Karel Bačkovský z Odboru bezpečnostních politik Ministerstva vnitra ČR a jeho kolegyně Kateřina Jamborová byli jedněmi z těch, kdo stáli u zrodu návrhu zákona o zpracováních osobních údajů, který „adaptuje“ české právní předpisy do souladu s evropským Obecným nařízením o ochraně osobních údajů známým jako GDPR. Minulý týden jsme přinesli první část rozhovoru s těmito úředníky ministerstva vnitra, ve které jsme řešili především anabázi vzniku adaptačního zákona a také odpovědi na to, zda Ministerstvo vnitra a Úřadu pro ochranu osobních údajů v přípravě české adaptační legislativy zaspali či ne. Nyní se věnujeme otázkám, které nejvíce zajímají města a obce, jelikož právě na dopady legislativy na ně se Ekonomický deník pravidelně zabývá.
Ministerstvo vnitra dnes v Praze pořádá další z řady konferencí o GDPR, které jsou určeny především zástupcům samosprávy a veřejné správy. Máte za sebou řadu podobných akcí v regionech, můžete tedy říct co dosud posluchače nejvíce zajímalo?
Kateřina Jamborová: Zástupci obcí se hodně ptají konkrétně, jak mají postupovat v rámci svých konkrétních situací, co řeší. Hodně často se řeší právě zveřejňování různých typů fotografií v rámci časopisů a věstníků samospráv, anebo potom na jejich webových stránkách. Ale řeší se i řada dalších věcí
Pověřenci?
KJ: Pověřenci bych řekla, že už na těch debatách tolik nerezonují, to bylo stěžejní na podzim. Teď se třeba řeší konkrétní povinnosti obcí. Jedna z povinností správce byla vytvořit záznam o činnosti zpracování osobních údajů. Takže teď momentálně ministerstvo vnitra velmi intenzivně radí obcím, jak má takovýto formulář vypadat. Tento formulář má v podstatě kompenzovat to, že se ruší povinnost hlásit nějaké větší zpracování osobních údajů Úřadu pro ochranu osobních údajů (ÚOOÚ). Nicméně správce by měl mít přehled o tom, co zpracovává a jak. A k tomu slouží záznamy o činnosti. Vnitro vydalo vzorový formulář pro volby, jak by to mělo vypadat. Plánuje se, že těch formulářů bude víc a právě to je jedna z těch věcí, co se nyní na školeních docela podrobně probírá.
Karel Bačkovský: Každopádně snahou je udělat to tak, aby s tím spojená administrativní zátěž byla co nejmenší.
Můžeme říct, zda je nějaké řešení pro obecní weby a věstníky? A co pravidla pro školy?
KJ: Obecně nedochází k žádnému posunu. Často jsme dotazováni, když se nás ptají na zveřejnění zápisu ze zastupitelstva apod. Tam se ta pravidla už nějak nastavovala a zrovna fotky vychází jako hlavně z ochrany osobnostních práv v Novém občanském zákoníku. Tam se samozřejmě musí rozlišovat situace. Obec udělá fotografie z nějaké akce, kterou pořádá a ty slouží k propagaci obce. Samozřejmě nepotřebuje všechny obíhat a získávat od nich souhlas. Má obecně reportážní licenci k tomu takovéto fotografie zveřejňovat. A pokud bychom to vzali z toho GDPR a vtáhli jsme to pod to, že to tedy to zpracování je, tak tam má oprávněný zájem na tom propagovat obec. Těch nuancí tam může být hodně. Když vedeme debaty s ÚOOÚ, tak jeho zástupci hodně dbají na ochranu práv dětí.
KB: Takhle, na to asi nemůže nikde existovat nějaká úplně obecná odpověď. Protože samozřejmě když se budeme bavit o zveřejňování, tak vždy záleží na tom, co chcete zveřejnit a kde. Jako to bylo dosud. Ale těch právních titulů, které obec při zveřejňování, prezentaci nějaké své vlastní činnosti má, je tam více. Samozřejmě připadá v úvahu reportážní licence, ale také tam připadá právě titul prezentace vlastní činnosti. Prostě obec je tu nějaká veřejno-právní entita, která prostě poskytuje svým obyvatelům komplex služeb. A to, že nějakým způsobem prezentuje to, že je otevřená, informuje občany o tom, jak funguje, co se jim nabízí, tak to prostě patří mezi její legitimní zájmy.
