V současné době se nacházíme v závěrečné fázi přechodného období implementace obecného nařízením Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob, s povinností implementace od 25. května 2018.

Účelem nařízení je „nalézt rovnováhu mezi obavami o narušení soukromí a volným pohybem informací.“

Pro obce z uvedeného nařízení mimo jiné vyplývá, že jako orgán veřejné moci budou muset povinně zřídit funkci pověřence pro ochranu osobních údajů ve vztahu k obci, školám a příspěvkovým organizacím. Tato osoba bude dohlížet na soulad zpracování osobních údajů s nařízením GDPR a radit správci ohledně různých skutečností spojených s ochranou osobních údajů. Pověřenec bude sloužit zároveň jako kontaktní místo pro subjekty, které s údaji pracují, a dozorový úřad, tedy Úřad pro ochranu osobních údajů.

Co doporučujeme obcím v současné době učinit pro GDRP:

Obce zpracovávají velké množství osobních údajů v přenesené i samostatné působnosti, proto v prvé řadě doporučujeme provést evidenci všech dokumentů a seznamů obsahujících osobní údaje a  v jednoduché tabulce si zaznamenat jaké dokumenty ukládáte, jaké typy údajů obsahují, k jakému účelu je potřebujete. Dále projít všechny smlouvy se zaměstnanci a doplnit souhlasy, pokud je nemáte. Vypracovat etický kodex a zohlednit opatření nového nařízení v organizačním řádu obce, pokud jej nemáte, doporučujeme zpracovat podle metodik např. SMO (odkaz níže). To znamená - vyhodnotit, jaké osobní údaje jsou zpracovány na základě zákona a jaké ne. Provést audit osobních údajů na obci je v současné době důležitější než ustanovení pověřence pro ochranu osobních údajů. Uzavírat smlouvu s komerčními subjekty na audit osobních údajů, jejichž nabídky jsou pro malou obec finančně náročné, je v této fázi přípravy na GDPR diskutabilní a předčasné.

Dále by obec měla do návrhu rozpočtu na příští rok zařadit také výdaje spojené s opatřeními v souvislosti s GDPR i když do budoucna tyto výdaje nemusí nastat. Za takové výdaje považujeme min.: mzdové náklady na pověřence, aktualizace IT softwaru.

Od dodavatele informačních systémů, v nichž se pracuje s osobními údaji, doporučujeme získat programové příručky, ve kterých je uvedeno, že jejich program odpovídá požadavkům GDPR. Také je vhodné získat potvrzení, o tom, jak bude naloženo s osobními údaji po ukončení dodavatelského vztahu, a že dodavatel bude spolupracovat s pověřencem osobních údajů v případě potřeby. Pro lepší fungování by obec měla mít zpracován Organizační řád obecního úřadu, ve kterém je potřeba zohlednit opatření nového nařízení – vzor naleznete na  následující stránce:

http://www.vzdelanyzastupitel.cz/docTemplates/Default.aspx?dirID=0&searchText=organiza%c4%8dn%c3%ad+%c5%99%c3%a1d

SMO ČR také připravuje doporučení KISMO, v němž bude konkrétně uveden seznam úkonů, které obce musí udělat, když se na GDPR připravují. Jakmile bude doporučení dostupné, obratem jej zde zveřejníme.

Ministerstvo vnitra zpracovalo metodiku, jak postupovat  v ochraně osobních údajů. Metodika se jmenuje: „Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí“.

Naprosto nezbytné v počáteční fázi zavádění GDPR přitom je, aby obce prokazatelně podnikaly opatření, které k ochraně osobních údajů vedou. A samozřejmě také to, aby jako povinné subjekty nejzávažnější nedostatky v oblasti GDPR co nejdříve odstranily.

Se zaměstnáváním pověřenců doporučujeme posečkat, než se vyjasní všechny informace mezi dotčenými vrcholnými orgány. V současné době jsou ve vztahu k pověřenci známi následující důležité informace:

• Lze jej sdílet mezi více obcemi např. prostřednictvím DSO
• Musí mít určitou odbornou způsobilost, kterou posuzuje sama obec (základní požadavky stanoveny pracovní skupinou WP29)
• Úkolem pověřence bude poradenství, dozor nad souladem s právními předpisy, spolupráce s dozorovými úřady, správci, zpracovateli apod.
• Povinností pověřence bude být dosažitelný do 72 hodin případně mít zastoupení v době dlouhodobější nepřítomnosti
• Funkci nemůže vykonávat starosta, místostarosta, ani tajemník. O zastupitelích se jedná (v současné době je nejednotný výklad, ale výklad MV říká, že zastupitel pověřencem být také nemůže). Obecně to nemůže být nikdo ve střetu zájmu.