přehled vydaných Střípků GDPR
Mgr. Ing. Lenka Matějová, Ph.D., koordinátorka pověřenců SMS-služby, pro vás pravidelně připravuje krátké, ale informačně bohaté texty, ve kterých se věnuje nejrůznějším praktickým aspektům aplikace GDPR v prostředí samospráv a škol. Tyto střípky vycházejí v Starostově infoservisu a v Ředitelově infoservisu, k jejichž odběru se může přihlásit kdokoli.
Zastupitelé a mlčenlivost
Členové obecního zastupitelstva se vcelku jednoduše dostanou do styku s osobními údaji a informacemi, o kterých je třeba na veřejnosti mlčet. Může jít např. o informace z podkladových materiálů pro jednání, informace získané při činnosti na určitém sektoru samosprávy aj.
Ujednání o mlčenlivost se zastupiteli není třeba, ba dokonce ho ani nelze uzavírat. Jejich povinnost chránit osobní údaje plyne přímo z Obecného nařízení o ochraně osobních údajů a dalších předpisů.
Obec je ovšem musí informovat či poučit o povinnosti dodržovat mlčenlivost například na prvním jednání zastupitelstva po komunálních volbách. K poučení zastupitelů je vhodné využít také směrnici pro nakládání s osobními údaji.
Vyšlo jako příloha Starostova infoservisu 24. 10. 2022
O tzv. neprivilegovaných žadatelích
Víte, kdo je tzv. neprivilegovaný žadatel a co to znamená? Jsou to všechny fyzické osoby, kterým zákon neumožňuje nahlédnout do dokumentů bez anonymizace nebo dostat kopie dokumentů bez předchozí anonymizace osobních údajů.
V podobě, v jaké jste poskytli odpověď neprivilegovanému žadateli, tedy bez osobních údajů a případně dalších informací, ji můžeme zveřejnit způsobem umožňující dálkový přístup.
Vyšlo jako příloha Starostova infoservisu 17. 10. 2022
Zastupitelé jako tzv. privilegovaní žadatelé
K privilegovaným žadatelům se řadí i zastupitelé obce. Podle § 82 písm. c) zákona o obcích má zastupitel právo požadovat od zaměstnanců obce zařazených do obecního úřadu i od zaměstnanců právnických osob, které obec založila nebo zřídila informace o věcech, které souvisejí s výkonem funkce.
Při poskytování takových informací se členům zastupitelstva informace poskytují bez anonymizace. Výjimku však tvoří případy, kdy zpřístupnění osobních údajů znamená neproporcionální zásah do ochrany soukromí, – typicky v oblasti informací o platech zaměstnanců obce (školy).
Vyšlo jako příloha Starostova infoservisu 10. 10. 2022
Neanonymizovaný dokument v rukou tzv. privilegovaného žadatele
V případě, že tzv. privilegovanému žadateli poskytneme neanonymizovaný dokument, přechází na něj v ten okamžik povinnost ochrany osobních údajů a nakládání s nimi podle platných právních předpisů.
Upozorněte ho na tuto skutečnost a proveďte o tom záznam. Poskytnutí informací ale nemůžete podmínit podpisem takového poučení.
Vyšlo jako příloha Starostova infoservisu 3. 10. 2022
Pojem tzv. privilegovaného žadatele
Víte, koho označujeme za tzv. privilegovaného žadatele? Jedná se o osobu, která má trvalé bydliště v obci či v katastru obce vlastní nemovitost. Tito lidé mají neomezený přístup k informaci, která je obsahem zápisu a usnesení zastupitelstva, usnesení rady, výborů a komisí.
Těmto žadatelům se informace z uvedených dokumentů poskytují v plném znění, tedy včetně osobních údajů a jiných chráněných informací.
Není podstatné, zda při žádostech o zápisy, usnesení, záznamy se privilegovaný žadatel odkazuje na zákon o obcích nebo na zákon o svobodném přístupu k informacím.
