GDPR
Vážení občané,
dne 25. května 2018 nabývá účinnosti Nařízení Evropského parlamentu a Rady EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. (dále jen „Nařízení“). Toto Nařízení nahradí doposud platný a účinný zákon č. 101/2000 Sb., o ochraně osobních údajů.
Nařízení má za cíl sjednotit standardy ochrany osobních údajů v zemích Evropské unie a reflektovat nové trendy v oblasti komunikačních a informačních technologií, jejich rozvoj a s ním spojená rizika pro všechny fyzické osoby, které se pohybují v rámci informační společnosti a jejichž osobní údaje jsou v důsledku této sociální aktivity vystaveny nebezpečí zneužití, ztráty či jiné hrozbě.
Nařízení je normou v českém právním prostředí přímo vykonatelnou, a to bez nutnosti jejího začlenění do právního systému ve formě zákona. Počínaje dnem 25. 5. 2018 se tedy obecná pravidla v Nařízení obsažená stanou závaznými pro všechny subjekty vystupující v postavení správců a zpracovatelů osobních údajů, a to nejen v České republice, ale i v celé Evropské unii. Nařízení je textem obecným, předpokládajícím následující vnitrostátní implementaci a konkretizaci, ke které však doposud nedošlo. Prováděcí předpis je již nyní v legislativním procesu. V blízké budoucnosti by měl tento některé otázky spojené s obecnou povahou Nařízení ujasnit, některé aspekty konkretizovat a jiné zcela změnit. Do data účinnosti zákonné implementace je třeba vycházet z Nařízení, která bude platné již od 25. 5. 2018.
Pro jasnější představu o dopadu Nařízení do běžného života, je třeba vymezit především několik základních pojmů:
OSOBNÍM ÚDAJEM je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je přitom každá fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Pod tuto definici lze zařadit celou řada údajů, z nichž některé vás pravděpodobně nepřekvapí (jméno a příjemní, datum narození, adresa...), ale i řada dalších údajů či "nosičů" informací, které nejsou v obecném povědomí zcela zakotveny (fotografické zachycení podoby, videozáznam či audio nahrávka, otisk prstu, IP adresa...). Za osobní údaj pak lze označit např. i opis určitých charakteristik člověka (např. "jednatel společnosti ABC s.r.o." již, sama o sobě, je za určitých okolností způsobilá identifikovat konkrétní osobu).
Nařízení ve svém textu neužívá při kategorizaci názvosloví "osobní údaje" a "citlivé osobní údaje" (tento pojem se dochoval v důvodové části obsažené v úvodu Nařízení), nadále však provádí třídění osobních údajů, přičemž určitá oblast osobních údajů (ty které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby a dále osobních údajů týkajících se dětí) je považována za hodnou zvláštní ochrany a postavenou na roveň údajům doposud hodnoceným jako citlivé.
Nařízení dopadá na veškeré úkony zpracování. ZPRACOVÁNÍM se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
SPRÁVCEM osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
ZPRACOVATELEM osobních údajů je potom fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
S ohledem na šíři těchto definic, jakož i s přihlédnutím k povaze toho, co Nařízení považuje za osobní údaj, je zjevné, že prakticky neexistuje subjekt, který by nebyl správcem či zpracovatelem osobních údajů a tedy plošný dopad tohoto nařízení je prakticky neomezený.
Téměř veškeré činnosti, až na několik výjimek (zpracování osobních údajů ryze soukromého charakteru - v rovině rodiny či přátel, zpracování osobních údajů o zesnulých, kteří již nejsou nositeli práv dle nařízení a zpracování takových osobních údajů, které jsou anonymizované - nepřiřaditelné ke konkrétní osobě a tedy přestávají být "osobními"), jsou tedy předmětem úpravy Nařízení a podléhají jeho režimu.
Rovněž Město Napajedla je, v souladu s Nařízením, správcem (a v některých případech i zpracovatelem) osobních údajů, a je povinno respektovat pravidla, která Nařízení přináší. Tato pravidla aplikuje jak při výkonu samostatné, tak i přenesené působnosti. Řada těchto pravidel a zásad není v českém právu novinkou a již v minulosti byla do procesů městského úřadu řádně implementována, některá však přináší změny zásadní. Valná většina je zavedena za účelem umožnit subjektům údajů (a tedy i Vám občanům) získat zpět kontrolu a přehled nad osobními údaji o Vás, kterými disponují třetí strany.
Stěžejní podmínkou zpracování osobních údajů je zásada zákonnosti každého zpracování, tedy splnění právní normou předpokládaných podmínek, za kterých je možné zpracování, bez ohledu na jeho charakter, provést. Každý správce, Město Napajedla nevyjímaje, smí dle Nařízení zpracovávat osobní údaje v případech kdy:
a) zpracování je nezbytné pro splnění smlouvy,
b) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
c) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů,
d) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
e) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Poslední uvedená podmínka neplatí pro orgány veřejné moci a tedy ani pro Město Napajedla, lze ji však uplatnit v těch případech, kdy Město Napajedla vystupuje v postavení soukromoprávního subjektu - např. v postavení smluvního partnera, či při ochraně svých majetkových zájmů.
