Obecné nařízení o ochraně osobních údajů a státní správa v České republice 2018 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů Konference personalistů: Personalistika, právo a vzdělávání ve veřejné správě, Brno, 6. září 2018

Názory Úřadu pro ochranu osobních údajů na startovní povinnosti a jeho poznatky o vybraných implementačních krocích orgánů veřejné správy v ČR

Názory Vybrané povinnosti, zejm. vázané na nabytí účinnosti obecného nařízení, jako nové v ČR Specifické požadavky a parametry plnění vybraných povinností orgány veřejné správy a subjekty Zohlednění návrhu adaptačního zákona (sn. tisk 138) a změnového zákona (sn. tisk 139)

Adaptace na ON: zákon o zpraco-vání osobních údajů Sněmovní tisk 138: Vládní návrh upravuje ochranu a zpracování osobních údajů VS (nejen specificky) v 9 §§ (vč. částečného provedení čl. 23 ON) Z 20 načtených pozměňovacích návrhů dto 2; z toho 1 modifikuje normu z vládního zákona Čím k tomu přispívá změnový zákon: bez očtř

Adaptace na ON: změnový zákon Sněmovní tisk 139: Z 36 novelizací ve vládním návrhu 19 obsahuje ust. o zpracování osobních údajů VS Z 22 načtených pozměňovacích návrhů 10; určitá matérie je upravována opakovaně V blízké budoucnosti bude třeba upravit i další zákony Čím k tomu přispívá změnový zákon: bez očtř

Zdroje poznatků Oznámení o jmenování pověřence Průzkum webových stránek správních úřadů (červen 2018) Dotazy adresované Úřadu Dotazníkový průzkum mezi pověřenci působícími v orgánech veřejné správy – účastníky společných konzultací (srpen 2018)

Část I Jmenování pověřence

Pověřenec a transparentnost v ON Zásada transparentnosti: Článek 5(1): Osobní údaje musí být ve vztahu k sub-jektu údajů zpracovány korektně a zákonným a transparentním způsobem Navázána na novou zásadu odpovědnosti: podle čl. 5(2): správce odpovídá za dodržení zásady a musí být schopen dodržení doložit. Překlenovací povinnost promítnutá v: Poskytování informací vztahujících se ke korektnímu zpracování subjektům údajů, Komunikaci správců se subjekty údajů o jejich právech z ON, Usnadňování výkonu práv subjektů údajů.

Pověřenec a subjekty údajů Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení (čl. 38(4)).

Jmenování pověřence a veřejná správa Povinnost podle čl. 37 odst. 1 písm. a) mají podle § 14 návrhu zákona o zpracování osobních údajů kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly

Zveřejnění kontaktních údajů pověřenců Povinnost: Správce /…/ zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu (čl. 37(7)) = požadavek na shodný rozsah údajů Provedení: zjišťováno průzkumem (14.-18.6.2018), > 60 webových vývěsek obce na P, ústřední/jedinečné OSS, školy časté nedodržení obsahu povinnosti umístění: rubrika (gdpr, ochrana os.ú.), kontakty, povinně zveřejňované inf., dokumenty prominentní i hluboce zanořené

Komunikace se subjekty údajů a veřejná správa: čl. 23 ON Právo Unie/ČS /…/ může omezit rozsah povinností a práv uvedených v čl. 12 až 22 a v čl. 34, jakož i v čl. 5, /…/, jestliže omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit: /…/ e) jiné důležité cíle obecného veřejného zájmu Unie/ ČS, zejm. důležitý hospodářský nebo finanční zájem Unie/ČS, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení /…/ i) ochranu subjektu údajů nebo práv a svobod druhých

Komunikace se subjekty údajů a veřejná správa v ČR Obecná charakteristika: obsahově i procesně nehomogenní materie a netriviální situace každého veřejného subjektu (definice - § 14 návrhu zák. o zpracování osobních údajů) Tři skupiny zpracování: správní agendy: „sektorové“ úpravy (matriky, evidence obyvatel, občanské průkazy, cestovní doklady, přestupky, povolovací a schvalovací řízení) … jiná správní řízení zpracování k plnění jiných povinností uložených správci zákonem, výkonu působnosti nebo úkolu prováděného při výkonu veřejné moci/ve veřejném zájmu jiná zpracování, zprav. z rozhodnutí správce

