Obce a města se musí připravit na další povinnosti, které na ně v příštím roce dopadnou. Tou nejzásadnější zřejmě bude Nařízení evropského parlamentu o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů známé pod zkratkou GDPR. Ministerstvo vnitra ČR, které řídí výkon veřejné správy v České republice, připravuje manuál, jenž by měl představitelům samospráv pomoci orientovat se v nových povinnostech.
Silnější pravidla ochrany údajů od května 2018 budou podle Evropské komise znamenat, že občané získávají větší kontrolu nad svými údaji a podniky mají prospěch z rovných podmínek. Komise si slibuje jeden soubor pravidel pro všechny společnosti působící v EU, ať sídlí kdekoliv.
Podle experta na certifikaci a legislativu a člena meziresortní pracovní komise GDPR Petra Maličovského ze společnosti URS Holdings se Česká republika připravuje, ale lze jen stěží odhadnout, jestli tempo příprav bude stačit a stihne se termín 25. května 2018. „Je třeba také upozornit, že v případě, pokud nebude ochrana osobních údajů k tomuto datu v ČR v souladu s nařízením GDPR, hrozí velké sankce až v řádech desítek milionů EUR. A to jak státním institucím, tak samozřejmě i firmám,“ míní Maličovský.
Právě to, že se nová pravidla, které obsahuje Obecné nařízení dotknou také měst a obcí vzbuzuje mezi jejich zástupci obavy. Ty ostatně zazněly na květnovém sněmu Svazu měst a obcí. Tehdy nepřítomného ministra Milana Chovance zastupoval náměstek Petr Mlsna, který přítomné uklidňoval s tím, že na pravidlech pro samosprávy vnitro pracuje a že se nové povinnosti zdaleka nebudou týkat všech.
„Diskutované novinky, jako je mj. právo na výmaz osobních údajů a právo na přenositelnost údajů se u samospráv projeví minimálně, neboť ke zpracování osobních údajů dochází převážně na základě zákona, tato ustanovení jsou primárně svým účelem zaměřena na podnikatele,“ Ondřej Krátoška
Podle legislativního plánu (str. 14 -pozn. red.) má Ministerstvo vnitra předložit adaptační novelu českého zákona o ochraně osobních údajů na Obecné nařízení o ochraně osobních údajů č. 2016/679 (EU) do konce srpna tohoto roku. Spolugarantem této novely je Úřad pro ochranu osobních údajů (ÚOOÚ).
Experti ministerstva vnitra zároveň pracují na manuálu pro obce a města, který by přehledně vysvětlil, jaké změny musí být přijaty, aby byla ochrana dat občanů v souladu s přáním Evropské komise. Náměstek Mlsna i další představitelé Vnitra i ÚOOÚ však paniku, která se mezi vedením zejména menších obcí šíří, mírní. „Vzhledem k tomu, že všechny úřady zpracovávají osobní údaje, většinou v rámci své úřední agendy, ale vždy alespoň osobní údaje o svých zaměstnancích, je nutno vycházet z toho, že se na ně pravidla o ochraně těchto údajů vztahují a vztahovat budou. Diskutované novinky, jako je mj. právo na výmaz osobních údajů a právo na přenositelnost údajů se u samospráv projeví minimálně, neboť ke zpracování osobních údajů dochází převážně na základě zákona, tato ustanovení jsou primárně svým účelem zaměřena na podnikatele,“ vysvětluje mluvčí ministerstva vnitra Ondřej Krátoška.
Podle něj je Obecné nařízení o ochraně osobních údajů přímo použitelný předpis Evropské unie. Novelou zákona o ochraně osobních údajů dojde ke zrušení většiny hmotněprávních ustanovení. Kromě nového nastavení fungování Úřadu pro ochranu osobních údajů se upravuje udělování certifikací (Český institut pro akreditaci), zvláštní ustanovení pro výkon svobody projevu a různá podpůrná překlenovací nebo vyjasňovací ustanovení zejména pro veřejný sektor. V zákoně zůstanou i doplňkové sankce pro vynucení vnitrostátních zákazů.
Právě o návrzích na zrušení hmotněprávních ustanovení a dalších podrobnostech pravidelně jedná Pracovní skupina k legislativě v oblasti ochrany osobních údajů při Úřadu vlády, v níž zasedají nejen zástupci ministerstev a Úřadu pro ochranu osobních údajů, ale také podnikatelé a jejich sdružení – například Svaz průmyslu a dopravy (SP ČR). Na konci srpna se skupina sešla již poosmé.
Zástupci národní pracovní skupiny zároveň řeší s evropskou pracovní skupinou (WP 29) sporné či nejasné otázky. Naposledy se například probíralo i to, zda do kategorie zranitelných osob (ohledně citlivosti osobních údajů – pozn. red.) spadají i zaměstnanci, či nikoliv. Právě u skupiny zranitelných osob by se podle výkladu WP 29 měl vytvářet proces hodnocení dopadů na ochranu osobních údajů (DPIA). Podle stanoviska SP ČR je nepřijatelné, aby právě zaměstnanci byli zahrnuti do této skupiny, u nichž by se muselo DPIA provádět. „Z našeho pohledu je rizikové zahrnutí zaměstnanců mezi zranitelné skupiny – pro správce údajů je pak práce s jejich osobními údaji nesmírně ztížena. Zařazení zaměstnanců mezi zranitelné skupiny zvyšuje náklady na implementaci GDPR, zejména pro malé a střední podniky. Tento požadavek pro zpracování DPIA by proto měl být upřesněn,“ míní zástupci Svazu průmyslu a dopravy.
„Zástupci Evropské komise také jako hosté pracovní skupiny všechny ujistili, že EK a komisařka Věra Jourová se implementací GDPR intenzivně zabývají, setkávají se s členskými státy a věnují se jejich vstupům, dotazům a komentářům. EK pořádá také mnoho bilaterálních jednání s firmami a organizuje kulaté stoly s podnikatelským sektorem. Zástupci EK vyzvali firmy, aby konzultovaly nadnárodní asociace a aby tak zajistily, že jejich hlas bude v konzultacích slyšet,“ uvedl jeden z členů pracovní skupiny Petr Maličovský.
Pokud chcete vědět více o problematice GDPR, sledujte stránky Úřadu pro ochranu osobních údajů věnované právě GDPR. Tématu se budeme věnovat také v následujících týdnech a měsících.
Jiří Reichl