Ve všech těchto případech může správce, a tedy i Město Napajedla, zpracovávat osobní údaje bez souhlasu subjektu osobních údajů, za předpokladu, že dodrží ostatní Nařízením stanovené podmínky, z nichž zásadní je zejména zásada transparentnosti zpracování úzce spojená s povinností informovat řádně subjekty údajů o podmínkách, za nichž ke zpracování osobních údajů dochází a zásada vázanosti účelem zpracování, co do charakteru, rozsahu i doby zpracování.
Město Napajedla plní při své činnosti celou řadu právních povinností, které mu ukládají zvláštní právní předpisy. S ohledem na uvedené probíhá většina úkonů zpracování v intencích shora uvedených pod bodem b). V případech, kdy město vstupuje jako partner do smluvních vztahů, je zpracování prováděno na základě zmocnění uvedeného pod bodem a) a ve velmi omezené míře pod bodem e). Ostatní důvody zpracování využívá Město Napajedla jen nahodile nebo vůbec.
Mimo uvedených zmocnění lze zpracování založit i na dalším, posledním důvodu zpracování, kterým je souhlas samotného subjektu údajů. Získání souhlasu je nezbytné tam, kde použití osobních údajů nelze podřadit pod jiný právní důvod shora uvedený. Souhlas musí být získán na základě zcela svobodného rozhodnutí subjektu údajů, který musí toto rozhodnutí činit na základě poskytnutých informací o podstatných skutečnostech se zamýšleným zpracováním souvisejících. Udělený souhlas navíc může být subjektem údajů kdykoliv odvolán. V takovém případě další zpracování osobních údajů nebude možné. S touto formou zpracování se budete v budoucnu setkávat na straně Městského úřadu v Napajedlích např. v těch případech, budete-li si přát, aby s Vámi úřad komunikoval v záležitostech týkajících se probíhajících řízení a jednání formou prostředků elektronické komunikace na dálku, jako je telefon nebo e-mail. Úředníci městského úřadu po Vás budou muset žádat udělení souhlasu s touto formou komunikace, kterou zákon apriori nepředpokládá.
K dosažení ochrany osobních údajů přijalo Město Napajedla celou řadu technických a organizačních opatření, která mu umožní řádně plnit povinnosti vyplývající z Nařízení a zároveň umožní předcházet porušením zabezpečení osobních údajů, která by mohla vést k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Na zdokonalování těchto mechanismů a opatření bude Město Napajedla pracovat i v budoucnu, v návaznosti na vývoj technologií a poznatky získané z vlastní činnosti.
Nařízení zakotvuje ve prospěch subjektů údajů řadu práv, které Město Napajedla respektuje a dodržuje za podmínek Nařízením stanovených. Jedná se zejména o:
a) neomezené právo odvolat udělený souhlas se zpracováním osobních údajů;
b) právo žádat opravu či doplnění zpracovávaných osobních údajů;
c) právo požadovat omezení zpracování;
d) právo vznést námitku či stížnost proti zpracování v určitých případech;
e) právo na přenositelnost osobních údajů v určitých případech;
f) právo na přístup k osobním údajům;
g) právo na informaci o porušení zabezpečení osobních údajů;
h) právo na výmaz osobních údajů v určitých případech;
Uplatňování těchto práv stejně jako podněty a připomínky k ochraně osobních údajů mohou veškeré subjekty údajů adresovat Městskému úřadu v Napajedlích, a to prostřednictvím za tím účelem zvlášť zřízené e-mailové adresy gdpr@napajedla.cz, prostřednictvím podatelny úřadu a to i korespondenčně na adresu úřadu, případně prostřednictvím za tím účelem jmenovaného pověřence.
Pověřenec pro ochranu osobních údajů
Jednou z povinností, které stanoví Nařízení všem orgánům veřejné moci (ust. čl. 37 Nařízení) je jmenování pověřence pro ochranu osobních údajů. Tato osoba má za úkol poskytovat správci součinnost a odborné poradenství, spolupracovat při provádění kontrol dodržování opatření k ochraně osobních údajů a komunikovat jménem správce se subjekty údajů a Úřadem pro ochranu osobních údajů.
Město Napajedla, vázané shora uvedeným ustanovením, splnilo tuto povinnost, když do funkce pověřence pro ochranu osobních údajů jmenovalo:
- Mgr. Michala Šrubaře, advokáta
- tel. 725 492 476
- poverenec@sk-ak.cz
V souladu s Nařízením se tak můžete od účinnosti nařízení obracet se svými požadavky i na tuto osobu.
Více informací:
celý text Nařízení: https://tinyurl.com/zp3w6fw
web Úřadu pro ochranu osobních údajů: https://tinyurl.com/y74tx9lt
stanoviska Ministerstva vnitra České republiky k Nařízení: http://www.mvcr.cz/gdpr/