Něco podobného je to i u školek a škol. Tam je samozřejmě nutné mít vždy na paměti, že se jedná o osobní údaje dětí. Takže z podstaty věci se na to i dozorový orgán dívá citlivěji, ale zase se těžko dá říct nějaké nejobecnější pravidlo. Prostě se to vždy odvíjí od toho, co ta škola nebo školka chce vlastně zveřejňovat. K určitému typu zveřejňování osobních údajů asi bude potřebovat souhlas rodičů, ale určitě se najdou i takové, kde ten souhlas nebude nutný. Když si třeba představím, že bude probíhat nějaký sportovní den, kde bude i veřejnost, já o tom budu informovat a k tomu tam zveřejním nějaké momentky, tak to mi přijde, že je pokryté už těmi tituly, které žádný souhlas nevyjadřují.
My vždycky říkáme, ono to zní jako rada možná ne úplně konkrétní, ale v těchto věcech je vždy dobré trochu používat zdravý rozum. Samozřejmě se šíří, zvlášť pokud jde o to zveřejňování, i různé bizarní fámy. Šíří se třeba fámy typu, že rozdílná pravidla jsou, když něco zveřejňuji na vlastních webových stránkách, anebo když to dávám na svůj facebookový profil. To jsou třeba také takové nesmysly.
KJ: My se na školeních ty fámy snažíme vyvracet. Opravdu se zapomíná na to, že těch titulů ke zpracování osobních údajů, pokud pojedeme jen po těch obecních zařízeních je 6. A činnosti obce přeci jen převážně vyplývají ze zákona. Takže pokud zpracovává například místní poplatky, tak to dělá ze zákona. A pokud to má ze zákona, tak samozřejmě nepotřebuje souhlasy těch subjektů. U nás byl trošku problém v tom, že všechno se stavělo ještě na tom souhlasu. Třeba jsme řešili, jestli ještě obec, když obyvatel platící místní poplatky poskytne obci email, nebo telefon, protože je pro něj příjemnější, když k tomu kontaktu dochází flexibilně, zda na toto musí mít souhlas. Nemusí. To pořád vyplývá z toho, že má povinnost vybírat poplatky a obyvatel jim to telefonní číslo dal, tak ho mohou využívat. Nemusí mít na to speciálně další kolonku. Opravdu dělá se z toho větší věda, než je. Dále se obce ptají, ony mají řadu smluv, jako třeba nájemní atd. Opravdu tam jeto zpracování na základě smlouvy.
Na semináři MŠMT říkali, že musí být souhlas se zveřejněním fotek dětí ze školní akce. Podepsaný od rodičů. A co když tam bude fotka třídy, na tom školní webu, jak se vždycky fotí na konci roku a co když dvě děti nebudou chtít?
KB: Pořád platí to, co jsme už řekli. Těžko dát nějaké úplně nejobecnější návody. My na spoustu těch nuancí a situací nějaký názor máme. Zase na druhou stranu je to potřeba brát tak, že náš názor na konkrétní situace je názor odborný, který vychází z nějakých znalostí předpisů. Ale musíme si uvědomit, že my nejsme ten orgán, který pak bude provádět kontroly. A speciálně u těch dětí jsme trochu zdrženlivější. Já si nemyslím, že praxe Úřadu bude diametrálně odlišná od toho, co my říkáme. To určitě ne. My ty lidi z úřadu známe. Vedeme o tom s nimi debaty a jsme v zásadě ve shodě. Na druhou stranu pokud jde o osobní údaje dětí tak tam je taková obecně větší citlivost. Takže tam bude důležité, spíš jakým způsobem v těch jednotlivých hraničních situacích bude vypadat aplikační praxe toho úřadu. To pak bude poskytovat vodítka.
Pro obce je důležitých 10 paragrafů
Pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo plní úkol ve veřejném zájmu:
– je oprávněn kvůli tomu zpracovávat osobní údaje – § 5 návrhu zákona, navazuje na článek 6(3) GDPR (zajišťuje se, že pokud právní předpis stanoví povinnost, v rámci které k tomu je nezbytné zpracovávat osobní údaje, tak je samozřejmě může zpracovávat, byť v příslušném zákoně není věta „lze zpracovávat osobní údaje“)
– může informace o zpracování poskytnout zveřejněním na internetu – § 8, navazuje na články 13 a 14 (1, 2, 4) GDPR – informační povinnost lze splnit zveřejněním na internetu
– Správce zajišťující některé chráněné zájmy nemusí posuzovat slučitelnost účelů – § 6 zákona, čl 6(4)a čl 23 GDPR – možnost dalšího zpracování bez přezkoumávání slučitelnosti účelů původního a následného účelu za stanovených podmínek
– Povinnost jmenovat pověřence mají orgány veřejné moci a jim se blížící úzká skupina „veřejných subjektů“ – § 14, čl. 37(1)(a) – pověřence tak nebudou muset mít např. ZUŠ, školní jídelny apod.
