Metodická podpora, pracovní skupiny, systémové analýzy Příprava na GDPR Metodická podpora, pracovní skupiny, systémové analýzy Petr Vokáč Oddělení civilně-správní legislativy Ministerstvo vnitra
Co je GDPR? Evropský předpis - Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation) Nařízení jsou přímo použitelná = v ČR platí, aniž by se musela přepisovat do zákona. (To je hlavní rozdíl oproti dosavadní směrnici, kterou GDPR nahrazuje.) Upravuje ochranu osobních údajů v podobném rozsahu jako dosavadní zákon č. 101/2000 Sb. (stávající zákon vychází ze směrnice). Dosavadní zákon bude zrušen zákonem o zpracování osobních údajů. Nový zákon ale upraví jen postavení ÚOOÚ a některé výjimky z nařízení.
Jak číst GDPR? GDPR jako každý evropský předpis má dva bloky – tzv. recitály (173 bodů) a samotný normativní text členěný do 99 článků. Při běžném používání GDPR lze recitály přeskočit – slouží jako výkladová pomůcka. Pravidla jsou až za nimi. Pravidla důležitá pro kteréhokoli správce osobních údajů jsou v čl. 1 až 21 a 24 a 25. Další ustanovení se použijí podle povahy správce a zpracování – na obce zpravidla dopadne čl. 30, 32 až 34, 37 až 39 a čl. 83. Obec by tedy měla věnovat pozornost necelé třetině článků GDPR. Cílem Ministerstva vnitra je zprostředkovat obcím obsah těchto článků formou metodik.
Na co se nařízení vztahuje? Článek 2 GDPR: vztahuje se na zpracování prováděné alespoň částečně automatizovaně (např. uložení na disk, na CD nebo cloud), nebo vztahuje se na osobní údaje, které jsou nebo mají být součástí kartotéky či evidence (např. úřední spis, ale nikoli lístek s kontaktem svědka nehody nebo s SPZ vozidla, který nebude v evidenci). nevztahuje se na zpracování prováděná fyzickou osobou čistě pro její osobní nebo domácí potřebu (korespondence, adresář, osobní život na sociálních sítích). Působnost GDPR se odvíjí od činnosti ne od druhu subjektu!
Co jsou osobní údaje a jejich zpracování? Nedochází ke změně oproti stávající směrnici a zákonu. Osobní údaje = veškeré informace o osobě (tzv. subjektu údajů), která je identifikovaná nebo ji lze přímo nebo nepřímo identifikovat. Zpracování = jakákoliv operace s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění… výmaz nebo zničení. Kdo provádí zpracování osobních údajů v rámci působnosti nařízení, musí se nařízením řídit.
Jak naplnit požadavky GDPR? Proč se obec zabývá GDPR? Potřebuje plnit své úkoly a nechce při tom porušit práva osob, které jí s důvěrou (a většinou z donucení zákonem) poskytují o sobě informace, popřípadě strpí to, že obec má jejich údaje z jiných zdrojů. Co tyto osoby – subjekty údajů – očekávají: Obec nezpracovává jejich údaje bez důvodu. Pokud obec nemá právo zpracovávat jejich údaje přímo na základě nařízení, zeptá se jich, zda se zpracováním údajů souhlasí. Získané údaje nebude obec používat k účelům, ke kterým nemá oprávnění ani souhlas. Osobní údaje obec ochrání před zneužitím (např. odcizením). Až obec nebude údaje potřebovat, vymaže je. Pokud obec nebude korektní, bude možné se dovolat svých práv.
Jak naplnit požadavky GDPR? Zákonnost zpracování – kdy je zpracování osobních údajů zákonné (čl. 6 odst. 1): a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Jak naplnit požadavky GDPR? Souhlas se zpracováním osobních údajů: Pro většinu základních zpracování není potřeba (obec zpracovává na základě zákona – evidence obyvatel, rybářské lístky, seznamy dětí ze školského obvodu) nebo plní smlouvu (pracovněprávní vztahy, pronájem obecního majetku). Zpracování v souvislosti s „doplňkovými službami“ nad rámec tohoto základu zpravidla budou souhlas vyžadovat – rozesílání zpravodaje obce na e-mailové adresy, poskytování dalších on-line služeb atd. Správce osobních údajů musí být schopen poskytnutí souhlasu prokázat. Proto je obecně výhodnější písemný souhlas, ale písemná forma není povinná. Ze souhlasu musí být zřejmé, kdo, za jakým účelem a na jakou dobu souhlas udělil. Subjekt údajů má právo kdykoli souhlas odvolat.
Jak naplnit požadavky GDPR? Dále je vhodné se věnovat nastavení vztahů obce jako správce osobních údajů s tzv. zpracovateli. Vztah správce a zpracovatele zná již zákon č. 101/2000 Sb., nejde o novinku. Může být založen zákonem nebo smlouvou. Spočívá v tom, že pro správce – zde obec, zpracovává osobní údaje někdo jiný – zpracovatel. Tedy obec má povinnost zpracovávat osobní údaje a může ji splnit prostřednictvím zpracovatele – například u externího zpracování personální dokumentace. (Nebo obcí zřizovaná škola může používat externího zpracovatele školní matriky. Zde samozřejmě je správcem škola, nikoli obec.) GDPR nově upravuje náležitosti smlouvy správce a zpracovatele (čl. 28 odst. 3). Pokud obec má takové smlouvy uzavřeny, je vhodné provést jejich revizi.
