Veřejné instituce mají často nepřesné, či dokonce zavádějící informace o nových pravidlech pro ochranu osobních dat, která začnou v Evropské unii platit od 25. května. Upozorňuje na to eurokomisařka Věra Jourová. "Jde o mýty typu pověřenec pro ochranu osobních údajů do každé obce, do každé školky," říká.
Evropské nařízení o ochraně osobních údajů, takzvané GDPR, ale nic takového nezavádí. Orgánům veřejné moci sice ukládá, aby pověřence jmenovali, neříká už ale, že musí pracovat na plný úvazek. Obce tak například mohou založit sdružení a zajistit si jediného pověřence společně. "V každém členském státě musí zodpovědné orgány a lidé zvážit, jak se to dá provést nejlépe a s přiměřenými náklady," radí komisařka.
V Česku zatím platí jediné omezení − podle pokynu ministerstva vnitra může jeden člověk dělat pověřence maximálně pro deset obcí. I to chce ale ministerstvo vnitra přehodnotit. "Připravujeme novelizaci metodického doporučení pro obce. Důraz budeme klást spíše na velikost obcí a množství jejich dat než na počet obcí, které mohou mít jednoho pověřence," uvádí Klára Pěknicová z ministerstva vnitra.
Zjednodušeně řečeno, mělo by platit, že čím menší obce jsou a čím jednodušší zpracování osobních údajů provádí, tím více by se jich mohlo sdružit dohromady a jmenovat pověřence společně.
14. 2.
GDPR a pracovníci
21. 2.
Nové technologie a data
28. 2.
GDPR a práva lidí
Právník nebo IT odborník?
Obce si také mohou podle ministerstva vnitra pověřence najmout externě − například jako službu advokátní kanceláře, poradenské společnosti nebo krajského úřadu.
Možné to naopak nebude v případě státních úřadů, jako jsou ministerstva, Finanční analytický úřad nebo Česká školní inspekce. Jejich zaměstnanci podléhají zákonu o státní službě. "U nich by měl být pověřenec interní," radí Pěknicová.
Výběr pověřence ale podle Svazu měst a obcí komplikují i další nejasnosti. Žádný předpis na české ani evropské úrovni přesně neříká, jaké vzdělání by měl člověk k dohledu nad dodržováním ochrany osobních údajů mít. "Bohužel není jasné, zda to má být například právník nebo odborník na IT," podotýká mluvčí svazu Štěpánka Filipová.
Přesný návod nedává ani metodický pokyn ministerstva vnitra. Omezuje se pouze na konstatování, že úroveň znalostí pověřence by se měla odvíjet od citlivosti, složitosti a množství osobních údajů, které obec zpracovává. Důležité také je, aby pověřenec znal fungování státní správy a dobře se orientoval v obecních předpisech.
Nejasnosti kolem pověřence a chystané změny v příslušné metodice nejsou to jediné, co přípravy na nová pravidla ve veřejném sektoru komplikuje. Dalším problémem, na nějž poukazuje ministerstvo vnitra, je často až fatální neznalost původních pravidel ochrany dat. "Veřejné instituce například často zapomínají, že už současný zákon o ochraně osobních údajů upravuje právo na výmaz velmi podobně jako GDPR," upozorňuje Pěknicová. Nemají tak na co navázat a s ochranou citlivých dat nyní začínají tváří v tvář novinkám prakticky od nuly.
Neznalost starých předpisů je podle Jourové i jedním z důvodů, proč v České republice momentálně panuje v porovnání s jinými zeměmi kolem nových pravidel ochrany osobních údajů panika. "Celá západní Evropa chápe, že to je evoluční vývoj, ne revoluce," prohlašuje eurokomisařka.
Úlevy pro státní orgány
Orgány státní správy přitom mají přípravy na GDPR v mnoha ohledech jednodušší než soukromé firmy. Zpracování osobních údajů úřadům většinou nařizuje zákon, odpadnou jim tak některé povinnosti, které musí podle nových pravidel plnit soukromý sektor.
Nemusí například občany žádat o souhlas se zpracováním jejich dat.
"Týká se to většiny agend obcí v přenesené i samostatné působnosti − vydávání rybářských lístků, řízení o přestupcích, vybírání poplatků za psy, vydávání cestovních dokladů a podobně," uvádí právnička Jitka Kmošková z advokátní kanceláře Frank Bold.
Souhlas naopak budou obce potřebovat v případě, že budou chtít zveřejnit fotografie z vítání občánků nebo gratulací jubilantům.
Jednodušší to orgány veřejné moci budou mít také s informováním občanů o tom, co s jejich daty dělají. Na rozdíl od soukromých firem to nebudou muset dělat vždy. "Veřejné orgány nemusí informovat občany o zpracování údajů v informačních systémech státní správy, pokud systémy fungují na základě zákona," vysvětluje advokát Martin Kornel z kanceláře Frank Bold.
A nová evropská pravidla pro ochranu dat se nedotknou ani fungování zákonem zřízených rejstříků a evidencí, jako je například obchodní rejstřík, evidence obyvatel nebo rejstřík skutečných vlastníků firem. Tam budou moci úřady nebo soudy dál zapisovat údaje občanů bez omezení.