GDPR a města

Správné zpracování osobních údajů občanů a zaměstnanců úřadů

Home ― Služby ― IT Consulting ― GDPR ― GDPR a města

O službě

GDPR na městských úřadech

Dle evropského nařízení GDPR se povinnost chránit osobní údaje subjektů vztahuje i na obce. Města a obce jsou správci velkého množství osobních údajů a je třeba, aby GDPR nepodceňovali. Pomůžeme vám zůstat v souladu s nařízením GDPR, zeefektivnit jeho vykonávání a zajistit bezpečnost zpracovávaných dat.

Video

Specifika GDPR na městských úřadech

Úřady jsou řízeny podle zvláštních právních předpisů a proto se u nich na řadu oblastí GDPR nevztahuje v plné výši. Povinností je však např. zajištění pověřence pro ochranu osobních údajů. Podstatné jsou pak právě ty oblasti, které zvláštním právním předpisům nepodléhají – např. knihovny a jiné služby, třeba sms info. Specifikem je také profilování osob za účelem určení nároku na různé sociální podpory apod.

rychlý přístup:

Jak?

Jak se připravit na GDPR?

0 0

Seznámení se s GDPR

0 0

Úvodní analýza

0 0

Pověřenec pro ochranu osobních údajů (DPO)

0 0

Analýza jednotlivých zpracování OÚ

0 0

Implementace opatření u každého zpracování

0 0

Stanovení / úprava interních procesů zpracování OÚ a souvisejících dokumentů

0 0

Zavedení technických opatření

0 0

Školení zaměstnanců – směrnice, procesy a nové technologie zavedené pro zabezpečení OÚ

Co?

Služby a technologie v souladu s bezpečnostními požadavky nařízení GDPR

Máte otázku?

OÚ

Osobní údaje na MÚ

Osobní údaje, které městské úřady spravují lze v zásadě rozdělit do dvou skupin:

Osobní údaje občanů
Osobní údaje zaměstnanců města

Osobní údaje občanů

Městské úřady spravují velké množství osobních údajů svých občanů.

Při analýze osobních údajů je třeba se ptát:

Jaké osobní údaje shromažďujeme
Kde se osobní údaje nachází
K jakým účelům se osobní údaje využívají
Jak jsou osobní data zabezpečena
Jak jsou nastavena procesní pravidla pro zpracování a předávání osobních dat

Vždy je na místě se ptát, jestli dané osobní údaje vůbec potřebujeme zpracovávat, pokud tato nutnost není, neměli bychom nepotřebná data skartovat a nadále je neshromažďovat.

Musíme rozeznávat, jaký důvod máme ke zpracování osobních údajů:

Pro zpracování máme jako město zákonný důvod.
Většina zpracování osobních informacích na městských úřadech bude k naplnění zákonné povinnosti. Zpracování některých osobních informací ukládá například zákon č. 563/1991 Sb. o účetnictví, zákon 89/2012 Sb. o obcích, zákon č. 89/2012 Sb. občanský zákoník, a mnoho dalších. Konkrétně můžeme jmenovat například účely jako evidence smluv, správní rozhodování obce, ekonomické agendy, evidence psů, seznamy pro řízení školy a zajištění potřebných míst a další.
V takovém případě souhlas ke zpracování osobních údajů nepotřebujeme.
Pro zpracování nemáme jako město zákonný důvod.
V tomto případě se jedná například o zasílání informačních SMS zpráv, poskytování bezplatné obecní wi-fi, info ostrůvky města, zveřejňování fotografií z vítání občánků.
V takovém případě jsou souhlasy k zpracování osobních údajů zapotřebí.

Osobní údaje zaměstnanců

Osobní údaje zaměstnanců školy jsou neméně důležité a neměli bychom na jejich ochranu zapomínat.
Opět je na místě se ptát, zda všechny osobní údaje, které o svých zaměstnancích máme nezbytně potřebujeme. Dále se opět pídíme po účelu zpracování osobních údajů.

Pro zpracování má škola jako zaměstnavatel zákonný důvod.
Osobní údaje potřebujeme pro pracovní smlouvu, účetnictví, pojištění atd., povinnost zpracovávat osobní údaje nám ukládá nějaký zákon.
K takovému zpracování souhlas nepotřebujeme.
Pro zpracování nemá město jako zaměstnavatel zákonný důvod.
V tomto případě se bude jednat například o zveřejňování osobních kontaktů na webu, zveřejňování nahrávek a fotografií zaměstnanců, vstupní formulář zaměstnance, ukazatel přítomnosti úředníka na webu (zelená tečka),…
K takovému zpracování souhlas potřebujeme.

Specifika

Specifika městských úřadů

Město jako zřizovatel

Jako MÚ nesmíme zapomínat ani na organizace, spolky a další instituce, jejichž jsme zřizovatelem. I v těchto oblastech se zpracovávají osobní informace, ať už ze zákonného důvodu či nikoli, a je třeba aby město dohlédlo na řešení GDPR a soulad s tímto nařízením.

Revize souhlasů a smluv

Pro soulad s GDPR bude nutné také revidovat smlouvy a souhlasy se z pracovním osobních údajů, většina z nich nebude požadavkům GDPR vyhovovat, proto je třeba všechny revidovat a nahradit ve znění, které je v souladu s GDPR.

GDPR celkem přesně definuje, jak by měl souhlas se zpracování osobních údajů vypadat. Souhlas musí být srozumitelný, v jednoduchém mateřském jazyce, jednoznačný, časově omezený, musí být samostatně vyjmenovány účely, pro které je souhlas udělován a musí být oddělen od všech smluv. Udělení souhlasu nesmí být ničím podmíněno.

