Pro své klienty pravidelně připravujeme sdělení, ve kterých se vyjádřujeme k aktuálním praktickým problémům na poli ochrany osobních údajů a v příbuzných oblastech. Níže představujeme výběr ze sdělení, která byla v průběhu posledních let zaslána klientům našich pověřenců z řad obcí a měst.
Název sdělení |
Anotace |
Klíčová slova |
Upozornění na žadatele s neověřenou či falešnou identitou |
Sdělení popisuje, za jakých podmínek je možné poskytnout informace týkající se zpracování osobních údajů žadatele. Informace lze poskytnout pouze na základě spolehlivého ověření totožnosti žadatele. Stejně tak negativní informaci o subjektu lze poskytnout pouze až po jeho řádném ověření. |
totožnost, negativní informace, kopie dokumentu |
Anonymizace odpovědí na infožádosti – osoba žadatele |
Sdělení popisuje správný postup při anonymizace žadatele při vyřizování žádostí podle zákona o svobodném přístupu k informacím. O žadateli v podobě fyzické osoby se veřejnost nesmí dozvědět nic. |
anonymizace, žadatel, žádost, svobodný přístup k informacím, zákon č. 106/1999 Sb., o svobodném přístupu k informacím |
Anonymizace odpovědí na infožádosti – osoba žadatele II |
Sdělení doporučuje provést kontrolu, jak zveřejněných odpovědí poskytnutých na žádosti dle zákona o svobodném přístupu k informacím, tak zveřejněných výročních zpráv. Cílem je napravení chyb v případě, že úřad předtím špatně zveřejnil odpověď žadateli. |
anonymizace, žadatel, žádost, svobodný přístup k informacím, začernění, zákon č. 106/1999 Sb., o svobodném přístupu k informacím |
Informace o zaměstnancích obcí a škol na jejich webových stránkách |
Sdělení se zabývá otázkou zveřejnění informací o zaměstnancích obcí a škol na jejich webových stránkách. Školy i obce jako povinné subjekty jsou povinny řídit se zákonem č. 106/1999 Sb., podle něhož jsou povinny zveřejnit popis své organizační struktury, místo a způsob, jak získat příslušné informace. Na vybrané pracovníky ve veřejné sféře se do určité míry vztahuje výjimka z ochrany osobních údajů, jejímž hlavním účelem je informování veřejnosti o pracovním zařazení a kontaktech. |
zaměstnanec, veřejná sféra, web, služební kontaktní údaje |
Zveřejnění rozhodnutí o jmenování zapisovatele a související otázky |
Sdělení řeší možnost zveřejnění rozhodnutí o jmenování zapisovatele a rozsah osobních údajů, které lze při respektování principu minimalizace bez obav zveřejnit. |
komunální volby, zveřejnění, okrsková volební komise, člen volební komise, zapisovatel |
E-mailové vydírání |
Sdělení upozorňuje na případy vydírání prostřednictvím e-mailů a jak na takové zprávy reagovat. Dodržování uvedených pravidel patří k základním prvkům kyberbezpečnosti. |
podvod, e-mail, vydírání |
Adaptační zákon (zákon o zpracování osobních údajů) |
Sdělení popisuje návrh adaptačního zákona k nařízení GDPR. Návrh zákona (dnes zákon č. 110/2019 Sb., o zpracování osobních údajů) byl v době vydání sdělení v legislativním procesu. |
adaptační zákon, zákon o zpracování osobních údajů, nařízení GDPR |
Konec doby hájení – témata kontrol ÚOOÚ |
Sdělení upozorňovalo na plán kontrolní činnosti Úřadu pro ochranu osobních údajů rok po účinnosti GDPR. Úřad se zaměřil především na anonymizaci zápisů, vedení pomocí seznamů a velké programové systémy pro vedení matriky (školy) a také na plnění základních povinností, které z GDPR vyplývají. |
plánované kontroly ÚOOÚ v roce 2019, anonymizace, seznamy |
Uchování životopisů neúspěšných uchazečů o zaměstnání |
Sdělení se věnuje uchování životopisů především neúspěšných uchazečů o zaměstnání. Jsou definovány podmínky i doba uchování těchto dokumentů u zaměstnavatele. |
