Přehled novinek z oblasti GDPR pro obce

Předávání osobních údajů přijímaných prvňáčků mezi zřizovatelem (obcí) a školou

Proces přijímacího řízení je souborem úkolů vyplývajících ze zákona č. 561/2004 Sb., školský zákon, a prováděcí vyhlášky č. 48/2005 Sb., o základním vzdělávání a některých náležitostech plnění povinné školní docházky, na kterém se podílí jak obec, tak i škola. Dle ustanovení § 36 odst. 8 školského zákona, obecní úřad obce, na jejímž území je školský obvod základní školy, poskytuje této škole s dostatečným předstihem před termínem zápisu k povinné školní docházce seznam dětí, pro které je tato škola spádová a jichž se týká povinnost podle odstavce 4 (pozn. přihlásit dítě k povinné školní docházce). Seznam obsahuje vždy jméno, popřípadě jména, a příjmení, datum narození a adresu místa trvalého pobytu dítěte, v případě cizince místo pobytu dítěte.

Pokud je dítě přijato na jinou než spádovou školu, oznámí ředitel této školy tuto skutečnost řediteli školy spádové, a to nejpozději do konce května kalendářního roku, v němž má dítě zahájit povinnou školní docházku. Pokud ředitel školy zjistí, že některé ze spádových dětí nebylo zapsáno na žádnou školu, nastává mu oznamovací povinnost vůči příslušnému OSPOD.

Upozorňujeme tedy na skutečnost, že obec je oprávněna (povinna) předat osobní údaje dětí škole, ale škola již nemá oprávnění předávat obci zpět informace o přijatých dětech.

Pokud zřizovatel provozuje informační systém k přijímání prvňáčků, není oprávněn do této evidence nahlížet. Zřizovatel je navíc povinen uzavřít zpracovatelskou smlouvu s případným provozovatelem takového systému.

 

Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance

Zaměstnavatel (obec) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:

  • Zveřejněná informace o možnosti zasílat motivační dopisy a životopisy na danou pracovní pozici musí obsahovat konkrétní kontakt pro zaslání těchto dokumentů (nemělo by se tedy jednat o obecnou adresu přístupnou několika zaměstnancům) a dále musí obsahovat poučení o tom, jak budou chráněny osobní údaje uchazeče / potenciálního zaměstnance, které zaměstnavatel ve výběrovém řízení získá.
  • Zaměstnavatel nesmí vyžadovat od uchazeče / potenciálního zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem.
  • Na základě písemné žádosti neúspěšného uchazeče si zaměstnavatel může pro své účely archivovat dokumenty tohoto uchazeče (motivační dopis, životopis), a to po stanovenou dobu nebo do odvolání uchazečem.

 

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u úřednických a neúřednických pozic z pohledu GDPR

Zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů, vyžaduje u úředníků doložení trestní bezúhonnosti – výpis z Rejstříku trestů.

Pokud ale předpoklad trestněprávní bezúhonnosti není sta­noven zákonem, je možné požadovat výpis z Rejstříku trestů jen v případě, když existuje vážný věcný důvod spočíva­jící v povaze práce. Záleží tedy na typu pracovní pozice – zda u dané pracovní pozice existují či neexistují věcné důvody pro vyžádání výpisu z Rejstříku trestů, např. v případě mzdové účetní, jež manipuluje s hotovostí, má přístup do trezoru atd., by neměl po­žadavek na výpis z Rejstříku trestů představovat problém; u pracovní pozice typu údržbář, topič, uklízečka atd. ale věcný důvod k požadavku na doložení trestní bezúhonnosti neexistuje.

 

Nakládání s osobními údaji při zajištění BOZP a PO

Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (obec) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.

Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.

V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.

Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.

S ochranou osobních údajů úzce souvisí i doba uchovávání jednotlivých dokumentů obsahujících osobní údaje (naplnění zásady omezení uložení). Je jedno, zda se jedná o dokumenty v listinné, nebo elektronické podobě. Z hlediska zajištění souladu s GDPR osobní údaje mohou být v dokumentech uvedené pouze po dobu trvání účelu, pro který byly osobní údaje získány a zpracovávány (doba uchování dokumentů).

Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád obce, v některých případech je doba uchování upravena přímo právním předpisem, např.:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10 let, resp. 40 let podle druhu práce;
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky;
  • § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy) – 5 let;
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) – 30 let.

 

Frekvence školení zaměstnanců v oblasti ochrany osobních údajů

Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

 

Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě

Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.

Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.