GDPR ukládá správci povinnost zabezpečit osobní data subjektů i v případě poskytnutí těchto údajů třetím stranám, proto je třeba externí zpracovatele (účetní firma, správci IT infrastruktury, úklidové firmy, zahradnické služby, technické služby, …) prověřit z hlediska zabezpečení, nastavit pravidla pro zpracování a zabezpečení v případě nevyhovujících bezpečnostních opatření a nechuti revize smlouvy od takovéto smlouvy odstoupit.

Pověřenec pro ochranu osobních údajů

Města a obce mají povinnost bez výjimky zajistit Pověřence pro ochranu osobních údajů (DPO), jelikož jsou orgánem veřejné moci a těm GDPR jmenování pověřence nařizuje bez výjimky. Pověřenec musí být nezávislým garantem správného nakládání s OÚ a prostředníkem pro komunikaci s Úřadem pro ochranu osobních údajů či veřejností (případným stěžovatelem).

Kde Pověřence najdete?

Pověřencem pro ochranu osobních údajů může být jak externista, tak vlastní zaměstnanec. Pokud se rozhodnete vybrat Pověřence z řad zaměstnanců, musíte dbát na to, aby zaměstnanec v rámci svého pracovního zařazení nezpracovával osobní údaje, což může být v případě městských a obecních úřadů problém. Nesmíme ani zapomínat na to, že osoba vybraná na pozici Pověřence musí být k této práci kompetentní a musí se v problematice GDPR dále vzdělávat. Pověřence Externistu Vám můžeme poskytnout i my na přiměřeně dlouhou pracovní dobu. Důležité je, aby Pověřenec byla jedna fyzická osoba, jejíž jméno a kontakt bude veřejný a lehko dohledatelný pro veřejnost (např. na webu města, úřední vývěsky,…). GDPR umožňuje jmenovat jednoho pověřence pro více menších měst nebo obcí. Města mohou své pověřence také zprostředkovat svým organizacím, u kterých jsou zřizovatelem.

Dotazy

Nejčastější dotazy

Obec má Službu první pomoci (najímá lékaře pro tuto službu), podléhá toto jako služba města GDPR.

Ano, budete to muset řešit.

Kolik budeme potřebovat pověřenců, jednoho nebo dva?

Záleží od případu pro malé obce může jeden člověk být sdíleným pověřencem třeba pro dvacet obcí. Samozřejmě jeden člověk nezvládne být pověřencem v několika velkých firmách např ČSOB, O2, VZP, tam bude třeba celý tým lidí.

Kdo může být Pověřencem pro ochranu osobních údajů? Může to být například vedoucí pracovník IT oddělení?

Vedoucí IT oddělení určitě NE. Nikdo kdo s osobními údaji pracuje a má to v popisu práce nesmí být Pověřencem. Vedení musí být přímým nadřízeným Pověřence. Musí mít právní povědomí o GDPR, prozatím se chystá nějaký vzdělávací cyklus pro pověřence, ale prozatím není žádná certifikace a žádná omezen nejsou.

Jak se řeší souhlasy s webkamery v obci?

Pokud reálně poznám, kdo na záznamu je, jestli je auto na mém parkovacím místě nebo nahrávka obsahuje podobné osobní údaje, podle kterých lze osobu identifikovat, je možné webkamery mít, ale musíte mít souhlas pro publikování na webu. Pokud je to pro zabezpečení obecních prostor bez zveřejnění, souhlas nemusí být, musíte pouze zajistit viditelné upozornění na monitorování prostor.

MÚ vyžaduje, abychom měli na dveřích cedulku u lékaře, když opouštíme svoji kancelář a odcházíme k lékaři. Je to dle GDPR v pořádku?

Rozhodně ne, pokud jste nepodepsali souhlas, nesmí zaměstnavatel o vás zveřejňovat takovéto informace.

Neměla by být při udělování sankce zohledněna velikost obce?

Ano, samozřejmě malá obec s malým počtem obyvatel nedostane stejnou pokutu, jakou by dostala Praha, dopad úniku dat je v tomto případě menší, proto i sankce by měla být nižší.

Objevujte

Více o nás

Novinky

Naše nejčerstvější úspěchy a aktivity

Časopis Login

Náš časopis o nás a zkušenostech v IT

Milujete tipy?

Přinášíme pravidelné užitečné videotipy ze světa IT

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
NSC_ESNS	past	This cookie is set by the provider Netscaler load balancing service from Citrix. This cookie is used for ensuring traffic and user data is routed to the correct location where a site is hosted on multiple servers, inorder to get a consistent experience for the end user.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-26032567-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
leady_session_id	session	No description available.

Cookie	Duration	Description
c	16 years 25 days 13 hours 24 minutes	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

GDPR a města

O službě

GDPR na městských úřadech

Video

Specifika GDPR na městských úřadech

rychlý přístup:

Jak?

Jak se připravit na GDPR?

Co?

Služby a technologie v souladu s bezpečnostními požadavky nařízení GDPR

netSpace

Citrix

Forcepoint

Bitdefender

Kernun

Quest

Flowmon

Igel

Máte otázku?

OÚ

Osobní údaje na MÚ

Osobní údaje občanů

Osobní údaje zaměstnanců

Speci­fika

Specifika městských úřadů

Město jako zřizovatel

Revize souhlasů a smluv

Pověřenec pro ochranu osobních údajů

Kde Pověřence najdete?

Dotazy

Nejčastější dotazy

Obje­vujte

Více o nás

Novinky

Časopis Login

Milujete tipy?

Spojme se

Ptejte se. Nechte nám vzkaz.

Ing. Petr Nepustil

IT Konzultant

Rychlý kontakt

Informace o cookies

Specifika

Objevujte