Jak naplnit požadavky GDPR? Zabezpečení osobních údajů: řízení přístupu – určení osob, které smí s osobními údaji nakládat, fyzická bezpečnost – uzamykatelnost, evidence klíčů, zabezpečení elektronického zpracování – přístupová hesla, nakládání s přenosnými zařízeními, formátování, firewall. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku (čl. 32 odst. 1).
Jak naplnit požadavky GDPR? Novinky: Informace subjektům údajů o zpracování – např. při udělení souhlasu nebo u zpracování ze zákona např. na webu. Záznamy o činnostech zpracování – v zásadě nahrazují dosavadní oznamovací povinnost, vztahují se ale na všechna zpracování, i ze zákona. GDPR stanovuje náležitosti, v podstatě kolonky formuláře. Hlášení porušení zabezpečení osobních údajů ÚOOÚ (není potřeba, není-li pravděpodobné riziko ohrožení práv fyzických osob). Lhůta do 72 hodin. Oznamování porušení zabezpečení osobních údajů subjektům údajů (hrozí-li riziko pro jejich práva). Funkce pověřence pro ochranu osobních údajů.
Činnost Ministerstva vnitra Pracovní skupiny meziresortní spolupráce, spolupráce s územními samosprávnými celky. Systémové analýzy - analýza působnosti obcí a krajů. Metodická činnost a koordinace metodik. Prezentace tématu GDPR, webové stránky. Příprava adaptačních zákonů – zákon o zpracování osobních údajů, doprovodný změnový zákon.
Pracovní skupiny Resortní pracovní skupina – revize právních titulů, interních aktů a informačních systémů uvnitř MV. Meziresortní pracovní skupina – výměna zkušeností, koordinace metodik. Navazující jednání – MŠMT, MZd. Pracovní skupina se zástupci územních samosprávných celků. Koncepce metodické podpory, spolupráce na systémových analýzách (vzorové obce), konzultace k metodickým materiálům. Příští jednání plánováno na začátek února 2018 k výstupům ze systémových analýz. Pracovní skupina ke spisové službě – posouzení souladu spisových služeb s GDPR. Metodický materiál.
Systémové analýzy Zpracování SA není právní povinností správců osobních údajů. Nezaměňovat s posouzením vlivu na ochranu osobních údajů (DPIA) ani se záznamy o činnostech zpracování. SA je vstupní rozvahou zodpovědného správce osobních údajů. Základem může být porovnání souladu se stávající úpravou zákona č.101/2000 Sb. (= 95 % souladu s GDPR). prověření titulů pro zpracování (§ 5 zákona, čl. 6 GDPR), zpracování v souladu s účelem (věcné i časové hledisko), zvláštní ohled na „citlivé údaje“, prověření souhlasů se zpracováním, kontrola zabezpečení osobních údajů, návrhy opatření k nápravě.
Vzorové systémové analýzy Jako metodickou pomoc územním samosprávným celkům připravuje MV v rámci veřejných zakázek modelové systémové analýzy. Systémová analýza působnosti krajů probíhá u Středočeského, Moravskoslezského a Karlovarského kraje. Výstup do 9. února 2018. Systémová analýza působnosti obcí (I. až III. stupně); smlouva uzavřena s Pražskou znaleckou kanceláří, s.r.o. „Testováno“ bude 15 obcí navržených SMO ČR, SMS ČR a Sdružením tajemníků: Černošice, Děčín, Dobříš, Cheb, Kamýk nad Vltavou, Karviná, Mladý Smolivec, Nymburk, Praha 4, Praha Zbraslav, Srbce, Tábor, Velké Meziříčí, Vysoké Pole, Vyškov. Výstup do 15. února 2018.
Zadání systémových analýz Systémová analýza bude obsahovat: přehled agend/podrobný přehled právních titulů (poptávka z pracovní skupiny), popis zpracování osobních údajů v informačních systémech, vyhodnocení zabezpečení informačních systémů, popis dopadů GDPR na územní samosprávný celek, zhodnocení souladu činností s GDPR, včetně právních titulů, zhodnocení rizik zpracování a jejich kvalifikace v kontextu GDPR jako nízkých, vysokých či běžných, návrhy opatření k nápravě, doporučení k činnosti pověřence pro ochranu osobních údajů.
Zadání systémových analýz Systémová analýza se bude vztahovat ke všem agendám v přenesené působnosti a k základním (všem společným) agendám v samostatné působnosti: poskytování dotací, dispozice majetkem, personální agenda, nakládání s osobními údaji o členech orgánů kraje nebo obce apod. Pokryje také činnosti zřizovaných právnických osob (např. škol, zařízení sociálních služeb, kulturních zařízení). Cílem je co nejširší využitelnost v praxi krajů a obcí.