Komunikace se subjekty údajů a veřejná správa: správní agendy Vysoká míra regulace a shodnost u různých správců Pokud předpisy obsahují úpravu povinností podle čl. 12 – 22, použije se tato úprava (evidence obyvatel, úřední deska), část 8., 25. ad. návrhu změnového zákona (tisk 139) V otázkách neupravených zvláštními předpisy se použije úprava obecná čl. 23 ON: za imperfektnost úpravy jednotlivý správce neodpovídá a není povinen ji kompenzovat Při přípravě postupů lze využít procesní modely a katalogy agend a činností veřejné správy a metodiky zveřejněné MV

Komunikace se subjekty údajů: zpracování k plnění jiných povinností Různá míra regulace a obecná shodnost u různých správců: spisová služba, personalistika Zvláštní úprava (zpravidla částečná) povinností podle čl. 12 – 22 - např. spisová služba, čl. 23 ON (za imperfektnost úpravy jednotlivý správce neodpovídá a není povinen ji kompenzovat) v otázkách neupravených vnitrostátními předpisy se použije úprava obecná (ON) - personalistika (s výjimkami) Při přípravě postupů lze využít metodiky vypracované a zveřejněné ústředními orgány státní správy (MV, MŠMT)

Komunikace se subjekty údajů: jiná zpracování Zpracování neuložená správci zákonem výslovně, ale splňující podmínku čl. 6(1)e), popř. b) – např. informování o činnosti obce SMS Prostor pro individuální přístup: obsah povinnosti nutno identifikovat (vč. promítnutí v záznamech podle čl. 30), pracovní postupy (vlastní formuláře)

Informační povinnost pro zpracování upravená zákonem § 8 návrhu zákona o zpracování osobních údajů: Pokud správce provádí zpracování jako nezbytné pro splnění a) povinnosti, která je správci uložena, nebo b) úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen, a je povinen subjektu údajů poskytnout informace podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 obecného nařízení, může tyto informace poskytnout zveřejněním způsobem umožňujícím dálkový přístup.

Informace podle čl. 13 a 14: poznatky z průzkumu odkaz na ON jako na výlučný právní předpis (chybné: žádný z povinných správců podle čl. 37(1)a) nezpracovává osobní údaje pouze na základě ON → nesoulad s čl. 39 odst. 1 písm. a) a b) ) Informace koncipovány jako opis ON (někde vč. prostého odkazu na „zákon“), méně často jako aplikace Nepřiměřeně obecná konstatování (zpracovává osobní údaje pouze po dobu trvání právního vztahu k ní a po nezbytnou dobu po jeho skončení pro splnění účelů evidenčních, kontrolních, statistických, archivních a pro účely vědeckého a historického výzkumu) Věcné chyby/nepravdy (získává osobní údaje přímo od subjektu údajů; používání souhlasu subjektu údajů (titul podle čl. 6 odst. 1 písm. a) v situaci, kdy je na místě titul podle písm. e), příp. b))

Informace podle čl. 13 a 14: poznatky z průzkumu 2 výčty účelů a zpracovávaných osobních údajů uváděny disjunktně umístění: prominentní (z hl. nabídky), vnořené ojediněle zveřejněny také informace podle § 18 odst. 2 zák. č. 101/2000 Sb. „nezávislost“ na informacích zveřejněných v jiných rubrikách webu, vč. informací podle zák. č. 106/1999 Sb.; v některých případech věcné rozpory význam strukturování (členění) informací

Výkon práv podle čl. 15 – 18 organizační zajištění v závislosti na působnosti, organizační struktuře (a velikosti) správce správní agendy, jednotlivá zpracování k plnění jiných povinností uložených správci zákonem, výkonu působnosti/ úkolu prováděného při výkonu veřejné moci/ve veřejném zájmu: příslušný organizační útvar, pověřenec „odvolací instancí“ + má být informován o používaných postupech, formulářích a objemu vyřízených žádostí jiná zpracování, zprav. z rozhodnutí správce: buď jako u správ-ních agend, nebo přímo pověřenec nespecifické stížnosti podání (např. k informacím podle čl. 13 a 14): přímo pověřenec