V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.

 

Kopie dokladů totožnosti

Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).

V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).

V souvislosti s ověřováním / dokládáním totožnosti subjektu údajů v rámci některých agend obce je dále třeba zřetelně vyjasnit pojmy „doložit“, „předložit“ a „připojit“. Pokud příslušný zákon říká, že je nutné doklad totožnosti připojit, měl by podatel (subjekt údajů) sám příslušný doklad totožnosti ke svému podání připojit. Pokud se tak nestane, úřad by měl podatele následně k doložení dokladu vyzvat. Obdobně by mělo být postupováno i v případě, kdy je v zákoně stanovena povinnost podatele příslušný doklad totožnosti doložit. Pokud je podle zákona stanovena povinnost doklad totožnosti pouze předložit, nejedná se o stejnou situaci jako v případě připojení či doložení dokladu. Je proto na zvážení úřadu, zda v těchto případech vyhotovit fotokopii dokladu totožnosti nebo jiným způsobem zaznamenat informaci o tom, že byl požadovaný doklad totožnosti předložen.

 

Vítání občánků a životní jubilea

Pro účely zaslání pozvánky k vítání občánků, vypracování jmenného seznamu dětí, které jsou pak vyvolávány na dané akci, nebo zaslání gratulací k životním jubileím občanům obce, orgán obec nemusí mít přihlášku zákonného zástupce / občana a souhlas se zpracováním osobních údajů. Zpracování těchto osobních údajů lze opřít o čl. 6 odst. 1 písm. e) Nařízení GDPR.

Lze totiž dojít k závěru, že ve veřejném zájmu je pořádání obecních akcí, které slouží k podpoře života obce jako společenství občanů. K tomu patří jak vítání občánků a jejich příp. zápis do kroniky obce (není ale důvod uvádět v kronice konkrétní data narození, postačuje uvést, které děti se narodily v určitém časovém úseku), tak gratulace k významným životním výročím. Zpracování osobních údajů musí být vždy přiměřené danému účelu.

 

Osobní údaje uvedené v kronice obce

Osobní údaje uvedené v kronice obce musí být přiměřené danému účelu zpracování. Obec je podle zákona č. 132/2006 Sb., o kronikách obcí, povinna vést kroniku obce, do níž se zaznamenávají zprávy o důležitých a pamětihodných událostech v obci pro informaci i poučení budoucím generacím. Je nepochybné, že tyto chronologicky zapisované zprávy i přílohy kroniky obce (písemné, obrazové nebo zvukové dokumenty doplňující zápis v kronice), obsahují v nezbytně nutném rozsahu i údaje o osobách, které se pamětihodných událostí obce zúčastnily.

Podle § 3 zákona o kronikách obcí (Zápis do kroniky) rozhoduje o zápisu do kroniky obec. Jako důležitou událost hodnou zaznamenání může obec posoudit případně i událost týkající se soukromého života určité osoby, např. sňatek v obci známé osoby, narození dítěte v její rodině, významné životní jubileum i úmrtí takové osoby, případně veřejně známé okolnosti s těmito událostmi spojené. Zápis v kronice o takové události ale nesmí rozsahem uváděných osobních údajů zasahovat do soukromého života těchto osob nepřiměřeným způsobem.

Zákon o kronikách obcí však nepředpokládá, že v kronice budou uváděny jakékoli soupisy místních občanů, které jsou zpracováním osobních údajů ve smyslu § 4 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů. Pro zařazení takového soupisu v rozsahu údajů: jméno a příjmení, přesná adresa bydliště, případně datum nebo rok narození a další osobní údaje, např. soupis jubilantů v určitém roce nebo soupis osob, které se přistěhovaly nebo odstěhovaly, je proto třeba získat souhlas těchto subjektů údajů. V případě soupisu nově narozených dětí je třeba získat souhlas jejich zákonných zástupců.

Vzhledem k tomu, že povinnost získat souhlas subjektu údajů je vztažena pouze k žijícím osobám, není zařazení soupisů zemřelých osob do kroniky obce bez souhlasu blízkých osob zemřelých porušením zákona o ochraně osobních údajů, pokud nejsou tyto údaje získávány z evidence obyvatel nebo z matriky, což neumožňují příslušné zvláštní zákony. Blízké osoby zemřelých však mohou případně uplatňovat právo na ochranu jejich osobnosti podle občanského zákoníku.