životopis, neúspěšný uchazeč, diskriminace, nabídka práce, zaměstnavatel |
Připomínky výročí ve světle ochrany osobních údajů |
Sdělení pojednává o zveřejnění historických dat z obecních kronik, konkrétně jmenovité uvedení funkcí. V převážné většině se využije právních předpisů, které osobu chrání pouze před neoprávněně poškozujícím informováním. |
obec, obecní kronika, občanský zákoník, tiskový zákon, Listina základních práv a svobod |
Zabezpečení webových stránek obcí a škol |
Sdělení se vyjadřuje k problematice zabezpečení webových stránek obcí a škol. Řeší otázku, kdy lze ponechat protokol http a kdy použít šifrovaný protokol https. |
webové stránky, šifrování, protokol http, protokol https |
Zákon o svobodném přístupu k informacím a požadavek na atypický způsob jejich poskytnutí |
Sdělení se zabývá zjišťováním informací do vysokoškolské kvalifikační práce. Informace je nutné poskytnout, problémem jsou otázky, na něž nelze odpovědět konkrétně. V takových případech se využijí univerzální odpovědi, které nesdělují žádnou konkrétní informaci, příklady jsou ve sdělení uvedeny. |
svobodný přístup k informacím, dotazník, povinný subjekt, konkrétní, doprovodná informace |
Vloupání na obecní úřad nebo do školy ve vztahu k ochraně osobních údajů |
Ve sdělení se řeší otázka vloupání na obecní úřad nebo do školy, kdy zloděj neoprávněně manipuluje s dokumenty nebo technikou obsahující osobní údaje. Sdělení obsahuje popis postupu řešení tohoto incidentu, v jakých situacích se musí událost hlásit i na Úřad pro ochranu osobních údajů a kdy postačí jen zápis s pověřencem. Sdělení také obsahuje doporučení ke zmírnění potenciálnímu incidentu. |
zloděj, incident, formulář ÚOOÚ, slabina, zabezpečení |
Zasedání zastupitelstva, jeho náležitosti a soulad s ochranou osobních údajů |
Sdělení informuje o zákonných požadavcích na svolání zasedání zastupitelstva o povinnosti pořídit z něj zápis. Bližší pozornost je pak věnována zveřejnění zápisu ze zasedání (i audiovizuálního záznamu) ve vazbě na osobní údaje v něm obsažené. Při zveřejnění zápisu je vždy nutné v různé míře anonymizovat osobní údaje osob, které byly na zasedání zmíněny. Rozsah anonymizace se bude odvíjet od toho, v jakém postavení vůči obci se daná osoba nachází a v jaké roli na zasedání vystupuje. Obdobná pravidla se vztahují i na zveřejnění případného audiovizuálního záznamu ze zasedání. |
Zasedání, zastupitelstvo, pořízení záznamu, anonymizace, privilegovaná osoba, zákon č. 128/2000 Sb., o obcích |
Varování před hrozbou v oblasti kybernetické bezpečnosti |
Sdělení informuje o varování Národního úřadu pro kybernetickou bezpečnost před hrozbou v oblasti kybernetické bezpečnosti a o vydaných materiálech k tomuto tématu. Sdělení uvádí příklad nejčastějšího typu útoku na informační a komunikační systémy v ČR a upozorňuje na základní bezpečnostní pravidla při práci s elektronickou poštou. Připomenuta je také nutnost používání antiviru a pravidelného zálohování dat. |
Kybernetická bezpečnost, NÚKIB, e-mail, útok |
Musíte vést jmenný rejstřík ve spisové službě? |
Sdělení informuje o dopadech novely zákona o archivnictví z roku 2019 na vedení spisové služby obcí a škol. Pozornost je zaměřena konkrétně na novou povinnost vést v evidenční pomůcce spisové služby jmenný rejstřík. Přehledně je zde uvedeno, co je myšleno pojmem jmenný rejstřík, k jakému účelu má primárně sloužit, co musí podle zákona obsahovat a kdo má povinnost jmenný rejstřík vést. Údaje v rejstříku lze uchovávat jen po přesně vymezenou dobu. |
