T-linka 36/2017

Citát týdne

Motivace začíná touhou. Když něco chceš, máš motiv to získat.
Denis Waitley

GDPR
Sběr podkladů pro datovou analýzu

Prvním krokem (a současně jedním z nejdůležitějších) při přípravě na Implementaci GDPR do praxe úřadu je sběr informací o zpracování osobních údajů od relevantních zaměstnanců. Pokud nemá úřad kompletně popsané (a v ideálním případě i zmapované) procesy, představuje tato cesta nejsnazší způsob, jak získat podklady pro analýzu rizik ohrožujících osobní údaje a návrh nejvhodnějších protiopatření.

Zpracování osobních údajů je nutné mít pod kontrolou. Zhruba tak by se do jedné krátké věty dala shrnout podstata Nařízení Evropského parlamentu 2016/679 o ochraně osobních údajů, pro kterou se používá tolik oblíbená zkratka GDPR. Jenže jak toho dosáhnout bez detailního rozboru všech procesů a následného vyhledání všech situací, v jejichž rámci dochází ke zpracování osobních údajů? Řešení existuje a překvapivě není nijak složité. Stačí od všech zaměstnanců úřadu, kteří zpracovávají osobní údaje, získat potřebné podklady, identifikovat rizika a navrhnout nejvhodnější způsob jejich řešení.

Proč to všechno?

Nařízení (EU) 2016/679 o ochraně osobních údajů (GDPR) začne platit 25. května 2018 (součástí unijní legislativy je pro zajímavost od 24. května 2016). Právě k tomuto datu by měly všechny organizace působící na území EU zavést opatření směřující k ochraně osobních údajů dle pravidel GDPR. A to mimo jiné znamená, že do té doby musí získat dokonalý přehled o všech činnostech zpracování osobních údajů, navrhnout a zavést opatření k jejich ochraně, vyškolit pracovníky, kteří s osobními údaji přicházejí do styku a připravit se na nová práva držitelů osobních údajů, respektive novinky, které Nařízení zavádí. (Ano, vyšší sankce za porušení pravidel GDPR nejsou ani zdaleka jedinou změnou, kterou Nařízení zavádí. Právě naopak…)

Nová práva Subjektů údajů

GDPR do unijní legislativy zavádí nová práva těch, jejichž osobní údaje se zpracovávají. Když už nic jiného, tak Subjekty údajů (fyzické osoby) získají jednodušší přístup k informacím o zpracování jejich osobních údajů. Nařízení vysloveně říká, že Subjekty údajů mají právo získat přístup k informacím jednoduchým a srozumitelným způsobem. Pokud nebudete vědět, kdo, jak a proč zpracovává osobní údaje, nemůžete požadavek dost dobře splnit. A že se najdou lidé, kteří si o informace požádají, o tom asi nepochybují ani ti největší optimisti.

Informacemi o zpracování však nová práva nekončí. Subjekty údajů si mohou také požádat o výmaz zpracovávaných údajů, případně o omezení zpracování. Jistě, v případě městských a obecních úřadů jim to nebude moc platné, protože se údaje - až na výjimky - zpracovávají ze zákona. Nicméně, tuto skutečnost musíte mít potvrzenou a někde zaznamenanou. Na požadavek se musí reagovat v rozumné době.

Pravidla, opatření, osvěta

Kromě výše zmiňovaných novinek zavádí Nařízení také další povinnosti. Patří mezi ně i zpracování pravidel a opatření, která efektivně minimalizují popsaná rizika ohrožující zpracování osobních údajů, respektive osobní údaje. Tyto změny je navíc nezbytné prokazatelně předat zaměstnancům - ideálně formou školení. Jen tak totiž bude možné prokázat, že úřad splnil to, co mu GDPR stanovuje.

Pověřenec získá přehled

Dalším důvodem pro kompletní zmapování zpracování osobních údajů je prostý přehled o všech událostech a situacích, které se týkají osobních údajů. Tím, kdo přehled ocení, je především Pověřenec pro ochranu osobních údajů. Pracovníka na tuto pozici musí jmenovat každý úřad. A vzhledem k tomu, že Pověřenec mimo jiné zajišťuje podporu pracovníkům, kteří osobní údaje zpracovávají a vyjadřuje se také k některým dokumentům, musí mít velmi dobrý přehled.