Zákon o kronikách obcí umožňuje vedení kroniky v elektronické podobě, nepředpokládá však její zveřejňování na webových stránkách obce. Podmínky pro zpřístupňování kroniky stanoví § 4 zákona o kronikách obcí (Nahlížení do kroniky a využití kroniky) – do kroniky může každý nahlédnout ve vymezené době na obecním úřadě.

 

Ochrana osobních údajů v souvislosti se zákonem o registru smluv

Zákon č. 340/2015 Sb., o registru smluv, neobsahuje samostatnou úpravu týkající se osobních údajů – v § 3 odst. 1 zákon odkazuje na právní předpisy upravující svobodný přístup k informacím (zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který svůj vztah k osobním údajům vymezuje zejména v § 8a). Je proto nutné vycházet z obecné úpravy ochrany osobních údajů stanovené zejména Nařízením GDPR a zákonem o zpracování osobních údajů. Osobní údaje je možné zpracovat / uveřejnit jen na základě některého z právních titulů vymezených v čl. 6 Nařízení GDPR. Pokud ke zpracování osobních údajů jejich zveřejněním není k dispozici právní titul, je nezbytné osobní údaje v dané smlouvě anonymizovat. Ve výjimečných případech lze uvažovat i o souhlasu dotčené osoby s takovýmto zpracováním jejích údajů.

Nařízení GDPR ale nezná právní titul pro zpracování oprávněně zveřejněných osobních údajů, tak jak tomu bylo v zákoně o ochraně osobních údajů. Bez jiného právního titulu tak není možné osobní údaje, které jsou veřejné podle jiného zákona, uveřejňovat v registru smluv.

ÚOOÚ doporučuje vzhledem k právní úpravě zpracování osobních údajů dle Nařízení GDPR, aby povinné subjekty přijaly taková opatření, která zabrání neoprávněnému uveřejňování osobních údajů v registru smluv (tj. nastavení mechanismu anonymizace smluv a metadat). Rozsah osobních údajů, které mohou být v registru smluv uvedeny, je uveden v Metodickém návodu Ministerstva vnitra ČR k aplikaci zákona o registru smluv (více informace naleznete zde).

 

Osobní údaje uvedené na dotačních programech

Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě práv­ního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.

 

Novela vyhlášky o poskytování údajů z katastru nemovitostí

Dnem 1.1.2019 nabyla své účinnosti vyhláška č. 256/2018 Sb., kterou se mění vyhláška č. 358/2013 Sb., o poskytování údajů z katastru nemovitostí, ve znění vyhlášky č. 354/2015 Sb. Jedná se relativně o rozsáhlou novelu o bezmála třech desítkách změnových bodů. Český úřad zeměměřický a katastrální (ČÚZK) jí především reaguje na přijetí a účinnost obecného nařízení o ochraně osobních údajů (Nařízení GDPR). Jejím prostřednictvím mají být rovněž optimalizovány formy poskytování údajů katastru a výše úplat.

Novela vyhlášky o poskytování údajů z katastru nemovitostí upravuje následující body vyhlášky:

  • Kopie z katastrálního operátu v případech, ve kterých nejde o poskytnutí údajů ve formě veřejných listin.
  • Výstupy a kopie z katastrálního operátu v případech, ve kterých nejde o poskytnutí údajů ve formě veřejných listin.
  • Šíření údajů katastru.
  • Šíření údajů katastru za úplatu.
  • Bezúplatné šíření údajů katastru.
  • Přechodná ustanovení.

Více informací naleznete zde.

 

Dopad Nařízení GDPR na práci členů orgánů obce

S ohledem na proběhnuvší komunální volby (volby do zastupitelstva obcí 2018) si dovolujeme upozornit, že Nařízení GDPR má dopad i na práci jednotlivých členů orgánů obce. Zastupitel obce je z pohledu GDPR běžnou fyzickou osobou a může být postižen stejnou sankcí jako každý jiný subjekt. Vztah zastupitele a obce je z pohledu nakládání s osobními údaji poměrně složitý – jsou si vzájemně zpracovateli, dodavateli a poskytují si aktiva k výkonu činnosti správce. Zastupitel potřebuje, jako kdokoliv jiný, zákonný důvod (přesněji zákonné oprávnění), k nakládání s osobními údaji jiných.

Pokud ho nemá, nebo ho má k jinému účelu, musí si zajistit souhlas subjektu údajů. To platí i na případy, kdy zastupitel obce komunikuje s občany, zabývá se jejich podněty, fotografuje se s nimi na společenské akci apod. Stejně opatrně a zodpovědně musí zastupitel obce nakládat s osobními údaji svých asistentů, smluvních partnerů či obce.