Jmenný rejstřík, spisová služba, podací deník, zákon č. 499/2004 Sb. o archivnictví a spisové službě (archivní zákon) |
Anonymizace ve smlouvách a objednávkách |
Sdělení se zabývá anonymizací osobních údajů při zveřejňování smluv či objednávek obcemi. Jeho součástí je praktická tabulka, která přehledně znázorňuje seznam nejběžnějších druhů osobních údajů používaných ve smlouvách a objednávkách a u každého z nich je uvedeno, zda je či není nutná jeho anonymizace. |
Anonymizace, smlouva, objednávka |
Poskytování kontaktů krajským hygienickým stanicím |
Toto sdělení řeší otázku poskytování identifikačních a kontaktních údajů žáků a jejich zákonných zástupců třetím osobám. Sdělení na příkladu dvou modelových situací naznačuje, jak má ředitel školy správně postupovat vůči požadavku zákonného zástupce žáka na předání osobních údajů v souvislosti s onemocněním COVID-19 (nicméně postup platí pro všechny podobné situace). Uveden je zde i doporučený postup ředitele školy ve vztahu ke krajské hygienické stanici. |
Kontaktní údaj, identifikační údaj, předání, COVID-19, krajská hygienická stanice, zákon č. 258/2000 Sb., o ochraně veřejného zdraví |
Lhůty při poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím |
Ke zpracování a vyřízení žádosti o poskytnutí informace se váže několik různě dlouhých procesních lhůt. Toto sdělení přináší ucelený pohled na lhůty, se kterými pracuje zákon o svobodném přístupu k informacím. |
Lhůta, poskytování informací, žádost, doručování zákon č. 106/1999 Sb., o svobodném přístupu k informacím |
Jak předávat osobní údaje elektronicky a bezpečně - obce |
Sdělení shrnuje základní zásady bezpečné elektronické komunikace, jejímž cílem je předání dat obsahující osobní údaje. Popsány jsou pravidla správného používání e-mailové komunikace, datové schránky a také externích disků i USB flash disků. |
Bezpečnost, heslo, e-mailová komunikace, datová schránka, šifrování |
Údaje v kronice (obce) |
Sdělení je zaměřeno na ochranu osobních údajů, které se mohou objevit v kronikách (zejména) u malých obcí. Sdělení uvádí, jaké osobní údaje občanů obce mohou být dle názoru ÚOOÚ obsaženy v obecní kronice a v jakém rozsahu. Obsaženo je i doporučení ke zveřejňování obecních kronik. |
Kronika, zákon č. 132/2006 Sb., o kronikách obcí, Úřad na ochranu osobních údajů |
Mlčenlivost u zaměstnanců na obcích |
Toto sdělení přináší odpověď na otázku, na jaké osoby se v rámci činnosti obce mlčenlivost vztahuje ze zákona a u jakých osob je potřeba mlčenlivost sjednat samostatně. Po vyložení pojmu „mlčenlivost“ jsou zmíněny čtyři skupin osob, u kterých je popsán postup zavázání k mlčenlivosti v oblasti ochrany osobních údajů. Doporučená je občasná revize okruhu osob se stanovenou mlčenlivostí. |
Mlčenlivost, zastupitel, zaměstnanec, výbor, volební komise, úřad |
Přístup zaměstnavatele do e-mailu zaměstnance |
Sdělení popisuje pravidla pro bezodkladné nahlédnutí do e-mailové korespondence nepřítomného zaměstnance. Zejména při dlouhodobé pracovní neschopnosti zaměstnance může nastat situace, kdy bude z velmi vážných důvodů nutné nahlédnout do jeho e-mailové korespondence a některé zprávy vyřídit či přeposlat. |
E-mail, přístup, zaměstnanec, zaměstnavatel, ochrana soukromí |
Kontaktní formuláře na webových stránkách obcí |
Sdělení je zaměřeno na problematiku kontaktních formulářů na webových stránkách obcí. Jsou zde uvedeny dva nejrozšířenější typy formulářů a popsána jejich odlišná povaha. U každého z nich probíhá zpracování osobních údajů na základě jiného právního titulu, což se sebou přináší jistá specifika, blíže popsaná ve sdělení. Zdůrazněna je informační povinnost správce, tedy obce. |
