GDPR v praxi

Obecné nařízení o ochraně osobních údajů je od pátku 25. května plně účinné. Jak bývá často zdůrazňováno, je ochrana osobních údajů kontinuální proces založený na opakovaných analýzách rizik souvisejících se zpracování osobních údajů, aplikování opatření na jejich snížení a vyhodnocení těchto opatření. Dnem nabytí účinnosti daného předpisu tedy tento proces v žádném případě nekončí. Ale otevírá se tímto dnem možnost pro subjekty údajů dožadovat se svých práv, která jsou nově specifikována a kategorizována tímto nařízením. A právě oblasti výkonu práv subjektu údajů se bude věnovat tento příspěvek.

Práva subjektu údajů

Nařízení Evropského parlamentu a Rady EU 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), upravuje nově oblast zajištění tohoto základního práva fyzických osob. Subjekty údajů mají tímto předpisem zajištěna různá konkrétní práva. Detailně pojmenovaných je jich celkem dvanáct. Pojďme si je alespoň stručně projít.

První je právo na stručná, transparentní, srozumitelná a snadno přístupná sdělení týkající se zpracování osobních údajů i postupů pro výkon práv subjektu údajů. Subjektům údajů musí být nejen jasně a srozumitelně řečeno jak, proč a k čemu jsou jejich osobní údaje zpracovávány, ale také musí každý správce vhodně popsat, jaké má připraveny postupy pro výkon dalších práv subjektu údajů. Z hlediska měst a obcí se jedná zejména o informace o podatelně, kam lze učinit příslušné podání.

Druhým právem je právo na přístup subjektu údajů k informacím o zpracovávaných osobních údajích o své osobě. Právě toto právo dělá nejednomu správci těžkou hlavu, obzvláště vede-li rozsáhlejší evidence. Pro města a obce to jistě platí, a proto je nanejvýš vhodné pořídit si pro výkon tohoto práva vhodného pomocníka. Pro uživatele informačního systému Munis je tímto pomocníkem modulu GDPR asistent, jemuž bude věnována druhá část tohoto článku.

Třetím právem je právo na opravu v případě, kdy subjekt údajů zjistí, že správce vede chybné anebo nepřesné osobní údaje. Důkazem, že toto právo není nikterak nové a je nedílnou součástí ochrany osobních údajů i podle dřívější právní úpravy, jsou služby poskytované kontaktními místy veřejné správy (CzechPOINT), které umožňují žádat opravu dat v základních registrech. Stejně tak fungují všechny informační systémy provozované na městech a obcích, protože vedení správných osobních údajů je nejenom právem subjektu údajů, ale je to také v zájmu samotných správců i zpracovatelů. V rámci agend, které mají svoji definici v registru práv a povinnosti (zkrácený název pro RPP), je aktualizace zajištěna notifikacemi. Pro ostatní agendy je třeba použít jiné vhodné mechanismy. Pro první případ má informační systém Munis již od roku 2012 (tedy od začátku fungování základních registrů) připraven modul Munizar. Druhý případ se řeší individuálně podle dané agendy.

Právo „být zapomenut“ je dalším z práv, jehož novota je spíše formální a tkví v onom přesném pojmenování. Nicméně souvisí s pravidlem, které pro zpracování osobních údajů trvá již léta, a to, že tyto údaje nesmí být zpracovávány po dobu delší, než je nezbytně nutné. Pro města a obce jsou příslušné lhůty specifikovány v příloze spisového řádu, v tzv. spisovém a skartačním plánu. Protože mnoho obcí nemá spisové řády již několik let aktualizovány, přichází společnost Triada s nabídkou „Tvorby spisových řádů“. Jedná se o službu, která není jen dodáním nějakého vzoru, který by si obec musela dále sama upravovat, ale jedná se o komplexní zajištění celkové aktualizace tohoto vnitřního předpisu včetně jeho příloh.