Zastupitel obce je oprávněn používat osobní údaje vždy pouze za tím účelem, za kterým mu byly poskytnuty (např. pokud je kontaktován občanem s žádostí o informaci, je oprávněn použít osobní údaje občana pouze za účelem poskytnutí odpovědi, nikoliv pro následné oslovení občana v jiných věcech).

Zastupitel obce, stejně jako kterýkoliv jiný správce nebo zpracovatel osobních údajů, by měl být v oblasti ochrany osobních údajů řádně vyškolen. Každý zastupitel obce by se měl sám, nebo s pomocí obce seznámit alespoň v minimální míře s právy a povinnostmi při zpracování osobních údajů. Jeho vztah s obcí by měl být v této oblasti formalizován, stejně jako jeho vztah s asistentem a dalšími osobami. Obec může poskytnout zastupiteli vzory souhlasů a smluv, stejně jako přístup k základnímu proškolení v oblasti GDPR.

 

Využití politických názorů občanů

V souvislosti s volbami do Senátu a Zastupitelstev obcí 2018 je na místě připomenout, že údaje vypovídající o politických názorech občanů patří do zvláštní kategorie osobních údajů, pro které GDPR stanovuje zákaz jejich zpracování s přísně stanovenými výjimkami.

Využití osobních údajů ze sociálních sítí a komunikací na webových stránkách pro účely volební kampaně bez výslovného souhlasu voliče je porušením zásad GDPR.

 

Personální agenda – archivace a skartace spisů zaměstnanců

Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (obce). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu obce uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci obce i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů (viz vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby).

Osobní spis zaměstnance obce má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.

 

Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů

Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (obcí) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:

  • obecnou archivační dobu stanovuje zákon č. 563/1991 Sb., o účetnictví, v délce 10 let pro účetní závěrky a výroční zprávy a v délce 5 let pro ostatní účetní doklady a účetní záznamy (počítá se vždy od konce daného účetního období);
  • speciální lhůty pro archivaci mzdových listů a dalších údajů potřebných pro důchodové pojištění (30 let a 10 let) stanovuje zákon č. 155/1995 Sb., o důchodovém pojištění;
  • zvláštní lhůty pro archivaci evidence pro účely nemocenského pojištění (10 let) stanovuje zákon č. 187/2006 Sb., o nemocenském pojištění.

Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:

  • mzdové listy a další údaje potřebné pro důchodové pojištění min. 30 let (jde-li o mzdové listy poživatele starobního důchodu, činí lhůta pouze 10 let);
  • záznamy o vzniku a zániku pracovněprávního vztahu, evidenci pracovní doby min. 10 let;
  • doklady o mzdách a dávkách nemocenského pojištění min. 10 let;
  • stejnopisy evidenčních listů min. 3 roky.

Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankcionován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.

 

Zveřejňování informací o přítomnosti zaměstnanců úřadu na pracovišti

Některé úřady v návaznosti na transparentnost činností obce a dostupnost služeb poskytovaných občanům zveřejňují na webových stránkách obce (prostřednictvím docházkového systému úřadu) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců úřadů na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců úřadů) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.

Zveřejnění informace o přítomnosti zaměstnance úřadu na pracovišti navíc nevede k vyšší informovanosti veřejnosti. Občan z uvedené informace pouze zjistí, že konkrétní zaměstnanec úřadu je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance úřadu na jeho pracovišti po celou pracovní dobu, resp. po dobu úředních hodin, kdy se občané na úřad obracejí.

 

Evidence kontaktních údajů

Součástí některých formulářů obce mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.

V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.

V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.

 

Nástroj pro anonymizaci dokumentů

Ministerstvo vnitra ČR bezplatně nabízí zaměstnancům orgánů veřejné moci nástroj pro anonymizaci dokumentů. Pomocí tohoto anonymizačního nástroje zaměstnanci úřadu jednoduše a rychle provedou anonymizaci smluv obce, které pak vloží do registru smluv.

Anonymizační nástroj naleznete na webové stránce https://anonymizace.gov.cz/crossroad/. Pro přihlášení do anonymizačního nástroje je nutné znát přihlašovací údaje do datové schránky obce nebo JIP (Jednotný identitní prostor Czech POINT).