Webové stránky, formulář, souhlas, informační povinnost |
Poskytovatelé softwarových řešení a webových služeb |
Sdělení si klade za cíl důrazně apelovat na maximální míru obezřetnosti při uzavírání smluvního vztahu s poskytovateli softwarových řešení, včetně webových služeb a komunikačních aplikací. Nesprávné nakládání s osobními údaji velkého počtu osob může pro obce i školy jakožto objednatele těchto služeb znamenat zásadní komplikaci. Před zahájením spolupráce s poskytovateli uvedených služeb je doporučeno konzultovat s pověřencem soulad těchto služeb s obecným nařízením. |
Poskytovatel, společnost, software, služby, web, aplikace, pověřenec |
Zveřejnění výroční zprávy podle zákona č.106/1999 Sb., o svobodném přístupu k informacím |
Sdělení se zabývá povinností zveřejnění výroční zprávy podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Sdělení obsahuje informace o datu, do kterého se výroční zpráva musí zveřejnit, délce zveřejnění výroční zprávy a podmínky, za jakých se tato zpráva zveřejňuje. |
Výroční zpráva; zákon č. 106/1999 |
Splnění informační povinnosti správce při testování zaměstnanců |
Sdělení pojednává o mimořádném opatření ze dne 18.3.2021 zavádějící testování u veřejných zaměstnavatelů, kteří mají méně než 50 zaměstnanců. Sdělení je věnováno primárně dopadům tohoto mimořádného opatření na oblast ochrany osobních údajů. Součástí sdělení je vzor informace o zpracování osobních údajů pro zaměstnance. |
Testování zaměstnanců; COVID-19; informační povinnost, osobní údaje |
Přítomnost zřizovatele nebo třetí osoby u on-line výuky |
Přítomnost zřizovatele u distanční výuky se řídí stejnými pravidly, jako přítomnost zřizovatele u výuky prezenční. Tajné nahlížení třetí osoby (zřizovatele) na on-line výuku je pochybením jak ze strany zřizovatele, tak ze strany osoby, která toto nahlédnutí umožnila. |
On-line výuka; nahlížení do výuky; zřizovatel |
Kamerové systémy v obcích |
Ve sdělení je shrnuto správné využívání kamer ze strany obcí. Obec je oprávněná provozovat kamerový systém za účelem ochrany vlastního majetku za splnění určitých podmínek a při uplatnění principu minimalizace. Obec je také povinna informovat subjekty údajů o snímání prostoru kamerovým systémem a instalaci kamerového systému zrealizovat až po vypracování balančního testu, který prokáže legitimnost instalace kamer a snímání prostoru. |
Kamerový systém; ochrana majetku; balanční test; obecní policie; kamery |
Kontrola a distanční úkony kontroly |
Tématem sdělení je distanční kontrola a její průběh. V době covidové se mimo jiné začaly provádět kontroly na dálku, ty ale s sebou nesou vyšší riziko z hlediska ochrany osobních údajů, pozornost je tedy nutné věnovat zejména zahájení kontroly a vyžádání podkladů od kontrolované osoby. Předávání podkladů obsahující osobní údaje na dálku (tzn. elektronicky) je potřeba věnovat maximální pozornost a je důležité pro předání zvolit vhodné nástroje. |
Kontrola; distanční kontrola; předávání dokumentů; podklady |
Poskytnutí protokolu z kontroly na žádost a jeho zveřejnění |
Sdělení vysvětluje pojem kontrolní protokol a zabývá se jeho poskytnutím na žádost podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím a jeho zveřejněním. V protokolu o kontrole se nacházejí osobní údaje osob, kterými mohou být jména, příjmení ale i např. výše odměn, informace o soukromí nebo kontaktní údaje. |
Protokol o kontrole; žádost o informace; zákon č. 106/1999; infozákon; zveřejnění; anonymizace; protokol |
