Zákon o zpracování osobních údajů a spisová služba

Po více než ročním legislativním procesu vyšly dne 24. dubna 2019 ve sbírce zákonů adaptační zákony k GDPR, které definitivně ukončily platnost zákona č. 101/2000 Sb., o ochraně osobních údajů. Kromě úpravy této oblasti zasáhly nové předpisy 39 zákonů, do nichž přidaly nejen ustanovení týkající se přímo zpracování osobních údajů, ale také další související (a někdy i nesouvisející) změny. Tento příspěvek pojednává nejen o zmíněných adaptačních zákonech, ale také o změnách, které byly spolu s tím provedeny v oblasti spisové služby.

Adaptační zákony

Nařízení Evropského parlamentu a Rady EU 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) všeobecně známé pod zkratkou GDPR nabylo účinnosti dne 25. května 2018, nicméně české adaptační zákony k tomuto nařízení nabyly účinnosti až 24. dubna 2019, tedy s téměř ročním zpožděním. S ohledem na to, že obecné nařízení o ochraně osobních údajů je závazné v celém rozsahu a přímo použitelné ve všech členských státech, nebylo třeba nové přístupy do českého právního řádu implementovat, ale bylo třeba zohlednit pravidla daná nařízením v ostatních předpisech a upřesnit ta ustanovení GDPR, v nichž byla dána členským státům diskreční pravomoc s možností národní specifické úpravy. K tomuto účelu byly v České republice schváleny a posléze nabyly účinnosti dva předpisy:

  • zákon č. 110/2019 Sb., o zpracování osobních údajů, který kromě adaptace GDPR též implementuje směrnici Evropského parlamentu a Rady (EU) 2016/680 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, a
  • zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Tento předpis novelizoval, jak již bylo zmíněno, 39 dalších zákonů včetně většiny hlavních procesních předpisů jako je trestní řád, občanský soudní řád, soudní řád správní a daňový řád. Avšak správní řád tímto předpisem změně nebyl.

Než se podíváme na vybraná konkrétní ustanovení těchto předpisů, je dobré zdůraznit, že žádné z nich nemění obecná pravidla ochrany osobních údajů, která byla během minulých dvou let implementována jak na straně obcí, tak na straně dodavatelů informačních systémů, které obce provozují. Všechny změny, které byly v informačním systému Munis v této souvislosti provedeny, jsou zcela v souladu s adaptačním i změnovým zákonem.

Z hlediska orgánů veřejné moci upřesňuje adaptační zákon několik důležitých oblastí. Z praktického pohledu je podstatné zejména ustanovení § 8 adaptačního zákona, které se vztahuje k naplnění informační povinnosti podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 GDPR. Zmíněné ustanovení říká, že správce může tuto povinnost naplnit i tím, že potřebné informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů zveřejnění způsobem umožňujícím dálkový přístup. Protože veřejná dostupnost stručné, srozumitelné a transparentní informace o zpracování je dostatečnou zárukou náležité informovanosti subjektu údajů, lze se domnívat, že toto ustanovení je z aplikačního pohledu velmi užitečné a zvyšuje právní jistotu správců o vhodnosti jimi voleného postupu informování, aniž by tím byla jakkoliv dotčena práva subjektu údajů. Z pohledu obcí, které jsou častými správci osobních údajů v mnoha agendách, jde o velmi návodný postup, jak zajistit patřičnou informovanost subjektů údajů a transparentnost zpracování. Zároveň se tím zdůrazňuje důležitost kvalitně zpracovaných webových stránek, což ale u obcí nebývá naštěstí podceňováno, jak ukazují výsledky každoroční soutěže Zlatý erb.

V obdobném duchu praktické realizace naplnění informační povinnosti je též formulováno ustanovení § 9 adaptačního zákona, které se vztahuje k postupům podle čl. 19 GPDR a týká se oznamovací povinnosti ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování. Jako jedna z variant naplnění této povinnosti je provedení příslušné operace v dané evidenci bez toho, aniž by byla nutná další aktivita, avšak pouze za podmínky, pokud správce příjemci pravidelně zpřístupňuje platný obsah této evidence, což je typický případ všech veřejně přístupných rejstříků.

Jak je zmíněno v důvodové zprávě k adaptačnímu zákonu, již od 1. ledna 2013 musí být součástí věcného záměru každého nového zákona schvalovaného v České republice posouzení jeho vlivu na ochranu osobních údajů. A proto § 10 adaptačního zákona definuje, že pro všechna zpracování osobních údajů, která jsou nezbytná pro splnění právní povinnosti, není třeba provádět posouzení vlivu tohoto zpracování na ochranu osobních údajů podle čl. 35 GDPR. Toto generální osvobození od potřeby posouzení v případe zpracování nezbytného pro splnění právní povinnosti je z pohledu orgánů veřejné moci také velmi podstatné, neboť jde v jejich případě o typický důvod zpracování.