 

Dodatečné úpravy již uveřejněných smluv v centrálním registru smluv

Podle zákona č. 340/2015 Sb., o registru smluv, je vždy nutné provést anonymizaci smluv uveřejněných v registru smluv. Dodatečné úpravy uveřejněných smluv je možné dělat maximálně do tří měsíců od jejich zveřejnění s tím, že s novým zveřejněním se mění také účinnost smlouvy. Po 25.5.2018 však začalo docházet k dalším zjištěním nesprávné anonymizace uveřejněných smluv. V mnoha případech se ukázalo, že v registru smluv neprobíhala řádná anonymizace osobních údajů a že je potřeba tyto nedostatky napravit.

Níže uvádíme možný postup, jak provést dodatečnou anonymizaci osobních údajů, aniž by došlo ke změně účinnosti zveřejněné smlouvy.

  • Zdokladovat řádné zveřejnění: pořídit a uložit printscreen detailu původního záznamu (metadat); pokud má záznam více verzí, uložit printscreen každé z nich; uložit původní přílohy, uložit potvrzení o zveřejnění původního záznamu (všech verzí).
  • Znepřístupnit původní záznam pomocí formuláře Znepřístupnění záznamu (možno udělat až jako poslední krok).
  • Kompletně (metadata a přílohy) a správně (anonymizovat osobní údaje) zveřejnit smlouvu znovu, do předmětu smlouvy v metadatech vedle vlastního předmětu smlouvy zapsat informaci o tom, že jde o opakované zveřejnění smlouvy z důvodu ochrany osobních údajů a že původní zveřejnění bylo provedeno dne xy:

    „Opakované uveřejnění z důvodu ochrany osobních údajů, původní uveřejnění bylo provedeno dne …“; pozor, vlastní předmět smlouvy vhodně zkraťte, aby se Vám vešel do kolonky (celkem 255 znaků) včetně věty o opakovaném uveřejnění.

  • Smlouva bude mít nové ID a datum zveřejnění, nicméně bude v metadatech uvedena informace o původním datu zveřejnění; kontrolním orgánům je možné doložit dokumentaci původního záznamu, v případě soudního přezkumu lze požádat MV ČR o potvrzení o zveřejnění původního záznamu.

 

Poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím

Při zveřejnění poskytnuté informace nemají být zveřejněny identifikační údaje žadatele – fyzické osoby bez jeho souhlasu. Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele).

Stejně tak je potřeba případně provést anonymizaci osobních údajů uvedených v poskytnuté informaci, např. při zveřejnění smlouvy o poskytnutí právní pomoci (jméno, příjmení, adresa pobytu, rodné číslo) – žadateli o poskytnutí informace byly sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit jejich právo na ochranu osobnosti a osobních údajů těchto osob ústavně nepřiměřeným způsobem. Podle Stanoviska MV ČR je nutné upřednostnit ochranu osobních údajů a zveřejnit pouze doprovodnou informaci.

 

Zveřejnění neaktuálních dokumentů obsahujících osobní údaje fyzických osob na stránkách obce

Typické jsou neaktuální listiny dostupné na elektronických stránkách obce, obsahující osobní údaje fyzických osob (např. dražební vyhlášky). Dokumenty mají být zveřejněny pouze po dobu, která je určena právním předpisem, či je plněn účel, pro který byl zveřejněn. Není dostačující převést do „archivu“, je nutné z webových stránek kompletně smazat – stává se, že je odstraněna pouze přímá cesta na dokument z webu, ale dokument je pořád vyhledatelný např. Googlem (typicky zadáním jména, příjmení a názvu obce či domény), nebo nechat pouze informaci o zveřejnění bez přiloženého dokumentu a osobních údajů.

 

Zabezpečení osobních údajů nejen v rámci správního řízení

Je potřeba věnovat pozornost i pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení, č.j. a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).

 

Neoprávněné nahlížení úředníků do registrů

Nahlížení do registru obyvatel atd. se musí dít za jasným účelem v rámci výkonu státní správy. Zneužití lze v závažných případech kvalifikovat i jako trestný čin dle § 100 zákona č. 40/2009 Sb., trestní zákoník. Nelze nahlížet do registrů za účelem uspokojení zvědavosti či pro osobní potřebu. Občané se mohou dozvědět, jaký orgán a pro jaký účel využíval z Registru obyvatel údaje… (na základě žádosti o vydání výpisu z Registru obyvatel podle § 14 odst. 4 a § 50 zákona č. 111/2009 Sb., o základních registrech).

 

Anonymizace smluv v registru smluv

Při zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.

Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.

 

Kamerový systém obce na veřejných prostranstvích

Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.

 

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).