Poznatky z praxe zpracování a ochrany osobních údajů

GDPR PRAXE

Přinášíme Vám několik otázek a odpovědí (FAQ) na téma zpracování osobních údajů v praxi.

Jaké jsou základní podmínky pro zpracování firemních i zaměstnaneckých dat v tzv. “cloudu”?

Správce osobních údajů, který s údaji primárně nakládá, rozhoduje o druzích prostředků, které budou pro zpracování osobních údajů použity. Jedním z technických prostředků může být právě varianta cloud computingu, tedy jakéhosi pronájmu výpočetního výkonu či úložného prostoru poskytovatele této služby. Z hlediska správce osobních údajů lze důrazně doporučit přistupovat k poskytovateli cloud computingu jako ke zpracovateli ve smyslu článku 4 odst. 8 GDPR. To však nezbavuje správce osobních údajů (tedy subjekt, který si cloud najímá) povinností, které jsou na něj GDPR kladeny, a v této souvislosti je nutné zmínit zejména povinnost stanovenou v článku 32 GDPR, která se týká zabezpečení osobních údajů. Je tak na správci, aby analyzoval dopady cloud computingu (analýza rizik), zajistil adekvátní opatření na své straně (např. šifrování dat) a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování (zajištění odpovídající úrovně zabezpečení; odpovědnost poskytovatele služeb/zpracovatele za jeho případná selhání s dopady do oblasti ochrany osobních údajů, garantování nevratné likvidace údajů apod.).
Z hlediska zákonných pravidel a záruk požadovaných pro předávání osobních údajů lze doporučit využívat pouze webové služby a cloudová úložiště, které se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva, v takovém případě by pak měly být splněny i požadavky GDPR.

Spadá rodné číslo do zvláštní kategorie osobních údajů dle článku 9 odst. 1 GDPR?

Výčet osobních údajů, které jsou dle článku 9 odst. 1 GDPR považovány za zvláštní kategorie osobních údajů, je taxativní, tj. jde o uzavřenou skupinu údajů (předchozí právní úprava, zákon o ochraně osobních údajů, pracoval s termínem „citlivé osobní údaje“). Rodné číslo není v tomto výčtu uvedeno, do zvláštní kategorie osobních údajů v tomto smyslu nespadá. Je však nepochybně osobním údajem, o jehož důležitosti a zvláštním charakteru svědčí, že využití rodného čísla je upraveno v zákoně o evidenci obyvatel.

Do zvláštních kategorií osobních údajů patří osobní údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Těmto údajům je přiznán zvýšený důraz na jejich ochranu při jejich zpracování dle GDPR.

Je správné, že obec zveřejnila na svých internetových stránkách osobní údaje člověka, který požádal o informaci podle zákona o svobodném přístupu k informacím?

Zveřejněná poskytnutá informace na základě žádosti o informaci podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, nemůže obsahovat osobní údaje o žadateli o informaci (typicky identifikační a adresní údaje žadatele). Praxe ve zveřejňování osobních údajů o žadatelích je nesprávná. Takové zveřejňování osobních údajů nebylo v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a je v rozporu i s GDPR. Totožný názor obsahuje i stanovisko Odboru dozoru a kontroly veřejné správy Ministerstva vnitra publikované pod č. 1/2012. V případě, že žadatel zjistí, že je jeho žádost o informace zveřejněna včetně jeho osobních údajů (identifikační nebo adresní údaje), lze v prvé řadě dosáhnout nápravy kontaktováním příslušné obce s upozorněním a žádostí na úpravu dokumentu tak, aby neobsahoval osobní údaje žadatele o informaci podle zákona o svobodném přístupu k informacím. Pokud žadatel o informaci nedosáhne nápravy ze strany obce, jako další krok lze doporučit podat podnět či stížnost Úřadu pro ochranu osobních údajů.

Ve zvláštním zákonu, který upravuje postup v konkrétní agendě, není uveden výčet osobních údajů, které lze v této agendě zpracovávat, zejména kontaktní údaje typu mobilního čísla či emailu. Je nutné k takovým údajům získat souhlas občana?

Veřejné úřady v rámci státní správy i samosprávy mohou v souladu s čl. 6 odst. 1 písm. e) GDPR zpracovávat osobní údaje, pokud je zpracování nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jedná se o osobní údaje, které jsou nezbytně nutné pro výkon činností, není přitom pravidlem, že by je zákon vždy výslovně stanovil. Je odpovědností veřejného úřadu, jako správce osobních údajů, aby agendu vhodně posoudil a nastavil podmínky a rozsah, v němž bude prováděna, včetně rozsahu osobních údajů Není-li tato otázka dostatečně jasná ze zákona a prováděcích předpisů, je třeba obrátit se žádostí o metodický návod na gestora legislativy, kterým je příslušné ministerstvo.

Co se týče kontaktních údajů typu mobilního čísla či emailu, zpravidla slouží tyto údaje k urychlení kontaktu s občanem v rámci vyřizování věci. Pokud veřejné úřady či samospráva umožní občanovi v rámci vyřizování jeho věci spolu s adresou sdělit i další kontaktní údaje, nejde o porušení zásady minimalizace a takové osobní údaje lze zpracovávat pro účely plnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, tj. neaplikuje se souhlas. Neuvedení nepovinných kontaktních údajů (telefonní číslo, email) nesmí být překážkou učinění podání či přístupu občana k orgánu veřejné moci.

Odpovědi na otázky týkající se správné praxe zpracování a ochrany osobních údajů v oblastech samosprávy a výkonu přenesené působnosti naleznete na stránkách Ministerstva vnitra, které je gestorem řady zvláštních právních předpisů upravujících zpracování údajů v těchto oblastech.

Zdroj: www.uoou.cz

Související příspěvky

Leave a Comment