– Subsidiární výjimky z práv subjektu údajů za kvůli zajištění některých chráněných zájmů kompenzovány dozorem ÚOOÚ
– Oznamovat změny a výmazy lze aktualizací evidence – § 9, čl. 19
– Věk pro samostatný on-line souhlas dítěte na 15 let – § 7, čl. 8 – nařízení počítá s 16, snižujeme na 15
– Omezení zpracování nestaví zákonnou ohlašovací povinnost
Ministerstvo vnitra vydalo také řadu užitečných dokumentů, například vzorový dokument pro praxi malých obcí. Na stránkách ministerstva vnitra si můžete STÁHNOUT například Základní pravidla postupu souvisejících se zpracováním osobních údajů
Jak je to s právem na výmaz?
KJ: To se uplatní, pokud není důvod ty údaje zpracovávat dál. A ten důvod tam jednak může být, nějaká povinnost vyplývající ze zákona, že má zpracovatel uchovávat nějaké dokumenty o třeba pracovněprávním vztahu po nějakou určitou zákonem danou dobu, pak tam jsou spisové řády apod.
KB:Nebo když se to řekne ještě úplně jinak – občan se úplně odstěhuje obce, tak ji může informovat, že si přeje, aby jeho údaje smazali. A až doběhnou zákonné lhůty, které stanovuje například spisový řád, nebo cokoliv jiného, tak by to měli udělat.
Vlastnost zpracovávání na základě nějakých zákonných titulů se dá jednoduše popsat tak, že buď ten titul mám, anebo ho nemám. Takže buď ten titul držet skrz ty údaje musím a v okamžiku, kdy ten titul ztrácím, tak to naopak musím smazat. Bez ohledu na to, jestli o to někdo požádal, nebo ne.
Ono samozřejmě GDPR, jak je obecná norma, tak ta jednotlivá práva a povinnosti jsou nastaveny tak, že jsou vůči všem. Spíš je výjimka pro určitý druh zpracování a určitého druhu subjektů. Tam si vlastně nedokážeme představit ty situace, kdy by to právo šlo nějak smysluplně uplatňovat. A dává to smysl. Protože to jsou typicky práva nastavená třeba na to, že mám účet na e-shopu a nepřeji si ho tam dále mít. Tak požádám o výmaz. Nebo mám někde nějakou historii svých transakcí, nebo svého pojištění a mám zájem na tom, aby tyto údaje získal nějaký jiný subjekt, se kterým se teď chci smluvně zavázat, protože mi poskytne nějakou výhodu. Takže tam mám samozřejmě zase právo na přenositelnost údajů. Ale když si představíte i v soukromém sektoru, tak ne v každém vztahu je třeba smysluplně využitelné právo na přenositelnost údajů.
Jsou nějaké typické příklady o kterých se často diskutuje, například školy, školky?
KJ: Setkala jsem se s článkem o tom, zda učitelka v mateřské školce má seznam dětí, co
mají potravinové alergie. Pro ni je to naprosto nezbytné vědět. Ve školce se učitelky točí, třeba suplují, nebo jsou v jedné třídě, není tam stále jedna učitelka, musí to mít na očích, aby se jí to dítě neudusilo. A dotaz zněl, zda to tam tedy mohou mít vyvěšené, jako teď. Protože, když to budou mít v šuplíku, také se může stát, že to rychle nebude mít k dispozici a zapomene. Když si vezmeme školku, tak to je objekt, který je sám o sobě už v dnešní době zabezpečený. Většinou tam mohou jen rodiče, mohou tam někdy ráno, přes oběd, odpoledne, když vodí a vyzvedávají děti. Většinou školka vypadá tak, že dítě dovedete do nějakého prostoru a tam ho předáte. Takže ani nevstupujete do dalších prostor. A to už je zabezpečení. Takhle systémově. Zabezpečení není jen ten zamčený šuplík, nebo trezor. Takže vlastně do té třídy se ve většině školek rodič ani nedostane. A navíc seznamy potravinových alergií visí většinou ještě za tou třídou v kuchyňce, kde paní kuchařka připravuje oběd a vidí to tam ona, případně ta učitelka. Takže tam se nedostane rodič, ani kdyby nakoukl do třídy.
Podívejte se na prezentace ke vztahu GDPR a obcí
Ale především jaké to je riziko prozrazení alergie Aničky na lepek?
Přesně. Tady máme jak to zabezpečení, tak riziko. Kdyby se to vyvěsilo na nástěnku před budovou, tak může támhle sousedka vědět, že nějaké dítě je má na něco alergii a pak to všude „roztroubit“, ale takhle….
