci úřadu jednoduše a rychle provedou anonymizaci smluv obce, které pak vloží do registru smluv.

Anonymizační nástroj naleznete na webové stránce https://anonymizace.gov.cz/crossroad/. Pro přihlášení do anonymizačního nástroje je nutné znát přihlašovací údaje do datové schránky obce nebo JIP (Jednotný identitní prostor Czech POINT).

Dodatečné úpravy již uveřejněných smluv v centrálním registru smluv

Podle zákona č. 340/2015 Sb., o registru smluv, je vždy nutné provést anonymizaci smluv uveřejněných v registru smluv. Dodatečné úpravy uveřejněných smluv je možné dělat maximálně do tří měsíců od jejich zveřejnění s tím, že s novým zveřejněním se mění také účinnost smlouvy. Po 25.5.2018 však začalo docházet k dalším zjištěním nesprávné anonymizace uveřejněných smluv. V mnoha případech se ukázalo, že v registru smluv neprobíhala řádná anonymizace osobních údajů a že je potřeba tyto nedostatky napravit.

Níže uvádíme možný postup, jak provést dodatečnou anonymizaci osobních údajů, aniž by došlo ke změně účinnosti zveřejněné smlouvy.

  • Zdokladovat řádné zveřejnění: pořídit a uložit printscreen detailu původního záznamu (metadat); pokud má záznam více verzí, uložit printscreen každé z nich; uložit původní přílohy, uložit potvrzení o zveřejnění původního záznamu (všech verzí).
  • Znepřístupnit původní záznam pomocí formuláře Znepřístupnění záznamu (možno udělat až jako poslední krok).
  • Kompletně (metadata a přílohy) a správně (anonymizovat osobní údaje) zveřejnit smlouvu znovu, do předmětu smlouvy v metadatech vedle vlastního předmětu smlouvy zapsat informaci o tom, že jde o opakované zveřejnění smlouvy z důvodu ochrany osobních údajů a že původní zveřejnění bylo provedeno dne xy:

    „Opakované uveřejnění z důvodu ochrany osobních údajů, původní uveřejnění bylo provedeno dne …“; pozor, vlastní předmět smlouvy vhodně zkraťte, aby se Vám vešel do kolonky (celkem 255 znaků) včetně věty o opakovaném uveřejnění.

  • Smlouva bude mít nové ID a datum zveřejnění, nicméně bude v metadatech uvedena informace o původním datu zveřejnění; kontrolním orgánům je možné doložit dokumentaci původního záznamu, v případě soudního přezkumu lze požádat MV ČR o potvrzení o zveřejnění původního záznamu.

Poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím

Při zveřejnění poskytnuté informace nemají být zveřejněny identifikační údaje žadatele – fyzické osoby bez jeho souhlasu. Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele).

Stejně tak je potřeba případně provést anonymizaci osobních údajů uvedených v poskytnuté informaci, např. při zveřejnění smlouvy o poskytnutí právní pomoci (jméno, příjmení, adresa pobytu, rodné číslo) – žadateli o poskytnutí informace byly sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit jejich právo na ochranu osobnosti a osobních údajů těchto osob ústavně nepřiměřeným způsobem. Podle Stanoviska MV ČR je nutné upřednostnit ochranu osobních údajů a zveřejnit pouze doprovodnou informaci.

Zveřejnění neaktuálních dokumentů obsahujících osobní údaje fyzických osob na stránkách obce

Typické jsou neaktuální listiny dostupné na elektronických stránkách obce, obsahující osobní údaje fyzických osob (např. dražební vyhlášky). Dokumenty mají být zveřejněny pouze po dobu, která je určena právním předpisem, či je plněn účel, pro který byl zveřejněn. Není dostačující převést do „archivu“, je nutné z webových stránek kompletně smazat – stává se, že je odstraněna pouze přímá cesta na dokument z webu, ale dokument je pořád vyhledatelný např. Googlem (typicky zadáním jména, příjmení a názvu obce či domény), nebo nechat pouze informaci o zveřejnění bez přiloženého dokumentu a osobních údajů.

Zabezpečení osobních údajů nejen v rámci správního řízení

Je potřeba věnovat pozornost i pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení, č.j. a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).

Neoprávněné nahlížení úředníků do registrů

Nahlížení do registru obyvatel atd. se musí dít za jasným účelem v rámci výkonu státní správy. Zneužití lze v závažných případech kvalifikovat i jako trestný čin dle § 100 zákona č. 40/2009 Sb., trestní zákoník. Nelze nahlížet do registrů za účelem uspokojení zvědavosti či pro osobní potřebu. Občané se mohou dozvědět, jaký orgán a pro jaký účel využíval z Registru obyvatel údaje… (na základě žádosti o vydání výpisu z Registru obyvatel podle § 14 odst. 4 a § 50 zákona č. 111/2009 Sb., o základních registrech).

Anonymizace smluv v registru smluv

Při zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.

Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.

Kamerový systém obce na veřejných prostranstvích

Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.

 

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).