Obec Otvovice
Otvovice

Ochrana osobních údajů - GDPR

O b e c  O t v o v i c e

Základní pravidla postupů souvisejících se zpracováním osobních údajů

Čl. 1

(1) Zastupitelstvo obce Otvovice usnesením č. 6/2018 ze dne 24.5.2018 vzalo na vědomí pravidla postupů souvisejících se zpracováním osobních údajů v samostatné a přenesené působnosti obce v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – GDPR.

(2) Zastupitelstvo obce Otvovice ukládá jednotlivým členům zastupitelstva obce, aby při plnění svých úkolů zajišťovali dodržování těchto pravidel. Starostovi obce ukládá zajistit dodržování těchto pravidel při zpracování osobních údajů obecním úřadem a při plnění smluv, jejichž předmětem je zpracování osobních údajů.

Čl. 2

(1) Obec zpracovává osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR, pouze v nezbytném rozsahu a po nezbytnou dobu. Účely zpracování osobních údajů a dobu jejich zpracování eviduje obec pro jednotlivé agendy v záznamech o činnostech zpracování podle čl. 30 GDPR.

(2) K osobním údajům mají přístup pouze osoby, které s nimi potřebují nakládat při plnění svých úkolů a povinností pro obec. Tyto osoby zachovávají o osobních údajích, s nimiž se seznamují, mlčenlivost.

(3) V případech, kdy obec hodlá v souladu s GDPR zveřejnit osobní údaje, například ve zpravodaji obce nebo na internetových stránkách, vždy předem posoudí vhodnost a rozsah tohoto zveřejnění.

Čl. 3

(1) Obec přijímá opatření k zabezpečení osobních údajů, a to zejména:

a) zajištění přítomnosti osoby uvedené v čl. 2 odst. 2 v prostorách, kde jsou zpracovávány osobní údaje, po dobu, kdy jsou tyto prostory přístupné jiným osobám, popřípadě uzamykání listin s osobními údaji, pokud osoba uvedená v čl. 2 odst. 2 není v této době přítomna,

b) uzamykání prostor, v nichž jsou uchovávány osobní údaje,

c) ochrana přístupu k výpočetní technice, jíž se zpracovávají osobní údaje, individuálními silnými hesly a ochrana těchto hesel před vyzrazením,

d) ochrana výpočetní techniky antivirovými programy; to platí také pro přenosná zařízení, pokud jsou pro ně takové programy běžně dostupné,

e) další vhodná opatření prováděná odpovědnou osobou pro ochranu přenosné výpočetní techniky nebo přenosných úložišť dat (například neustálý dohled, zamčený přepravní obal, folie na displeji, šifrování dat, osobní manipulace s úložištěm při kopírování dat do jiného přístroje),

f) šifrování souborů s větším množstvím osobních údajů nebo se snadno zneužitelnými nebo citlivými osobními údaji v případě odesílání souboru e-mailem nebo jeho uložení na sdílené úložiště.         

(2) Obec vede evidenci výpočetní techniky, úložišť dat a programového vybavení používaných ke zpracování osobních údajů. U přenosné výpočetní techniky a úložišť dat se eviduje též osoba odpovědná za využívání přenosného zařízení a za jeho ochranu před neoprávněným přístupem. Obec zajišťuje, aby výpočetní technika a úložiště dat používaná ke zpracování osobních údajů nebyla využívána k soukromým účelům.

(3) Obec vede evidenci klíčů používaných k uzamykání listin s osobními údaji a uzamykání prostor, v nichž se zpracovávají osobní údaje.

(4) Obec dbá na řádné plnění povinností podle předpisů upravujících spisovou službu a archivnictví, zejména včas a řádně provádí skartační řízení.

Čl. 4

(1) Obec zřizuje funkci pověřence pro ochranu osobních údajů (dále jen „pověřenec“). Pověřenec plní povinnosti podle čl. 37 až 39 GDPR v souladu se smlouvou nebo jiným dokumentem upravujícím vzájemná práva a povinnosti obce a pověřence. 