Vyšlo jako příloha Starostova infoservisu 26. 9. 2022
Zpracovatelé a podzpracovatelé
Zapojení dalšího zpracovatele - je to další důležitá součást zpracovatelské smlouvy. V ní se zpracovatel zaváže, že bez předchozího souhlasu správce nevyužije ke zpracování osobních údajů žádnou další třetí osobu, která zároveň není jeho zaměstnancem.
Souhlas správce může být udělen ve smlouvě přímo na využití konkrétního podzpracovatele (tj. do smlouvy se uvede obchodní jméno podzpracovatele), nebo udělí souhlas obecný, tedy dává možnost zpracovateli si konkrétního podzpracovatele v budoucnu vybrat.
Ve smlouvě ale musí být vždy uvedeno, jak podzpracovatel splní podmínky zpracování stanovené správcem. Z toho vyplývá, že zpracovatelská smlouva nesmí obsahovat ustanovení, která znějí např. "Správce bere na vědomí..." nebo "Zpracovatel informuje správce, že využívá dalšího zpracovatele..." To je totiž v přímém rozporu s obecným nařízením.
Vyšlo jako příloha Starostova infoservisu 19. 9. 2022
Zpracovatelská smlouva a incident
Smlouva mezi správcem a zpracovatelem musí také obsahovat podrobnější postup pro případ incidentu při zpracování osobních údajů u zpracovatele. V textu nebude postačovat věta o tom, že zpracovatel poskytne veškerou součinnost při řešení incidentů.
Vhodné je uvést a také v případě skutečného incidentu dodržet následující: zpracovatel je povinný informovat správce o veškerých incidentech, porušeních, podezřeních na porušení bezpečnosti. Odpovědnou osobu je na straně zpracovatele…, a na straně správce… Jakékoliv narušení ochrany osobních údajů zpracovatel oznámí správci neprodleně po zjištění incidentu.
Vyšlo jako příloha Starostova infoservisu 12. 9. 2022
Jak předávat osobní údaje?
Jedním z důležitých bodů zpracovatelské smlouvy je část upravující způsob předávání osobních údajů. Ze smlouvy by mělo konkrétně vyplývat, jakým způsobem a jakými prostředky bude mezi správcem a zpracovatelem probíhat předávání osobních údajů.
V případě, že zpracovatel má zaměstnance, musí být zavázáni mlčenlivostí v oblasti osobních údajů. Mlčenlivost musí trvat i po ukončení pracovního poměru. A nakonec musí zaměstnanci zpracovatele znát požadavky správce na nakládání s osobními údaji, s kterými pracují jako zástupci zpracovatele.
Pokud využíváte služby externí účetní, smlouva by tak měla obsahovat např. věty: "Správce zašle zpracovateli údaje prostřednictvím datové schránky, a to vždy poslední den v měsíci. Soubor s osobními údaji bude vybaven heslem. Heslo bude předáno telefonicky."
Vyšlo jako příloha Starostova infoservisu 5. 9. 2022
Náležitosti zpracovatelské smlouvy
Smlouva o zpracování osobních údajů mezi správcem - obcí a zpracovatelem (typicky externí účetní, poskytovatelem cloudu, poskytovatelem softwaru, jehož součástí je cloud apod.) musí být písemná a musí obsahovat části, které definuje obecné nařízení.
Než je vyjmenujeme, tak bychom rádi upozornili na to, že ne vždy musí mít ujednání o zpracování osobních údajů podobu nové smlouvy: může být součástí hlavní smlouvy, může jít také o dodatek ke stávající smlouvě nebo být součástí licenčních podmínek.
Text musí definovat: 1. základní informace o zpracování - smluvní strany, kategorie zpracovávaných osobních údajů, dobu uchování apod., 2. bližší informace o způsobu předávání osobních údajů, 3. technické a organizační opatření na straně zpracovatele, 4. možnost zapojení dalšího zpracovatele, 5. způsoby hlášení incidentu, 6. ukončení zpracování u pracovatele.
Vyšlo jako příloha Starostova infoservisu 22. 8. 2022
K nelegitimnímu zpracování osobních údajů
Pozor na využívání osobních údajů občanů, které vám sami nepředali! Řešíte s občanem nějaký problém a pro urychlení řešení situace se rozhodnete získat jeho telefonní číslo od společného známého a vysvětlit si problém telefonicky?
