Obce na Olomoucku zatím ignorují nový zákon o osobních údajích

Zkusili jsme v deseti obcích kraje fiktivně požádat o zaměstnání referentky. Zákon nedodrželi nikde. Koncem května 2018 vstupuje v platnost GDPR (z anglického General Data Protection Regulation), neboli Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Většina obcí na to není připravena.

GDPR se týká prakticky všech organizací – ať už z veřejnoprávního nebo komerčního sektoru, protože upravuje ochranu osobních údajů, jejichž zpracování v těchto organizacích probíhá na úrovni správní, zákaznické nebo i pracovněprávní.  Nařízení upřesňuje role správců a zpracovatelů osobních údajů, jejich povinnosti a především definuje a rozšiřuje práva subjektů údajů – tedy občanů nejen ČR, ale celé EU. GDPR navíc zavádí funkci pověřence pro ochranu osobních údajů, jehož úkolem bude vykonávat poradenskou činnost a kontrolovat, jestli organizace nařízení dodržují.  

Implementace musí začít vstupním auditem. Obce na něj zatím často nemyslely
Pro implementaci nařízení GDPR je potřeba realizovat několik kroků. Celý proces je zahájen vstupním auditem, který zhodnotí stávající stav a rozsah zpracování osobních údajů. Poté je nutné zpracovat tzv. registr zpracovatelských činností a analýzu rizik, které odhalí největší úskalí všech operací. Poté bude následovat přijetí určitých organizačních a technických opatření, která by však neměla nijak zásadně narušit chod organizace.
Radek Kubíček, vedoucí auditor a pověřenec pro ochranu osobních údajů ze společnosti 2K Consulting s.r.o., pak dodává: „Co se týče obcí, situace je dle mých informací různá. Jelikož ještě nebyl přijat adaptační zákon, řada starostů vyčkává, jestli nějaká oficiální instituce nevydá přesnější instrukce, jak postupovat. Bohužel se objevuje řada mýtů a nepravd kolem GDPR, především pak o (ne)povinnosti jmenovat pověřence nebo o výši pokut. Pro obce, města, školy a školská zařízení je však pověřenec povinností, obzvlášť pak kvalitní pověřenec bude v celé problematice ochrany osobních údajů silnou oporou statutárního zástupce.“

Změna, které přijde: citelné zvýšení pokut, dosud byly mírné
Změn, které GDPR přinese, je více. Tou zásadní, která je také důvodem, proč se nyní o GDPR tak mluví, je radikální zvýšení možných sankcí. Současný zákon o ochraně osobních údajů počítá s nejvyšší sankcí 10 mil. Kč (tuto pokutu lze uložit v případě, že právnická osoba zpracovává osobní údaje zakázaným způsobem a v důsledku toho ohrozí větší počet osob, nebo se porušení týká citlivých údajů).  Český Úřad pro ochranu osobních údajů byl navíc vždy poměrně benevolentní – pokuty v řádu statisíců nebo milionů korun ukládá jen výjimečně. Jedna z historicky nejvyšších pokut, kterou ÚOOÚ uložil, nedosahovala ani poloviny maximální možné výše. V roce 2016 zaplatil operátor T-Mobile za rozsáhlé odcizení dat bývalým zaměstnancem pokutu 3,6 mil. Kč. To by se nyní mělo změnit. GDPR umožňuje uložit pokuty až ve výši 20 mil. eur (více než půl miliardy korun), nebo do výše 4 % celosvětového ročního obratu tohoto podnikatele, podle toho, která z obou částek je vyšší. Pokud by tato pravidla platila již nyní, zmíněné společnosti T-Mobile by vzhledem k obratu hrozila pokuta až 1 miliarda korun.

Zkusili jsme získat práci referentky. Ani jeden obecní úřad nepostupoval v souladu s novou legislativnou
Mnoho povinností stanovených nařízením vyplývá již ze současné české právní úpravy obsažené v zákoně č. 101/2000 Sb., o ochraně osobních údajů. Nařízení je však upřesňuje nebo rozšiřuje. Nadále bude platit, že osobní údaje lze zpracovávat pouze na základě souhlasu subjektu údajů nebo jiného legitimního důvodu (např. je-li zpracování nezbytné pro splnění smlouvy, právní povinnosti nebo pro účely oprávněných zájmů správce údajů apod.). Souhlas se zpracováním osobních údajů musí být podle nařízení svobodný, konkrétní, informovaný a jednoznačný. Povinnost předem informovat subjekt údajů o zpracování údajů a o jeho právech tedy rovněž zůstane zachována, ale částečně se mění její obsah především s ohledem na některá nová práva subjektů údajů (např. právo na přenositelnost údajů. Nařízení dále mění povinné náležitosti smlouvy o zpracování osobních údajů, kterou musí správce údajů uzavřít se zpracovatelem, kterému předal údaje ke zpracování. Ovšem na rozdíl od současného českého zákona nařízení nevyžaduje písemnou formu této smlouvy a umožňuje, aby byla uzavřena i v elektronické podobě bez zaručeného elektronického podpisu. Redaktoři Hanáckého Večerníku zkusili během měsíce ledna požádat fiktivně o zaměstnání na pozici referentky hned deset obecních úřadů v Olomouckém kraji. Nařízení, která budou platná od května, nedodržel ani jediný z nich (protože zákon ještě není v platnosti, necháme tyto obce v anonymitě).

Právo být zapomenut
Nařízení dále zakotvuje právo subjektů údajů na výmaz údajů („právo být zapomenut“), které bylo dovozeno již v rozsudku Soudního dvora EU z května 2015 týkajícího se španělského Googlu (C-131/12). Toto právo umožňuje jednotlivcům, aby na základě jejich žádosti provozovatelé webových prohlížečů odstranili některé osobní údaje z vyhledávače a zároveň informovali správce údajů, kteří údaje zpracovávají, aby vymazali veškeré odkazy na tyto osobní údaje včetně jejich kopií. Dlouhou dobu diskutovanou otázku, zda mezi osobní údaje patří i cookies, řeší nařízení tak, že výslovně stanoví, že osobními údaji mohou být i síťové identifikátory jako například IP adresa nebo právě cookies. Jestliže prostřednictvím cookies nebo i jiných údajů bude možné identifikovat konkrétní osobu, tak si provozovatelé webových stránek musí podle nařízení vyžádat předchozí souhlas s používáním takových cookies (až na některé výjimky). Stávající česká právní úprava naproti tomu souhlas s používáním cookies nevyžaduje, nýbrž postačí pouze jasně a srozumitelně informovat uživatele webových stránek a umožnit mu odmítnout používání cookies.
-ms-