(2) Obec dále

a) vede záznamy o činnostech zpracování podle čl. 30 GDPR,

b) zajišťuje informování subjektů údajů podle čl. 13 a 14 GDPR,

c) naplňuje práva subjektů údajů, zejména práva na přístup k údajům podle čl. 15 GDPR a práva na opravu podle čl. 16 GDPR a

d) provádí ohlašování a oznámení porušení zabezpečení osobních údajů podle čl. 33 a 34 GDPR.

(3) Návrhy záznamů, informací, vyřízení žádostí a ohlášení a oznámení podle odstavce 2 zpracovává pověřenec.

(4) Obec poskytuje pověřenci potřebnou součinnost.

Čl. 5

(1) Obec vede evidenci opatření podle čl. 3, evidenci případných souhlasů se zpracováním osobních údajů a evidenci případů porušení zabezpečení osobních údajů.

(2) Obec pravidelně, nejméně jednou ročně vyhodnocuje plnění pravidel ochrany osobních údajů a přijímá opatření k nápravě. Vyhodnocení zpracovává pověřenec za součinnosti obce.

 

Základní informace k obecnému nařízení GDPR


Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.

V souladu s tím dále obecné nařízení rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování  a současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.

Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů. Podrobněji jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.

Obecné nařízení výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím.

 

Práva subjektu údajů

 

Proč má subjekt údajů práva?

Obecné nařízení, ostatně tak jako i zákon č. 101/2000 Sb., o ochraně osobních údajů, přiznává subjektům údajů práva. Jejich účelem je vybalancovat vztah mezi správcem a subjektem údajů. Jsou základním pilířem modelu ochrany osobních údajů v evropském prostoru. Nutno podotknout, že obecné nařízení posiluje systém práv subjektů, oproti zákonu o ochraně osobních údajů, a to jak v aktualizaci stávajících práv, tak i některými novými právy, jako je např. právo na přenositelnost.

 

Je nějaká lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?

Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

 

Jaká jsou práva subjektu údajů?

Subjekt údajů má právo na to být informován o zpracování svých osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů, tak aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.

Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.

Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě (žádosti) subjektu údajů, patří
• právo na přístup k osobním údajům,
• právo na opravu, resp. doplnění,
• právo na výmaz,
• právo na omezení zpracování,
• právo na přenositelnost údajů,
• právo vznést námitku,
• právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

 

Co se rozumí přístupem k osobním údajům?

Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:

  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

Jde o ekvivalent práva přístupu k osobním údajům, stanoveném v § 12 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.

 

Co když jsou údaje nepřesné?

Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

 

Co znamená právo být zapomenut?

Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení.

Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost.

Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo vyplývají z jeho podstaty.

Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.

 

Co znamená právo na přenositelnost údajů?

Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.

Společné podmínky k aplikaci práva na přenositelnost:

  • musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
  • zpracování se provádí automatizovaně.

Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

K právu na přenositelnost údajů byl ze strany Pracovní skupiny WP29 vydán výkladový materiál dostupný v rubrice Schválené pokyny.

 

Kdy lze vznést námitku proti zpracování osobních údajů?

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Do jisté míry jde o ekvivalent práva na vysvětlení dle § 21 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

 

Jak chápat právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování?

Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.

Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.

Nelze tak například automatizovaně pokutovat řidiče překračující rychlost, aniž by pokutu nepřezkoumal člověk.

Zákaz automatizovaného individuálního rozhodování je stanoven i v § 11 odst. 6 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.

 

Mohu si jako správce účtovat náklady v souvislosti s výkonem práv subjektu údajů?

Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.

 

Co když subjekt údajů zneužívá své právo?

Zneužitím nelze a priori rozumět výkon práv subjektu údajů. O zneužití práva subjektem údajů lze hovořit zejména tehdy, pokud se žádosti opakují a jsou zjevně nedůvodné či nepřiměřené. V takovém případě může správce uložit přiměřený poplatek nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost dokládá správce.

 

Kontaktní údaje pověřence:

  • Jméno a příjmení: Jan Kaštánek
  • E-mail: kastanek@gdprcze.cz
  • Mobil: (+420) 603 141 041

Východ a západ slunce

Slunce vychází:7:42

Slunce zapadá:16:03