GDPR a města
Home ― Služby ― IT Consulting ― GDPR ― GDPR a města
O službě
GDPR na městských úřadech
Dle evropského nařízení GDPR se povinnost chránit osobní údaje subjektů vztahuje i na obce. Města a obce jsou správci velkého množství osobních údajů a je třeba, aby GDPR nepodceňovali. Pomůžeme vám zůstat v souladu s nařízením GDPR, zeefektivnit jeho vykonávání a zajistit bezpečnost zpracovávaných dat.
Video
Specifika GDPR na městských úřadech
Úřady jsou řízeny podle zvláštních právních předpisů a proto se u nich na řadu oblastí GDPR nevztahuje v plné výši. Povinností je však např. zajištění pověřence pro ochranu osobních údajů. Podstatné jsou pak právě ty oblasti, které zvláštním právním předpisům nepodléhají – např. knihovny a jiné služby, třeba sms info. Specifikem je také profilování osob za účelem určení nároku na různé sociální podpory apod.
rychlý přístup:
Jak?
Jak se připravit na GDPR?
Co?
Služby a technologie v souladu s bezpečnostními požadavky nařízení GDPR
Máte otázku?
OÚ
Osobní údaje na MÚ
Osobní údaje, které městské úřady spravují lze v zásadě rozdělit do dvou skupin:
- Osobní údaje občanů
- Osobní údaje zaměstnanců města
Osobní údaje občanů
Městské úřady spravují velké množství osobních údajů svých občanů.
Při analýze osobních údajů je třeba se ptát:
- Jaké osobní údaje shromažďujeme
Kde se osobní údaje nachází
K jakým účelům se osobní údaje využívají - Jak jsou osobní data zabezpečena
- Jak jsou nastavena procesní pravidla pro zpracování a předávání osobních dat
Vždy je na místě se ptát, jestli dané osobní údaje vůbec potřebujeme zpracovávat, pokud tato nutnost není, neměli bychom nepotřebná data skartovat a nadále je neshromažďovat.
Musíme rozeznávat, jaký důvod máme ke zpracování osobních údajů:
- Pro zpracování máme jako město zákonný důvod.
Většina zpracování osobních informacích na městských úřadech bude k naplnění zákonné povinnosti. Zpracování některých osobních informací ukládá například zákon č. 563/1991 Sb. o účetnictví, zákon 89/2012 Sb. o obcích, zákon č. 89/2012 Sb. občanský zákoník, a mnoho dalších. Konkrétně můžeme jmenovat například účely jako evidence smluv, správní rozhodování obce, ekonomické agendy, evidence psů, seznamy pro řízení školy a zajištění potřebných míst a další.V takovém případě souhlas ke zpracování osobních údajů nepotřebujeme.
- Pro zpracování nemáme jako město zákonný důvod.
V tomto případě se jedná například o zasílání informačních SMS zpráv, poskytování bezplatné obecní wi-fi, info ostrůvky města, zveřejňování fotografií z vítání občánků.V takovém případě jsou souhlasy k zpracování osobních údajů zapotřebí.
Osobní údaje zaměstnanců
Osobní údaje zaměstnanců školy jsou neméně důležité a neměli bychom na jejich ochranu zapomínat.
Opět je na místě se ptát, zda všechny osobní údaje, které o svých zaměstnancích máme nezbytně potřebujeme. Dále se opět pídíme po účelu zpracování osobních údajů.
- Pro zpracování má škola jako zaměstnavatel zákonný důvod.
Osobní údaje potřebujeme pro pracovní smlouvu, účetnictví, pojištění atd., povinnost zpracovávat osobní údaje nám ukládá nějaký zákon.K takovému zpracování souhlas nepotřebujeme.
- Pro zpracování nemá město jako zaměstnavatel zákonný důvod.
V tomto případě se bude jednat například o zveřejňování osobních kontaktů na webu, zveřejňování nahrávek a fotografií zaměstnanců, vstupní formulář zaměstnance, ukazatel přítomnosti úředníka na webu (zelená tečka),…K takovému zpracování souhlas potřebujeme.
Specifika
Specifika městských úřadů
Město jako zřizovatel
Jako MÚ nesmíme zapomínat ani na organizace, spolky a další instituce, jejichž jsme zřizovatelem. I v těchto oblastech se zpracovávají osobní informace, ať už ze zákonného důvodu či nikoli, a je třeba aby město dohlédlo na řešení GDPR a soulad s tímto nařízením.
Revize souhlasů a smluv
Pro soulad s GDPR bude nutné také revidovat smlouvy a souhlasy se z pracovním osobních údajů, většina z nich nebude požadavkům GDPR vyhovovat, proto je třeba všechny revidovat a nahradit ve znění, které je v souladu s GDPR.
GDPR celkem přesně definuje, jak by měl souhlas se zpracování osobních údajů vypadat. Souhlas musí být srozumitelný, v jednoduchém mateřském jazyce, jednoznačný, časově omezený, musí být samostatně vyjmenovány účely, pro které je souhlas udělován a musí být oddělen od všech smluv. Udělení souhlasu nesmí být ničím podmíněno.
GDPR ukládá správci povinnost zabezpečit osobní data subjektů i v případě poskytnutí těchto údajů třetím stranám, proto je třeba externí zpracovatele (účetní firma, správci IT infrastruktury, úklidové firmy, zahradnické služby, technické služby, …) prověřit z hlediska zabezpečení, nastavit pravidla pro zpracování a zabezpečení v případě nevyhovujících bezpečnostních opatření a nechuti revize smlouvy od takovéto smlouvy odstoupit.
Pověřenec pro ochranu osobních údajů
Kde Pověřence najdete?
Pověřencem pro ochranu osobních údajů může být jak externista, tak vlastní zaměstnanec. Pokud se rozhodnete vybrat Pověřence z řad zaměstnanců, musíte dbát na to, aby zaměstnanec v rámci svého pracovního zařazení nezpracovával osobní údaje, což může být v případě městských a obecních úřadů problém. Nesmíme ani zapomínat na to, že osoba vybraná na pozici Pověřence musí být k této práci kompetentní a musí se v problematice GDPR dále vzdělávat. Pověřence Externistu Vám můžeme poskytnout i my na přiměřeně dlouhou pracovní dobu. Důležité je, aby Pověřenec byla jedna fyzická osoba, jejíž jméno a kontakt bude veřejný a lehko dohledatelný pro veřejnost (např. na webu města, úřední vývěsky,…). GDPR umožňuje jmenovat jednoho pověřence pro více menších měst nebo obcí. Města mohou své pověřence také zprostředkovat svým organizacím, u kterých jsou zřizovatelem.