Pak můžete riskovat, že se daný občan obrátí na Úřad pro ochranu osobních údajů a bude namítat, že jste jeho telefonní číslo zpracovali nelegitimně, jelikož Vám ho přímo neposkytl pro vyřešení nastálého problému.
Vypadá to absurdně, ale i takové případy se v praxi objevují. Proto se i ve zdánlivě obyčejných situacích neváhejte poradit s pověřencem.
Vyšlo jako příloha Starostova infoservisu 15. 8. 2022
Úskalí fotodokumentace obecních akcí II
Na webových stránkách obce zveřejníte album fotek z nedávno proběhlé obecní akce. Na obecní úřad přijde občan, že chce, aby byla konkrétní fotka z alba odstraněna, protože se mu nelíbí, jak na ní vypadá.
Co máte v takové chvíli jako správci osobních údajů správně udělat? Fotku musíte skutečně odstranit. Nebo podobiznu člověka něakým způsobem začernit. To ale často bývá komplikované...
Vyšlo jako příloha Starostova infoservisu 8. 8. 2022
Úskalí fotodokumentace obecních akcí I
Je léto a obce pořádají mnoho kulturních akcí. Stále se ale najdou takové samosprávy, které dostatečně neinformují o tom, že se na akci bude pořizovat fotodokumentace.
Takovou informaci, s uvedením údajů o správci osobních údajů (obci), kontaktu, účelu fotografování, o místě vyvěšení fotek a o místě, kde jsou uvedeny podrobnější informace o zpracování osobních údajů, přitom postačí napsat na pozvánky či na plakáty, které na akci lákají.
Důležité je takovou informaci neformulovat jako souhlas s fotografováním. Ve smyslu GDPR je totiž mezi informací o vytváření a zveřejňování fotek - momentek z akcí a mezi souhlasem se zpracováním fotografie s dalšími osobními údaji podstatný rozdíl.
Vyšlo jako příloha Starostova infoservisu 1. 8. 2022
Pozor na jubilanty!
Oceňujete v obci veřejně jubilanty, lidi, kteří se dožili významného životního jubilea? Nic vám v tom nebrání, jen si musíte dávat pozor na rozsah osobních údajů, který o nich uveřejňujete.
Přípustné je uvést jméno a příjmení, případně uvedení informace v příslušném měsíci. Např. se nemusíte obávat do zpravodaje napsat větu "Gratulujeme našim jubilantům" a vypsat jejich jména.
Širší obsah již vyžaduje souhlas se zpracováním osobních údajů.
Vyšlo jako příloha Starostova infoservisu 25. 7. 2022
Obecní kroniky a ochrana osobních údajů III
Chcete zveřejnit kroniku na webu? V takovém případě musíte zkontrolovat, zda neobsahuje soupisy žijících občanů - nejen s jejich jmény, ale i s adresami, daty narození apod.
Jejich zveřejnění na internetu by v takovém případě bylo nelegitimní a bylo by možné pouze v případě, že od těchto lidí získáte souhlas. To je ale často už nemožné. Proto tyto části kroniky na web vůbec nevkládejte.
A zapamatujte si, že co jednou umístíte volně na internet, se bude šířit už bez vaší kontroly.
Vyšlo jako příloha Starostova infoservisu 18. 7. 2022
Obecní kroniky a ochrana osobních údajů II
V kronikách se vyvarujte uvádění podrobných statistik o změnách ve struktuře obyvatel. Častý nešvar u menších obcí je jmenovité uvádění obyvatel, kteří se do obce v daném roce přistěhovali nebo odstěhovali.
Takové záznamy bohužel obsahují nejen jméno a příjmení, ale i čísla popisná domů, z kterých se občané stěhují a někdy dokonce i jejich nová místa bydliště. Podobně je tomu tak u nově přistěhovaných.
Takové záznamy jsou nepřípustné. Lze uvést souhrnné statistiky, ale ne konkrétní a podrobné údaje.
