Často kladené dotazy
Odpovědi na často kladené dotazy
1) Na které subjekty ve veřejné a soukromé sféře v České republice se obecné nařízení o ochraně osobních údajů vztahuje a na které se nevztahuje (čl. 2 odst. 2 nařízení)?
Ustanovení čl. 2 odst. 2 obecného nařízení o ochraně osobních údajů neupravuje osobní, ale věcnou působnost nařízení. Množina subjektů v ČR, na které se nařízení vztahuje, je tudíž neuzavřená a nařízení v zásadě bude dopadat na kterýkoli subjekt zabývající se činnostmi z oblasti věcné působnosti nařízení.
Obecné nařízení o ochraně osobních údajů upravuje svou působnost poměrně obecně takto:
-
podle prostředků zpracování:
-
vztahuje se na zpracování prováděné alespoň částečně automatizovaně (např. uložení na CD nebo na cloud), nebo
-
vztahuje se na osobní údaje, které jsou nebo mají být součástí kartotéky či evidence (např. papírová zdravotní karta v kartotéce lékaře a její součásti, nebo úřední spis a jeho části, ale nikoli např. lístek s telefonním číslem a jménem svědka nehody nebo s SPZ vozidla, který nebude zařazen do žádné evidence),
a zároveň
-
podle věcné oblasti, ve které zpracování probíhá:
-
vztahuje se na činnosti, které podléhají právu Unie, kromě:
-
provádění evropské společné zahraniční a bezpečnostní politiky členskými státy (tam by měla Unie přijmout podle čl. 39 Smlouvy o EU jiný předpis, ale zatím tak neučinila),
-
potírání trestné činnosti a ochrany veřejného pořádku a bezpečnosti,
-
-
nevztahuje se na zpracování prováděná fyzickou osobou čistě pro její osobní nebo domácí potřebu (korespondence, adresář, osobní život na sociálních sítích).
Pokud jde o to, co „podléhá právu Unie“, z čl. 4 odst. 2 Smlouvy o EU je jisté, že právu EU nepodléhá oblast „národní bezpečnosti“, tedy oblast ochrany státní suverenity, teritoriální integrity, obrany a zpravodajských služeb.
Není ovšem pochyb, že stejně jako platná směrnice dopadá i nové nařízení na velkou většinu ostatních oblastí, ať již je právo EU substantivně upravuje nebo ne. (V rozsudku C-201/14 Bara použil Soudní dvůr platnou směrnici o ochraně dat na přenos údajů o přiznaných příjmech fyzické osoby od orgánu správy daní k orgánu pro výběr příspěvku na zdravotní pojištění.) To je podtrženo samostatným zakotvením ochrany osobních údajů do článku 16 Smlouvy o fungování Evropské unie.
2) Co lze považovat jednotlivě nebo v souboru za osobní údaj (viz čl. 4 odst. 1 nařízení)?
U definic nedochází k žádnému posunu oproti stávajícímu stavu tak, jak ho zná současný zákon o ochraně osobních údajů a platná směrnice. Stručně lze uvést, že osobním údajem může být jakýkoli údaj o osobě, kterou může správce nebo kdokoli jiný přímo nebo nepřímo ztotožnit.
Definice v obecném nařízení o ochraně osobních údajů je bohatší na příklady, nicméně již definici směrnice 95/46 vykládá Soudní dvůr tak široce, že nelze najít rozdíl.
Jedna věc však je definice osobního údaje a jiná věc je, kdy se na zpracování takového údaje vztahuje obecné nařízení o ochraně osobních údajů. Například poznamenání si určitého údaje pro osobní potřebu není zpracováním osobního údaje podle nařízení.
3) Zakládá se pracovní poměr pověřence „jmenováním“ ve smyslu českého zákoníku práce?
Způsob zřízení funkce pověřence není nařízením limitován na akt jmenování ve smyslu českého zákoníku práce. Právo EU obecně (tedy i předmětné nařízení o ochraně osobních údajů) je třeba vykládat „volněji“ než předpisy vnitrostátní. Aplikace práva EU musí být jednotná ve všech členských státech, což vyžaduje uplatňování autonomní interpretace. To znamená, že pojmům vyskytujících se v unijních předpisech nemůže být automaticky přikládán stejný právní význam, jaký je jim přikládán vnitrostátním právem. Především zahrnuje pojem "jmenování" širší okruh aktů, než jen pracovněprávní úkony. Jedná se spíše o "ustavení" do funkce, což může být uskutečněno i formou služby. Pracovní poměr pověřence však vzniká buď na základě pracovní smlouvy (srov. ust. § 33 odst. 1 zákoníku práce), nebo jmenováním v případě, že plnění úkolů pověřence je spojeno s funkcí vykonávanou v pracovním poměru, který vzniká jmenováním (srov. ust. § 33 odst. 3 zákoníku práce).