Žádost o (sociální) obecní byt pod světlem GDPR |
Sdělení se zabývá tématikou zpracovávání osobních údajů žadatelů o obecní (sociální) byt. Je zde kladen důraz na minimalizaci osobních údajů, tzn. zpracovávání pouze těch osobních údajů, které jsou potřeba k vyhodnocení žádosti. Sdělení dále vysvětluje, které osobní údaje mohou být po uchazečích vyžadovány a které naopak obec vyžadovat nesmí. V poslední řadě se sdělení zabývá dobou uchování dokumentů a osobních údajů v nich. |
Obecní byt; žádost o obecní bydlení; výběrové řízení; zpracování osobních údajů; žádost; minimalizace |
Anonymizace ID datové schránky |
Sdělení se zabývá ID datové schránky z pohledu ochrany osobních údajů. ID datové schránky fyzické osoby je osobním údajem a je tedy potřeba k němu tak v případě zveřejňování nebo poskytování informací přistupovat. |
datová schránka; ID; anonymizace; osobní údaj; zveřejnění |
Poskytnutí informací o zaměstnanci exekutorovi |
Tématem sdělení je poskytování informací o zaměstnanci na výzvu exekutora. Zaměstnavatel (obec) je dle exekučního řádu povinen poskytnout exekutorskému úřadu součinnost ve smyslu poskytnutí osobních údajů zaměstnance. Může se stát, že exekutor bude po zaměstnavateli požadovat širokou škálu informací, nicméně zaměstnavatel je povinen řídit se nařízením GDPR a poskytnout pouze takové údaje, jaké mu právní předpisy dovolí. |
exekuce; exekuční řád; součinnost; zaměstnanec; poskytnutí informací; exekutorská výzva |
Přístup ke správnímu spisu v režimu správního řádu a Infozákona |
Sdělení řeší otázku nahlížení do správního spisu v režimu správního řádu a dle zákona o svobodném přístupu k informacím (infozákon). |
Správní řízení; správní spis; správní řád; žádost; nahlížení; zákon o svobodném přístupu k informacím; zákon č. 106/1999; infozákon |
Změna ve schvalování cookies |
Sdělení se zabývá novelou zákona o elektronických komunikacích, kdy ukládání jiných než funkčních cookies nově vyžaduje aktivní souhlas se zpracováním osobních údajů návštěvníka webu. Dle novely zákona je od ledna roku 2022 nutné uživatele aktivně informovat o využívání funkčních cookies a pro využívání ostatních typů cookies musí návštěvník webových stránek udělit svůj aktivní souhlas. |
Cookies; zákon č. 127/2005; zákon o elektronických komunikacích; novela; souhlas; webové stránky; web |
Zpracovatelské smlouvy jako předmět kontroly ÚOOÚ - I. část |
Tématem sdělení jsou zpracovatelské smlouvy. Sdělení se zaměřuje na definici zpracovatele a jak si ho správně vybrat. Na obcích se jedná nejčastěji o externí mzdové účetní, poskytovatele programů pro evidenci obyvatel, správu běžných činností obce nebo například IT podporu. Obec by si měla jako svého zpracovatele vybrat subjekt, který je schopný poskytnout dostatečné záruky zavedení vhodných technických a organizačních opatření, které budou v souladu s nařízením GDPR. |
Zpracovatelská smlouva; zpracovatel; kontrola; ÚOOÚ; zpracování osobních údajů |
Zpracovatelské smlouvy jako předmět kontroly ÚOOÚ - II. část |
Sdělení podrobněji rozebírá obsah zpracovatelských smluv. Smlouva o zpracování osobních údajů musí přinést konkrétní odpovědi na konkrétní otázky a musí splňovat určité náležitosti. Ve smlouvě musí být definované základní údaje o zpracování, jak probíhá předávání a přístup k osobním údajům, jaká jsou technická a organizační opatření a další. Ve sdělení jsou uvedené konkrétní otázky na které musí zpracovatelská smlouva odpovědět, aby byla v souladu s nařízením GDPR. |
Zpracovatelská smlouva; zpracovatel; kontrola; ÚOOÚ; zpracování osobních údajů |