Další povinnosti pod zásadou transparentnosti 2 Oznamování případů porušení zabezpečení osobních údajů subjektu údajů (čl. 34) Oznámení jsou Úřadu doručována (čl. 33(1) + čl. 39(1) d) a e)) Pro veřejné subjekty absolutní novinka Předpokládá se omezení povinnosti adaptačním zákonem (§ 12) Za VS (zatím) hlásí převážně pověřenci

Část II Dotazníkový průzkum – pověřenci působící v orgánech veřejné správy (srpen 2018)

Účastníci letních společných konzultací 165 účastníků 4 konzultací (28. 6. -29.8.) Obce: 94 (17 statutárních měst a jejich částí, 18 obcí, které nejsou městem, 9 DSO) 9 krajů (krajské úřady) jedinečné správní úřady: 24 (8 ústř. orgány ss) školy: 33, z toho 6 ZŠ (pro ZŠ též působí pověřenci obcí, DSO, nebo jmenovaní pro organizace zřizované obcemi) orgány veřejné moci nositelé nevrchnostenské veřejné správy

Účastníci letních společných konzultací 2 105 působících interně u 1 správce: 68 současně pověřeno jinými úkoly u téhož správce, 24 nepověřeno jinými úkoly; řada interně u 1 správce a externě u dalších 47 působících externě: 44 vč. zaměstnanců DSO, advokáti, advokátní koncipienti zaměstnanci podnikatelských subjektů OSVČ

Obsah dotazníku Vztahy se správcem podíl na vypracování a vedení záznamů (čl.30) Podíl na zveřejnění informací o zpracování Postupy pro vyřizování žádostí subjektů údajů Přímý kontakt s vrcho-lovým vedením Povinnosti pověřence Kontakt se subjekty údajů Poskytování informací a poradenství správci Plnění jiných úkolů

Odpovědi obecně Relativně vysoká odezva (vč. dodatečně oslovených účastníků) Minimální míra zjevné inkonzistence odpovědí Rozdíly odpovídající různým poměrům u různých správců V 6 případech (<4% správců) signalizují odpovědi vážnější problémy (např. žádný přístup k záznamům podle čl. 30 nebo „jiné řešení“ přístupu, absence odpovědi na otázky vztahu k vedení)

Poradenství a informace Povinnost podle čl. 39(1)a) a c) na základě zapojení do přípravy postupů pro vyřizování žádostí subjektů údajů a zveřejňování informací o zpracování (otázky č. 1 až 4 a 6) Dominuje organizační řešení odpovídající v zásadě poměrům správců, Pověřenci jsou aktivní: nejsou-li podmínky pro uplatnění dominantní nebo jiné klíčové role, využívají konzultací, připomínek i posouzení z vlastní iniciativy

Záznamy podle čl. 30

Kontakt s vedením u 75% (114) správců se již naplňuje jako pravidelný. U 4 (2,6%) stanoven jako budoucí Na rozhodnou událost vázán u 21 správců (13,8%); vyrovnaně zastoupeni ti, kde rozhodná událost nastala a ti, kde nenastala 7 odpovědí „upraven jiným způsobem“ a nezodpovězení otázky naznačuje problém v komunikaci

Kontakt se subjekty údajů Odpovědi odpovídají situaci, že V ČR nejsou práva subjektů údajů absolutní novinkou: Poptávka po pomoci pověřence: 58,6% nekontaktováno, 36,2% kontaktováno 1 až 10krát a 4,6% kontaktováno více než 10krát interně působící kontaktováni častěji (+20%) minimum stížností na postup správce (4, tj. 5,7% kontaktů), stejně časté žádosti o pomoc v konkrétní záležitosti a o jiné informace (25 a 17%)

Srovnání interního a externího působení mírně vyšší podíl trvalé dispozice vůči záznamům podle čl. 30; častěji v roli odpovědného útvaru (externí častěji společně s jinými útvary správce) častěji dominantní role při vedení záznamů podle čl. 30 a plnění informačních povinností významně častěji souběh funkcí u téhož správce (+56%); externí výrazně častěji vykonávají funkci současně u více správců (rozdíl 49%); rozdíl není ve výlučném výkonu funkce pověřence (15,2 : 17%) v organizačním začlenění dominuje u interně působcích vnitřní předpis (v 72%); u externě působících smlouva ap. (70,2%); okrajově u obou ad hoc řídící akt (8,6% ku 2.1%)

Děkuji za pozornost. https://www.uoou.cz/