Vyšlo jako příloha Starostova infoservisu 11. 7. 2022
Obecní kroniky a ochrana osobních údajů I
Přinesla účinnost GDPR konec uvádění vybraných osobních údajů občanů obce v obecní kronice? Ale kdeže! Jen je nutné pečlivě vybírat, co do kroniky zaneseno bude a co už ne.
Zákon o kronikách obcí ve svém § 1 uvádí, že do kroniky se zaznamenávají zprávy o důležitých a pamětihodných událostech v obci. Tou může být oslava výročí zlaté nebo diamantové svatby nebo dosažení významného životního jubilea (dosažení věku 90 let, nejstarší občan/ka obce apod.) a jeho oslava s představiteli obce.
Proto se do obecních kronik nebojte vkládat texty o těchto událostech, a to včetně uvedení jmen a příjmení jubilantů.
Vyšlo jako příloha Starostova infoservisu 4. 7. 2022
Na slovíčko o příjemcích veřejných prostředků
Víte, kdo je to příjemce veřejných prostředků? Jeho definici nalezneme v § 8b zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Toto ustanovení vám umožňuje zveřejnit základní osobní údaje o fyzické osobě, která vstupuje do majetkových vztahů s obcí.
Například od obce něco kupuje, něco jí prodává, daruje, nebo pronajímá. O takové osobě lze zveřejnit osobní údaje až v rozasahu jméno a příjmení, rok narození, obec trvalého bydliště a výše, účel a podmínky poskytnutých veřejných prostředků.
Je na vás, jakou míru transparentnosti zvolíte, ovšem vždy byste měli dodržet zásadu přiměřenosti a rozsah uveřejnění osobních údajů zvolit podle situace. Úplný výčet by pak měl být využit tam, kde se příjemcem veřejných prostředků stává například příbuzný starosty, zastupitele, účetní apod. Určit správnou míru by vám měl pomoci váš pověřenec.
Vyšlo jako příloha Starostova infoservisu 27. 6. 2022
Úskalí kamerových systémů v prostředí samospráv: náležitosti balančního testu
Balanční test a jeho pozitivní výsledek ve prospěch monitorování prostoru kamerou je jednou z podmínek instalace kamery, která má chránit obecní majetek.
Součástí balančního testu jsou odpovědi na otázky:
- Z jakého důvodu se kamera instaluje?
- Co zachycuje?
- Co má chránit?
- Vznikla na majetku již dříve škoda?
- Nelze majetek chránit jiným způsobem?
- Jak je záznam zabezpečen?
- Jsou osoby, které mohou vstupovat do záběru kamer, o monitorování dostatečně informovány?
Obec musí v připadě každé jednotlivé kamery jasně zdůvodnit, že ochrana obecního majetku je významným veřejným zájmem, který převažuje nad individuálními zájmy subjektů údajů - fyzických osob.
Vyšlo jako příloha Starostova infoservisu 20. 6. 2022
Úskalí kamerových systémů v prostředí samospráv: balanční test
Poslední měsíc se ve Střípcích věnujeme problematice kamer. Nezmínili jsme se ještě o jedné povinnosti, kterou musí správce osobních údajů před samotnou instalací kamer splnit.
Jedná se o provedení tzv. balančního testu, který správci pomáhá rozhodnout o tom, zda jeho úmysl nainstalovat do nějakého prostoru kamery či fotopast je správný, legitimní a legální.
V podstatě jde o to, že kamera bude plnit svůj účel - ochranu majetku obce - a tento zájem bude zároveň vyšší než zájem na ochraně soukromí obyvatel, které kamera případně zachytí.
S vypracováním balančního testu pomůže pověřenec, je ale dobré si uvědomit, že bez vaší součinnosti jako správce osobních údajů ho nebude schopen sám vytvořit.
Vyšlo jako příloha Starostova infoservisu 13. 6. 2022
Kamerové systémy a školy: ochrana školní budovy
Jak máte správně postupovat, když chce zřizovatel školy nainstalovat kamery ke vchodům do školní budovy, jejímž je současně vlastníkem, aby hlídal nové opláštění budovy před vandaly? Především je potřeba si uvědomit, že v takovém případě je správcem osobních údajů obec.