Co lze od SA očekávat? Zakázky předpokládají zjišťování faktického stavu u krajů a obcí, ale nepůjde o kontrolu. V zájmu krajů a obcí, kde budou SA prováděny, je poskytnout pravdivé údaje, i když nebudou krajům a obcím lichotit. Výstupy zakázek MV zveřejní ve formě, která umožní jejich využití kraji a obcemi pro vlastní systémové analýzy. Výstupy budou ušité na míru územním samosprávným celkům. Cílem je poskytnout alternativu k nákupu komerčních produktů. Záleží na obci, jak podklady využije. Doporučuje se kritický pohled, vzorová SA může obec doprovázet při vlastním zhodnocení. Srovnání situace v obci se situacemi popisovanými v SA. Záznam o srovnání.
Co lze od SA očekávat? Očekáváme následující podklady využitelné v praxi: formulářové nástroje pro shromáždění vstupních informací o jednotlivých agendách , typizované rozbory rizik a nesouladů s GDPR (navedou správce k odhalení pravděpodobných problémů), „projektové listy“ pro jednotlivá opatření k odstranění rozporů s GDPR. Jako bonus – modely organizačního začlenění pověřence pro ochranu osobních údajů a vzorový manuál jeho činnosti. Dodavatel analýzy obcí má v úmyslu zabývat se též otázkou pořizování fotografií z veřejných akcí pořádaných obcemi a navrhnout modely řešení (kdy je potřeba souhlas a v jaké formě, kdy lze využít novinářské licence atd.)
Evropou obchází pověřenec? Pověřenec pro ochranu osobních údajů (čl. 37). Musí ho mít mj. orgány veřejné moci a veřejné subjekty. Pojem „orgán veřejné moci“ má jasný obsah. Patří sem i obce a také například školy. Naproti tomu obsah pojmu „veřejný subjekt“ se MV snaží v zákonu o zpracování osobních údajů zúžit, aby sem nespadaly například obslužné příspěvkové organizace obcí. Úkolem pověřence je monitorovat soulad s nařízením, radit správci, spolupracovat s dozorovým úřadem.
Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb, je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele, může plnit i jiné úkoly a povinnosti. Správce zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů. Pověřenec se tedy nemůže podílet na rozhodování o systému zpracování osobních údajů, na který dohlíží. Pověřencem může být například účetní obce, nebo se připouští sdílení pověřence. V podmínkách malých obcí bude práce pověřence obnášet řádově jednotky pracovních dnů ročně. MV koncem ledna 2018 zveřejní vzorový manuál činností pověřence.
Pověřenec pro ochranu osobních údajů Nařízení vlády č. 399/2017 Sb. doplnilo od 1. 1. 2018 katalog prací o činnosti referenta správy osobních údajů. Sem jsou zařazeny též činnosti pověřence, a to od 10. do 13. platové třídy. Zařazení do platové třídy bude záviset na náročnosti zpracování osobních údajů správcem.
Pověřenec pro ochranu osobních údajů Například: 11. platová třída: Komplexní plnění úkolů… u správce…, který zpracovává osobní údaje nezbytné pro určení, výkon a obhajobu práv subjektu údajů, pro ochranu důležitých zájmů subjektu údajů nebo pro plnění dílčích úkolů při výkonu veřejné moci. 12. platová třída: Komplexní plnění úkolů pověřence… u správce…, který shromažďuje, zpracovává a ukládá osobní údaje nezbytné pro splnění povinností a úkolů při výkonu veřejné moci se značným rizikem ohrožení práv a svobod subjektů údajů vyžadující specifická, rozsáhlá technická a organizační ochranná opatření.
Pověřenec pro ochranu osobních údajů Připravuje se aktualizace metodiky k pověřencům. Témata: Zaměstnávání pověřence na základě dohod o pracích konaných mimo pracovní poměr. Výkon funkce pověřence dobrovolným svazkem obcí z hlediska stanov DSO. Zakotvení činnosti pověřence v katalogu prací.
Internetové stránky k GDPR Postupně se rozvíjí web: www.mvcr.cz/gdpr. Na webu budou postupně publikovány výsledky systémových analýz, metodické materiály MV a odkazy na metodiky ostatních resortů. Mikroweb již obsahuje rozšíření sekce častých otázek a odpovědí a odkaz na tzv. chatbot (http://www.spcr.cz/chatbot-gdpr).
Adaptace právního řádu na GDPR Přímá použitelnost GDPR znamená, že není potřeba přijímat nový „zákon č. 101/2000 Sb.“ Stávající zákon bude zrušen zákonem o zpracování osobních údajů. Ve vztahu k GDPR upraví zákon o zpracování osobních údajů především některé výjimky (např. pro informování subjektů údajů, DPIA nebo formou vymezení pojmu veřejný subjekt) a dále postavení Úřadu pro ochranu osobních údajů. Souběžně je připravován doprovodný změnový zákon. K oběma předpisům proběhlo meziresortní připomínkové řízení a nyní jsou připravovány pro předložení vládě během ledna 2018.