4) Je možné, aby pověřenec vykonával své úkoly i na základě dohod o pracích konaných mimo pracovní poměr?
Čl. 37 odst. 6 nařízení stanoví, že pověřenec může být buď "pracovníkem", nebo může plnit své úkoly na základě smlouvy o poskytování služeb. Porovnáním ostatních jazykových verzí čl. 37 odst. 6 nařízení lze dovodit, že pojem "pracovník" je zde použit jako synonymum pojmu "zaměstnanec", kterým se v českém právním prostředí rozumí jak zaměstnanec na základě pracovní smlouvy, tak zaměstnanec na základě dohod o pracích konaných mimo pracovní poměr. Uzavření dohody o pracích konaných mimo pracovní poměr s pověřencem není nařízením výslovně vyloučeno, nicméně obecně nelze doporučit. Nevhodnost daného postupu vyplývá z principu nezávislosti, ze kterého je mj. dovozován i požadavek na stálost funkce pověřence, přičemž u dohod o pracích konaných mimo pracovní poměr není zákoníkem práce stanovena ochrana při skončení pracovněprávního vztahu.
5) Je možné, aby malé obce sdílely pověřence s obcí "vyššího typu", resp. aby pověřence pro obec zajistila obec s rozšířenou působností?
Nařízení nevylučuje, aby více povinných subjektů sdílelo jediného pověřence, a pochopitelně tak není vyloučena ani možnost, aby některé, zejména menší obce, sdílely pověřence např. s obcí s rozšířenou působností. „Sdílením“ je třeba rozumět dobrovolnou spolupráci dvou či více územních samosprávných celků s cílem zajištění pověřence pro všechny tyto spolupracující obce, ke které nemůže být žádná ze stran případné spolupráce nucena. Sdílení pověřence je tedy vždy založeno na dobrovolné bázi a všechny zúčastněné subjekty se při této spolupráci nacházejí v rovnoprávném postavení. V žádném případě tak plnění případné dohody ze strany obce s rozšířenou působností nelze hodnotit jako výkon přenesené působnosti (tedy výkon státní správy).
6) Musí mít školy pověřence pro ochranu osobních údajů?
Podle čl. 37 odst. 1 obecného nařízení o ochraně osobních údajů musí mít správce a zpracovatel pověřence pro ochranu osobních údajů, pokud:
-
zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
-
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
-
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
Školy a školská zařízení je nutné považovat za „orgán veřejné moci“ ve smyslu obecného nařízení s ohledem na skutečnost, že jsou nadány pravomocí rozhodovat o právech a povinnostech osob. Školy tedy pověřence pro ochranu osobních údajů mít musí.
7) Do jaké platové třídy podle katalogu prací zařadit pověřence pro ochranu osobních údajů?
Dne 1. ledna 2018 nabylo účinnosti nařízení vlády č. 399/2017 Sb., kterým se mění nařízení vlády č. 222/2010 Sb., o katalogu prací ve veřejných službách a správě. Do katalogu prací se doplňuje činnost referenta ochrany osobních údajů zahrnující též činnost pověřence pro ochranu osobních údajů, a to (v závislosti na povaze činnosti správce a zpracovatele osobních údajů, u něhož pověřenec působí) do platových tříd v rozmezí od 10. do 13. platové třídy.
8) Co se stane, když obec po stanoveném termínu nebude mít pověřence pro ochranu osobních údajů?
Povinnost orgánů veřejné moci (za něž je nutné považovat i každou obec), které provádějí zpracování osobních údajů, mít pověřence pro ochranu osobních údajů je stanovena obecným nařízením o ochraně osobních údajů. Obecné nařízení se stane přímo účinné a aplikovatelné ve všech státech Evropské unie dne 25. května 2018. Za porušení povinnosti ustanovit pověřence (ale i dalších povinností stanovených v článcích obecného nařízení upravujících činnost pověřence) hrozí povinným subjektům uložení pokuty dozorovým úřadem, kterým je v České republice Úřad pro ochranu osobních údajů. Obecné nařízení stanoví kritéria, která musí být ze strany dozorového úřadu zohledněna při rozhodování o uložení pokuty a její výše, jako je závažnost a délka trvání porušení povinnosti, forma zavinění atd.