Osobní údaje jsou téměř všude

Městské a obecní úřady zpracovávají osobní údaje skutečně ve velkém množství. Dokonce by se dalo říct, že neexistují procesy, které by nezahrnovaly zpracování osobních údajů alespoň v malém množství. Získat přehled o všem činnostech zpracování proto není úplně jednoduché. Přesto věříme, že lze tuto etapu přípravy zvládnout téměř výhradně vlastními silami. Stačí zvolit správný přístup a dostatečně vysvětlit zaměstnancům, proč mají svůj čas věnovat mimopracovní činnosti.

Doporučujeme k přečtení

Za loňským přebytkem státního rozpočtu téměř 62 miliard korun stojí i faktory, které nelze hodnotit pozitivně. Jde hlavně o nízké investice státu. Stát nesplnil ty úkoly, s nimiž se v rozpočtu počítalo. Uvedl to prezident Nejvyššího kontrolního úřadu Miloslav Kala ve stanovisku NKÚ k loňskému státnímu závěrečnému účtu. NKÚ například uvádí, že podíl běžných výdajů na celkových výdajích rozpočtu byl loni nejvyšší za posledních 14 let, naproti tomu čerpání peněz na investice bylo nejnižší za posledních deset let. [E15, 2. 9. 2017]

Majetková přiznání politiků a dalších veřejných funkcionářů hned po vstupu do úřadu zavádí novela zákona o střetu zájmů, která v pátek nabývá účinnosti. Dosud je podávali průběžně jednou za rok bez vstupních dat. Přiznávat majetek jich nově bude muset víc než dřív. Jmény se tak začne plnit nový centrální registr oznámení o střetu zájmů. Část normy přezdívané lex Babiš, která omezuje možnost podnikání členům vlády, platí od 9. února. [Týden, 1. 9. 2017]

V pátek 1. září vstoupila v platnost novela zákona o pohřebnictví i její prováděcí právní předpisy, které vypracovalo Ministerstvo pro místní rozvoj. Ministryně Karla Šlechtová prosadila více práv pro vypravitele pohřbu a nájemce hrobových míst a také větší postihy za nekalé praktiky. [MMR, 31. 8. 2017]

Dnem 1. září nabyla účinnosti novelizovaný zákon o střetu zájmů (zákon č. 14/2017 Sb.). Sdružení místních samospráv ČR zpracovalo souhrn nových povinností, které novela přináší pro obce. [SMS ČR, 31. 8. 2017]

Devět českých měst vstoupilo do prestižního klubu 6 681 světových měst a obcí, jejichž zástupci se zavázali podílet se na zmírňování negativních dopadů změn klimatu. K takzvanému Paktu starostů a primátorů pro klima a energii (Covenant of Mayors for Climate & Energy) se připojilo konkrétně Hlinsko, Jeseník, Liberec, Litoměřice, Lkáň, Mezilesí, Ostrava, Písek a Praha. [Týden, 30. 8. 2017]

Workshop
Implementace GDPR do praxe úřadu

Termín platnosti Nařízení (EU) 2016/679 o ochraně osobních údajů se kvapem blíží a je třeba se začít naplno věnovat přípravám na Implementaci GDPR do praxe vašeho úřadu.

Ti, kteří se zúčastnili našich školení, mohou využít pracovní podklady, které od nás obdrželi. Z vlastní praxe však víme, že získat potřebné informace o zpracování osobních údajů vyžaduje řádné proškolení jednotlivých zaměstnanců a jejich následnou podporu. A to není snadné. Kvalitní podklady však výrazně zjednodušují identifikaci rizik pro osobní údaje a zrychlují celý proces datové analýzy.

Pro ty z vás, kteří hledají cesty, jak se na zavedení GDPR připravit co nejlépe, jsme připravili sérii praktických workshopů zaměřených na jednotlivé etapy přípravy a implementace GDPR. V termínech 13. 9. 2017 (Praha)20. 9. 2017 (Ostrava) se zaměříme na první (a nutno dodat, že jednu z nejdůležitějších) etapu - sběr podkladů od jednotlivých zpracovatelů osobních údajů.

Účastnický poplatek činí 600 Kč za osobu.

Poznámka: Tento materiál je informačním produktem. Za jakékoli použití informací z tohoto materiálu  nenese autor žádnou odpovědnost. Tyto informace jsou pouze doporučením a vyjádřením názoru k této tématice. Nepřísluší nám autoritativně vykládat právní předpisy. Jediným, kdo tak může učinit v jednotlivých příkladech je soud při řešení konkrétního případu. V textu mohou být použity odkazy či parafrázovány citace z judikatur, odborných článků, prací, knih apod. třetích osob, které jsou veřejně dostupné.​​