Právo na omezení zpracování má omezenou platnost jen pro určité zákonné důvody identifikované v konkrétních případech zpracování. Zpracování osobních údajů, které je nezbytné pro splnění právní povinnosti, mezi ně nepatří. Protože tento důvod je zároveň nejčastějším pro města a obce, lze se domnívat, že toto právo bude aplikováno jen výjimečně.

I právo na přenositelnost údajů má omezenou platnost tím, že se podle čl. 20 odst. 3 toto právo neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Je třeba zdůraznit, že není úplně zřejmé, jaký datový formát by měl být v tom konkrétním případě použit, pokud se tedy toto právo použije. Informační systém Munis využívá různé výměnné formáty odpovídající zvyklostem dané agendy.

Sedmým právem je právo vznést námitku. Posuzování tohoto práva závisí na tom, proti čemu je námitka vznesena. Je-li to proti způsobu zpracování, tak jsou opět případy, kdy nelze toto právo uplatit. Např. nelze vznést námitku proti zápisu v matriční knize, pokud k matriční události došlo. To by bylo absurdní. Ale námitka může být vznesena také proti vlastnímu zpracování, pokud by tedy dle uvedeného příkladu nedošlo k matriční události, a přesto by vzniknul záznam v matriční knize. Je však otázkou, zda by se v takových případech nemělo postupovat spíše podle jiných právních předpisů než podle obecného nařízení o ochraně osobních údajů.

Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, a to včetně profilování, je právem, které se týká spíše soukromého sektoru než veřejné správy, a proto je zde nebudeme blíže diskutovat.

Právo podat stížnost u dozorového úřadu, právo na účinnou soudní ochranu vůči dozorovému úřadu a právo na účinnou soudní ochranu vůči správci nebo zpracovateli patří mezi práva, o nichž musí být subjekt údajů vždy vhodně poučen, pokud mu obec odpovídá v rámci řízení o výkonu některého z předchozích práv. Je tedy více než doporučeníhodné, aby příslušná formulace se stala vhodnou součástí vzorů připravených pro daná řízení, jako je tomu též pro modul GDPR asistent již zmíněného informačního systému Munis.

Posledním definovaným právem v obecném nařízení o ochraně osobních údajů je právo na náhradu újmy. Samozřejmě, že každý správce i zpracovatel osobních údajů by měl udělat maximum proto, aby k žádné újmě subjektu údajů nedošlo. Je ale zřejmé, že ideální stav nikdy neexistuje, takže lze jen doporučit učinit skutečně vše, co je lze udělat pro snížení rizik souvisejících s každým jednotlivým zpracováním, samozřejmě s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, jak o tom hovoří čl. 25 obecného nařízení o ochraně osobních údajů.

GDPR asistent

Jak již bylo naznačeno v první části tohoto příspěvku, lze výkon některých práv subjektu údajů vhodně zjednodušit za použití výkonných nástrojů připravených v konkrétních informačních systémech. Pro informační systém Munis připravila společnost Triada nový modul, který nese název GDPR asistent, a jeho primárním posláním je právě zjednodušení výkonu některých práv subjektu údajů, zejména práva na přístup, ale také dalších práv, jejichž základem je vyhledání a ověření, v kterých agendách jsou osobní údaje příslušné fyzické osoby zpracovávány.

Modul GDPR asistent je koncipován jako nadstavba elektronické spisové služby Munis ERMS s přístupem do všech agend, které dané město či daná obec zpracovává. Není tedy striktně vázán pouze na moduly informačních systému Munis, i když samozřejmě v případě vnitřních vazeb je výkonnost tohoto modulu největší.