Problematika pověřence pro ochranu osobních údajů byla v České republice vnímána velmi citlivě, a to zejména proto, že se jedná o zcela nový institut, který předchozí právní úprava neznala. Povinnost jmenovat pověřence neoddiskutovatelně dopadla na všechny orgány veřejné moci, tedy i na všechny obce a školy. GDPR nedává žádný prostor pro omezení počtu povinných správců, kteří musí pověřence jmenovat, právě naopak v čl. 37 odst. 4 tohoto nařízení se otevírá prostor k tomu, aby národní úpravy rozšířily povinnost jmenovat pověřence pro ochranu osobních údajů ještě pro další subjekty. Adaptační zákon v této souvislosti žádné subjekty navíc nezatěžuje touto povinnosti, avšak nepřímo lze určité rozšíření spatřovat v upřesnění pojmu veřejný subjekt, který stejně jako orgán veřejné moci musí podle čl. 37 odst. 1 písm. a) GDPR pověřence jmenovat. Ustanovení § 14 adaptačního zákona vymezuje tento pojem jako orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu. V důvodové zprávě k návrhu adaptačního zákona se k tomu píše, že jde zejména o exekutory, notáře, Českou národní banku, Nejvyšší kontrolní úřad, Správu hmotných rezerv, veřejného ochránce práv a další obdobné instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech.

Toto jsou asi nejdůležitější specifika české právní úpravy s přihlédnutím k povinnostem obcí, které musí v oblasti zpracování osobních údajů plnit. Nicméně, jak již bylo zmíněno v úvodu, nedošlo přijetím uvedených zákonů jen k přímé úpravě této oblasti, ale změnovým zákonem byly novelizovány také další předpisy, přičemž z pohledu obcí jsou důležité zejména změny v oblasti spisové služby.

Změny v oblasti spisové služby

Vyhledávání ve jmenném rejstříku, jež je součástí elektronické spisové služby Munis ERMS. Vyhledávací kritéria odpovídají definici minimálního obsahu rejstříku podle archivního zákona.
Obr 1. Vyhledávání ve jmenném rejstříku, jež je součástí elektronické spisové služby Munis ERMS. Vyhledávací kritéria odpovídají definici minimálního obsahu rejstříku podle archivního zákona.

Asi nejvýznamnější změnou v oblasti spisové služby spojenou s citovanými předpisy je zavedení povinného vedení jmenného rejstříku pro všechny určené původce, kteří musí, nebo si dobrovolně vybrali, vedení spisové služby v elektronické podobě v elektronickém systému spisové služby. V této souvislosti nelze nepoznamenat, že povinná komunikace prostřednictvím datových schránek i další rozvoj elektronizace veřejné správy jednoznačně vedou k tomu, že výkon spisové služby v listinné podobě se stává stále více neefektivní a nákladný, takže i původci, kteří mají právo volby, volí elektronický způsob vedení spisové služby, který je nezatěžuje povinnými převody všech elektronických dokumentů do listinné podoby autorizovanou konverzí.

Elektronický systém spisové služby tedy musí dle novelizovaného zákona č. 499/2004 Sb., o archivnictví a spisové službě, od 24. dubna 2019 povinně obsahovat jako samostatnou funkční část evidenční pomůcky jmenný rejstřík v elektronické podobě určený pro automatické zpracovávání údajů o odesílatelích a adresátech dokumentů evidovaných v evidenční pomůcce a jiných osobách, jichž se dokumenty evidované v evidenční pomůcce týkají (viz § 64 odst. 4 archivního zákona).

Jmenný rejstřík musí obsahovat alespoň následující údaje:

  1. jméno, popřípadě jména, a příjmení, jde-li o fyzickou osobu,
  2. jméno, popřípadě jmena, a příjmení, popřípadě dodatek odlišující osobu podnikatele nebo druh podnikání vztahující se zpravidla k této osobě nebo druhu podnikání, jde-li o podnikající fyzickou osobu nezapsanou v obchodním rejstříku,
  3. obchodní firmu nebo název, jde-li o podnikající fyzickou osobu zapsanou v obchodním rejstříku nebo právnickou osobu,
  4. identifikační číslo osoby, pokud bylo přiděleno,
  5. identifikátor datové schránky, pokud byla zřízena, a
  6. bezvýznamový identifikátor pro potřeby výkonu spisové služby, pokud byl určeným původcem přidělen.
Zobrazení všech vazeb konkrétního záznamu ve jmenném rejstříku na dokumenty a koncepty.
Obr 2. Zobrazení všech vazeb konkrétního záznamu ve jmenném rejstříku na dokumenty a koncepty.

