Pozoruhodné zprávy v datových schránkách hlásí v poslední době několik obcí, u nichž vykonáváme funkci pověřence pro ochranu osobních údajů. „Tváří se“ jako oznámení o zahájení kontroly dokumentace GDPR. Už při bližším náhledu je ale zřejmé, že se jedná jen o další podvod od šmejdů. Kontrolu souladu zpracování osobních údajů s pravidly na jejich ochranu totiž může provádět pouze Úřad pro ochranu osobních údajů.
Soulad s předpisy kontroluje Úřad pro ochranu osobních údajů
Pravomoc kontrolovat soulad zpracování osobních údajů s pravidly na jejich ochranu nenáleží žádné soukromé firmě, jakkoli se snaží vytvořit dojem o tom, že uskutečňuje kontrolu jako orgán veřejné moci (hovoří například o certifikačním auditu). Působí tak nejen zprávy zaslané obcím do „datovky”, ale i k nim přiložené dokumenty. Ty typicky obsahují popis toho, co vše bude kontrolováno a kdo kontrolu provede. Vše zkrátka vypadá jako oficiální kontrola... Jenže tu jen tak někdo provádět nemůže.
Právní podklad je jednoznačný
Obecné nařízení o ochraně osobních údajů (ON, GDPR) v článku 51 stanoví, že každý členský stát určí jeden nebo více nezávislých orgánů veřejné moci pro monitorování uplatňování ON s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů. V České republice je takovým orgánem Úřad pro ochranu osobních údajů.
Ve vztahu ke zpracování osobních údajů má tento úřad podle § 54 zákona č. 110/2019 Sb., o zpracování osobních údajů, stanoven okruh oprávnění. K těm nejdůležitějším patří dozor nad dodržováním povinností stanovených zákonem, ověřování zákonnosti zpracování a přijímání podnětů a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů.
Soulad nastavených pravidel a příslušných postupů při zpracování osobních údajů na obci tak může kontrolovat jen Úřad pro ochranu osobních údajů, rozhodně ne žádná soukromá společnost. A to není vše. Vytváření dojmu ze strany takových společností, že jde o orgán veřejné moci provádějící kontrolu podloženou zákonem, je postižitelné! A jak?
Nekalé obchodní praktiky? Neukvapujte se – a hlavně se nenechte vylekat
Jednoduše řečeno, jde o nekalou obchodní praktiku, a to se všemi důsledky z toho vyplývajícími. Chápeme sice, že služby pověřenců nabízí mnoho firem, mezi kterými zuří konkurenční boj. To ale neznamená, že by v tomto zápase o klienta mělo být všechno dovoleno. To, co provádějí tito samozvaní kontroloři, je jednoznačně za čarou.
A jaký postup v kontaktu s nimi prakticky doporučujeme?
V první řadě obezřetnost. Nenechte se prostě vylekat – a poté, co se přesvědčíte, že jde jen o krajně problematický pokus proniknout do vaší kanceláře s legendou kontroly, není nutné nijak reagovat.
Naši pověřenci vám pomohou soulad s ON zajistit
Že to nemusí být vždy na první pohled jasné? To skutečně být nemusí. V případě, že si nebudete jistí, neváhejte se obrátit na naše pověřence ze SMS-služeb. Pomohou vám i tehdy, máte-li pochybnosti o souladu dokumentů vztahujících se ke zpracování osobních údajů na obci s pravidly ON.
Pro pořádek připomínáme, že každý správce – obec musí mít zpracované alespoň záznamy o činnostech zpracování a směrnici o nakládání s osobními údaji na obci. Nastavena musí být také opatření, která odpovídají reálným rizikům při zpracování osobních údajů.
Není toho mnoho, ale málo také ne
Rozhodně je však dobré tyto požadavky řešit s rozvahou. Nenechte se vylekat podnikavci, kteří vás neváhají už při prvním kontaktu oklamat. Třeba vám k tomu, že se ani skutečné kontroly ze strany Úřadu pro ochranu osobních údajů nebudete muset obávat, napomůže i naše upozornění.
Zajímá vás, co obcím a školám na poli ochrany osobních údajů nabízíme? Více se dozvíte na našich webových stránkách Ochrana osobních údajů | SMS-služby s.r.o. (sms-sluzby.cz).
Lenka Matějová
koordinátorka služeb pověřenců SMS-služby