Škola sama nemá důvod do pořizovaného záznamu vstupovat, nanejvýš zřizovatele informuje, pokud by se v monitorovaném prostoru přihodilo něco relevantního. Z pohledu ochrany osobních údajů je podstatné, že všechny povinnosti správce musí splnit obec, která se prostřednictvím kamer rozhodla chránit svůj majetek.
Vyšlo jako příloha Ředitelova infoservisu 13. 6. 2022
Úskalí kamerových systémů v prostředí samospráv: náležitosti piktogramu
Prostor, který snímá kamera, musí být označen piktogramem. Pokud monitorujete vstupy do obecního úřadu, je vhodné cedulky umístit na příslušné dveře objektu. S nabytím účinnosti GDPR již ovšem nepostačí mít na piktogramu obrázek kamery a nápis "prostor je monitorován kamerovým systémem".
Na cedulce musí být uvedeno alespoň to, kdo je správcem osobních údajů, jeho adresní a kontaktní údaje (postačí oficiální e-mail obce) a odkaz na webové stránky, kde zájemce najde další informace o zpracování osobních údajů.
Vyšlo jako příloha Starostova infoservisu 6. 6. 2022
Úskalí kamerových systémů v prostředí samospráv: konkrétní příklady
V minulém týdnu jsme si vysvětlili základní pravidla pro instalaci kamer. Dnes popíšeme konkrétní případy, kdy může obec kamery umístit. Před samotnou instalací ovšem vždy doporučujeme kontaktovat vašeho pověřence a probrat s ním konkrétní okolnosti.
A nyní už k příkladům. Obec může kamery instalovat v prostoru, kde jsou umístěny kontejnery na tříděný odpad. Dalším typickým příkladem přípustné instalace je obecní budova, kde kamera bude snímat nové opláštění budovy, případně zadní vchod, který se používá jen ve výjímečných případech.
Kameru lze umístit i na sběrný dvůr, ovšem v tomto případě by se kamera měla typicky spínat až ve chvíli, kdy prostor opustí zaměstnanec dvora.
Vyšlo jako příloha Starostova infoservisu 29. 5. 2022
Kamerové systémy a školy: úvod
Kamery se mohou zdát jako správné řešení, jak pohlídat bezpečnost na školních chodbách a ve školních šatnách. Škola ale může kamery nainstalovat jen v opravdu výjímečných případecha za přísných pravidel.
Patří k nim především povinnost zpracování balančního testu, který pomůže vyhodnotit oprávněnost umístění kamer. Snímání také nesmí mít preventivní charakter a musí být omezeno z hlediska času i prostoru. Se vším vám pomůže váš pověřenec.
Vyšlo jako příloha Ředitelova infoservisu 29. 5. 2022
Úskalí kamerových systémů v prostředí samospráv: úvod
Kamery jsou nezřídka logickým a svým způsobem jednoduchým řešením ochrany majetku a veřejného prostoru obce. Obec ale může kamery nainstalovat pouze v jasně vymezených případech, a to s cílem chránit svůj majetek.
Přitom musí omezit snímání veřejného prostranství, a to i když jde o pozemky v jejím vlastnictví. Soukromé objekty nemůže snímat vůbec. A pozor! Tato pravidla se týkají on-line kamer a fotopastí.
Vyšlo jako příloha Starostova infoservisu 22. 5. 2022
Máte na svém webu základní informace o zpracování osobních údajů? A opravdu jsou úplné a korektní?
Víte, že podle obecného nařízení o ochraně osobních údajů musí mít každý správce osobních údajů, mezi něž patří také obce a školy, na svém webu základní informace o zpracování osobních údajů v organizaci? Obsah informací je přesně stanoven a měl by odpovídat realitě.
Přítomnost nepřesných nebo nedostatečných informací o zpracování osobních údajů nebo jejich úplná absence znamenají porušení předpisů. Rozhodně neuděláte chybu, když oslovíte svého pověřence s žádostí o kontrolu.
Vyšlo jako příloha Starostova infoservisu 15. 5. 2022
Vyšlo jako příloha Ředitelova infoservisu 15. 5. 2022
Pověřenec pro obce - chci o této službě vědět víc
Pověřenec pro školy - chci o této službě vědět víc