Formulace zákona neomezuje rozsah těchto údajů, který však musí být vždy s ohledem na pravidla daná GDPR minimalizován s ohledem na daný účel. Proto správně bývá typickou součástí jmenného rejstříku také poštovní nebo e-mailová adresa či další kontaktní údaje potřebné pro efektivní vyřizování daného případu. Mnoho elektronických systému spisové služby mělo tento rejstřík implementován ještě v době, kdy jeho vedení zákon připouštěl, ale nenařizoval. Mezi tyto systémy patří také elektronická spisová služba Munis ERMS společnosti Triada. Ukázka vyhledávání ve jmenném rejstříku tohoto systému je na Obr. 1. Vyhledávací kritéria odpovídají definici minimálního obsahu rejstříku podle § 64 odst. 5 archivního zákona.

Elektronická spisová služba Munis ERMS je součástí komplexního informačního systému Munis, který svými moduly zastřešuje většinu agend vedených na městech a obcích. Proto tato spisová služba může hrát svou roli páteřního systému pro evidenci dokumentů a její jmenný rejstřík pak zcela plní požadované funkce podle citovaného zákona. Pro větší přehlednost uživatelů a jejich pohodlnější práci je elektronická spisová služba Munis ERMS rozdělena do pěti aplikací: Podatelna, Úředník, Vedoucí, Spisovna a Nastavení. Nicméně jmenný rejstřík samozřejmě prostupuje všechny tyto moduly. V aplikaci Podatelna, která slouží pro příjem všech typů dokumentů všemi možnými komunikačními kanály včetně informačního systému datových schránek a elektronické pošty, je plněn a navázán na všechny přijímané i vypravované dokumenty, jak to stanoví § 64 odst. 6 archivního zákona.

V aplikaci Úředník, která je určena konkrétním pracovníkům pro přebírání a následné přerozdělování došlé pošty, k vyřizování přijatých dokumentů včetně tvorby spisů, popř. typových spisů, a v neposlední řádě k tvorbě nových konceptů a jejich následnému schvalování, je jmenný rejstřík využit zejména ve dvou případech. Prvním je zmíněná tvorba konceptů a výběr adresátů v souladu s § 64 odst. 8 archivního zákona, druhým pak je vyhledávání dokumentů, tedy esenciální funkce rejstříku. Vztah konkrétního záznamu v rejstříku ke všem dotčeným entitám je ilustrativně zobrazen na Obr. 2.

Zdůrazněme, že podle archivního zákona mohou vést určení původci ve jmenném rejstříku údaje o odesílateli dokumentu nebo adresátu dokumentu, který je fyzickou osobou, a o jiné fyzické osobě, jíž se dokument týká, aniž by byl vyžadován jejich souhlas. Pro jmenný rejstřík je však třeba stanovit věcnou skupinu ve spisovém a skartačním plánu, který je přílohou spisového řádu úřadu, přičemž archivní zákon říká, že určení původci stanoví nejvýše tříletou skartační lhůtu pro údaje o fyzické osobě vedené ve jmenném rejstříku počínající běžet předáním dokumentů a spisů, ke kterým se údaje o fyzické osobě vztahovaly, archivu nebo jejich zničením. Je tedy velmi důležité, aby si systém spisové služby udržoval vazby, které jsou ilustrativně na Obr. 2, aby mohl správně stanovit okamžik počátku běhu vymezené skartační lhůty. S ohledem na další předpisy a typické promlčecí lhůty je obecně doporučováno tříletou skartační lhůtu nezkracovat.

Speciální využití jmenného rejstříku pro zobrazení stavu vyřizovaných dokumentů přijatých z datové schránky konkrétního odesílatele lze využít také pro služby portálu občana přihlášeného pomocí elektronické identity.
Obr 3. Speciální využití jmenného rejstříku pro zobrazení stavu vyřizovaných dokumentů přijatých z datové schránky konkrétního odesílatele lze využít také pro služby portálu občana přihlášeného pomocí elektronické identity.

Nicméně jmenný rejstřík ve své funkcionalitě může sloužit i dalšímu rozvoji elektronických služeb obcí poskytovaných občanům. Ilustrativní ukázka je na Obr. 3, který ukazuje přehled nevyřízených dokumentů přijatých z konkrétní datové schránky fyzické osoby. Tento přehled je součástí nabídky elektronických veřejných služeb poskytovaných po přihlášení pomocí elektronické identity, kterou je občan naprosto přesně identifikován, a tak poskytované osobních údaje jsou chráněny v souladu se všemi zmíněnými předpisy a jsou sdělovány pouze té osobě, které se týkají. Nová povinnost tak má i své pozitivní stránky.