KB: Já to řeknu na příkladu ze školky, kam vodím své dítě. Tak samozřejmě když si představím nějaký kompletní set osobních údajů dětí, jméno, příjmení, adresu, datum narození, podobu, fotografii, tak to jsou samozřejmě už nějaké údaje, které vyžadují zabezpečení, protože to jsou komplet osobní údaje k tomu dítěti. Ale jsou současně ve školce někde vzadu na nástěnce, jak to mají učitelky připravené, tak tam každý den visí dva sloupečky dětí. Jeden sloupeček je nadepsaný IN a druhý OUT. A pod každým je sloupec křestních jmen. A slouží k tomu, aby ty učitelky věděly, které děti jdou ten den do lesní školky, jdou na dlouho procházku do lesa, a které zůstávají na zahradě. A zrovna toto jsou sice také osobní údaje, ale riziko, které spočívá v tom, že se dostanou do nepovolaných rukou, je naprosto minimální. Takže z mého pohledu naprosto stačí, že to visí na nástěnce uvnitř ve školce, protože ta informace je opravdu jen křestní jméno a která jdou na zahradu a která do lesa. Prostě představa, že se to nějak zneužije, se ani nedá zkonstruovat. A rozhodně tento typ informace, aby učitelé věděli, které z těch malých děcek mají zařadit do kterého hloučku, nezahrnuje žádnou větší ochranu, než že to tam mají píchnuté na nástěnce uvnitř.
KJ:Těch fám se vynořilo opravdu strašně moc. V tom článku tvrdili, že je to citlivý údaj a ta učitelka by to měla mít málem v trezoru. Tak to je zcela nepraktické a je to postavené na hlavu.
KB: Asi cítíme, že osobní údaj, který spočívá v tom, že Kubík, Frantík, Anička a Maruška jdou dnes na zahradu, je trošku jiný osobní údaj, než když tam budu mít komplet údaje dítěte, třeba včetně rodného čísla.
KJ:A ono se tady zase trochu zapomíná na to, že ty údaje se sami od sebe neochrání. Proto ten rámec ochrany tu nějakým způsobem nastaven je. Je nutné se na to dívat se na to racionálně, představit si, co bych chtěla, aby se veřejně vědělo a co ne. Není v tom zase taková věda.
KB: Mezi mýty, se kterými se potkáváme, patří to, že spousta lidí má pocit, že je dobré si na všechno nechat podepsat souhlasy. Ale to není pravda. Protože souhlas může být udělen, ale může být také vzat zpět. Tzn., že v situaci, kdy já zpracovávám osobní údaje na základě nějakého jiného titulu, který GDPR zná, ke kterému nepotřebuji souhlas, tak bych se neměl snažit vyfutrovat to tím souhlasem. Protože když pak o něj přijdu, tak se dostanu do problému. Ale měl bych to normálně celé od začátku považovat za zpracování na základě konkrétního titulu, který mám. Tady prostě plním nějakou zákonnou povinnost, pracuji ve svém vlastním zájmu, k tomu musím zpracovávat osobní údaje. Je to prostě legitimní zájem správce, k tomu potřebuji zpracovávat osobní údaje v daném rozsahu a němá smysl to řešit souhlasem, protože to není zpracování na základě souhlasu.
Jiří Reichl
Tématu GDPR se věnujeme pravidelně – přečtěte si některé starší texty:
ROZHOVOR: Spoluautoři českého zákona o GDPR: Pro obce je důležitých 10 paragrafů, občanů se příliš…8.5.2018
GDPR se blíží, ale veřejnost se ochranou osobních údajů příliš netrápí 20.4.2018
Vnitro sníží pokuty za porušení GDPR pro obce I. a II. a jejich školy…20.3.2018
MŠMT uklidňuje školy ohledně GDPR: Jen pár nových povinností 20.3.2018
Jak na GDPR? Základní školení je na internetu k dispozici zdarma 18.3.2018
Spravedlnost bude mít sdíleného pověřence GDPR. Bude zaštiťovat 96 soudů a rejstřík trestů 12.3.2018
Evropská komise spustila on-line nástroj k GDPR pro malé a střední podniky 25.1.2018
Úřad na ochranu osobních údajů začíná zveřejňovat dotazy k GDPR 31.10.2017
Zákon o GDPR: vnitro dostalo stovky připomínek. Chvojka normu označil za hranou srozumitelnosti 2.10.2017
Anketa mezi obcemi o GDPR: Některá města nevědí, o co jde 28.9.2017
Tuzemské pokuty nemohou být výrazně nižší než v západní EvropěPetr Woff – 21.9.2017
I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl – 15.9.2017
Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence”Petr Woff – 13.9.2017
Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl – 8.9.2017
GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017
Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017
GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017
Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017
Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017
Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017
Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcíJiří Reichl – 30.8.2017
Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13…Jiří Reichl – 24.8.2017
Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017
Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017
EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017