9) Týká se obecné nařízení o ochraně osobních údajů též samostatné působnosti obcí nebo jen výkonu státní správy v přenesené působnosti
Pravidla ochrany osobních údajů se dotýkají kteréhokoli subjektu, který zpracovává osobní údaje způsoby, na něž se vztahuje obecné nařízení o ochraně osobních údajů. Obecné nařízení nerozlišuje podle toho, zda je zpracování prováděno v samostatné nebo přenesené působnosti, ale zda jsou zpracovávány osobní údaje ve smyslu definic obecného nařízení. V případě územních samosprávných celků je tudíž nutné dodržovat obecné nařízení jak při výkonu samostatné tak přenesené působnosti.
10) Obce mají na úřední desce dokumenty s osobními údaji. Musí se tyto nyní doplňovat nebo měnit?
Platí, že obecné nařízení o ochraně osobních údajů v zásadě přejímá podstatnou část dosavadních regulace této oblasti. Pokud správce osobních údajů (např. obec) postupuje dnes v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, bude ve většině případů její činnost v souladu i s obecným nařízením. Záleží tedy především na tom, zda obec má pro zveřejnění osobních údajů na úřední desce odpovídající právní základ. Například v doručování veřejnou vyhláškou se nelze vyhnout zveřejnění osobních údajů a obci dokonce takový postup ukládá přímo zákon. Jestliže je tedy veřejná vyhláška v souladu se zákonem a neobsahuje údaje, které nejsou pro daný účel nezbytné, je postup obce též v souladu s obecným nařízením.
11) Proč je zapotřebí adaptace právního řádu na obecné nařízení o ochraně osobních údajů?
Obecné nařízení o ochraně osobních údajů je přímo použitelné. Platí tedy na území členských států Evropské unie, včetně České republiky bezprostředně. K jeho použitelnosti není potřeba, aby byl obsah nařízení převeden do zákona. Je však potřeba provést některé změny v právním řádu, aby byl jako celek s nařízením slučitelný.
Ministerstvo vnitra připravuje vládní návrhy adaptačních zákonů:
-
zákona o zpracování osobních údajů,
-
zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů (tzv. změnový zákon).
Zákon o zpracování osobních údajů toliko přizpůsobí právní řád požadavkům obecného nařízení, včetně povolených výjimek a odchylek. Upraví také postavení Úřadu pro ochranu osobních údajů, přičemž pravděpodobně částečně pozmění jeho organizační strukturu.
Změnový zákon se dotkne úpravy 19 zákonů, jejichž obsah je nutné přizpůsobit některému z výše uvedených evropských předpisů.
Oba návrhy zákonů jsou v současnosti ve fázi vypořádání meziresortního připomínkového řízení.
12) Musejí firmy, které nabízejí školení v oblasti GDPR, být certifikovány? Jakým způsobem najde obec firmu, která má patřičná oprávnění k tomu, aby proškolila zaměstnance obce? Existuje již nějaký seznam těchto firem?
Obecné nařízení o ochraně osobních údajů nestanoví povinnou certifikaci pro školitele (ani pro tzv. pověřence pro ochranu osobních údajů). S ohledem na to ani neexistuje oficiální seznam subjektů, které poskytují vzdělávací akce nebo další služby v oblasti ochrany osobních údajů.
Záleží samozřejmě na rozhodnutí jednotlivých územních samosprávných celků, zda a v jakém rozsahu a kvalitě budou poptávat služby soukromých poskytovatelů. Považujeme však za důležité zdůraznit, že jakkoli pestrá a naléhavá bude nabídka komerčních vzdělávacích akcí, neznamená to, že automaticky existuje u každé obce potřeba takovéto nabídky využívat.
Lze jedině doporučit, aby obec dříve než se rozhodne vydávat finanční prostředky za nákup vzdělávacích akcí, využila bezplatných metodických nástrojů, například metodické podpory Ministerstva vnitra, popřípadě možnosti obracet se na Ministerstvo vnitra či Úřad pro ochranu osobních údajů s dotazy k výkladu obecného nařízení.