Identifikace subjektu údajů v rámci modulu GDPR asistent
Obr 1. Identifikace subjektu údajů v rámci modulu GDPR asistent

Základem každé reakce na výkon práva subjektu údajů je přesná identifikace tohoto subjektu (fyzické osoby), která může být nejjednodušším a nejpřesnějším způsobem provedena vůči základním registrům. Avšak je třeba si uvědomit, že nelze odmítnou výkon práva na přístup jen z toho důvodu, že nelze žadatele ztotožnit vůči ROBu. Právo na přístup je zcela obecné pro všechny správce a netýká se pouze veřejné správy, která zatím jediná má přístup do základních registrů, a proto taky nemůže být výkon práva na přístup na ověření vůči základním registrům vázán. Množství osobních údajů, které je dostatečné pro to, abychom dohledali daný subjekt v konkrétní agendě, závisí právě na povaze dané agendy. Např. pro hromadné rozesílání SMS zpráv, které obec implementuje v rámci krizového řízení, stačí pro identifikaci telefonní číslo. Proto GDPR asistent nabízí různé možnosti a přístupy pro tento první krok řízení včetně různorodých údajů, které lze o žadateli evidovat, jak ilustruje Obr. 1.

Číselník agend v modulu GDPR asistent
Obr. 2. Číselník agend v modulu GDPR asistent

Dotaz subjektu údajů může být zcela konkrétní, např. jaké údaje o mé osobě vedete v matriční knize, anebo naprosto obecný směřující do všech agend, které dané město anebo daná obec zpracovává. V případech obecných dotazů je zásadní mít přesnou kontrolu nad jednotlivými agendami a příslušným zjištěním, zda jsou v této agendě osobní údaje subjektu údajů zpracovávány či nikoliv. Proto má GDPR asistent informačního systému Munis vlastní číselník agend s mnoha parametry (viz Obr. 2). Tento číselník je dodáván v předvyplněné podobě, ale jsou samozřejmě možné téměř libovolné následné místní úpravy. V rámci tohoto číselníku se též nastavuje, je-li daná agenda vykonávána v některém z modulů komplexního informačního systému Munis, nebo je-li vedena mimo tento systém. Dotazy do agend mimo tento systém lze pokládat různým způsobem, a to podle charakteru dané vazby.

Důležité je, že GDPR asistent dává v každém okamžiku úplný přehled položených dotazů do jednotlivých agend a automaticky kontroluje, aby nebyla výsledná odpověď sestavena dříve, než jsou připraveny všechny podklady (viz Obr. 3). Modul GDPR asistent tak zcela zamezí všem pochybením, která by mohla plynout z neúplných odpovědí subjektu údajů.

Dotazy do agend a příprava na odpověď při řešení práva na přístup
Obr. 3. Dotazy do agend a příprava na odpověď při řešení práva na přístup

Zcela jednoznačně se domníváme, že výkon práv subjektů údajů nesmí za žádných okolností porušovat vlastní principy ochrany osobních údajů, mezi které patří též zákaz spojování osobních údajů zpracovávaných pro různé účely. Proto je vytváření odpovědí z jednotlivých agend vždy v kompetenci příslušných pracovníků, kteří jsou za dané agendy zodpovědní. Stejné přístupy představilo několik měst v rámci jarního setkání tajemníků městských a obecních úřadů, které se letos konalo v Ostravě jen několik dní před nabytím účinnosti obecného nařízení o ochraně osobních údajů. Odpověď subjektu údajů tedy vzniká jako jakási obdoba koordinovaného stanoviska, kdy každý útvar či pracovník odpovědný za výkon dané agendy vypracuje svou část odpovědi. Trochu jiná situace může nastávat na menších obcích, kde dochází ke kumulaci funkcí a jeden úředník má přístup do více agend. I zde však je přípraven GDPR asistent efektivně pomoci, neboť se lze přímo z něj prokliknout do daného modulu a, umožňují-li to práva přihlášeného uživatele, ihned také získat příslušnou odpověď.

Koncept modulu GDPR asistent informačního systému Munis je tedy postaven tak, aby plně reflektoval nastavená přístupová práva do jednotlivých agend, čímž je plně připraven pro efektivní provoz na těch nejmenších úřadech i na velkých městech. Vždy poskytne přehlednou a rychlou asistenci pro přípravu odpovědi subjektu údajů tak, aby bylo zodpovězeno včas. Nedílnou součástí nabídky tohoto modulu jsou též příslušné vzory pro jednotlivé dokumenty. Nasazení modulu GDPR asistent pro výkon práv subjektu údajů je tak jednoduché a pohodlné.