Přehled novinek z oblasti GDPR pro příspěvkové organizace – školy

Problematika pověření interního auditora, který vykonává interní audit podle zákona o finanční kontrole ve veřejné správě, funkcí pověřence pro ochranu osobních údajů v rámci agendy GDPR

Dle stanoviska Ministerstva financí ČR – Odboru Centrální harmonizační jednotky č. 1b/2018 interní auditor, který vykonává interní audit podle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, nemůže být jmenován pověřencem pro ochranu osobních údajů podle Nařízení GDPR. Pověřenec pro ochranu osobních údajů nemůže být organizačně začleněn do útvaru interního auditu nebo podřízen vedoucímu útvaru interního auditu nebo internímu auditorovi.

Odůvodnění převzaté ze stanoviska (www.mfcr.cz/cs/legislativa/metodiky/2018/stanovisko-chj-c-1-2018-k-problematice-m-31614): Interní auditor by měl mít přístup ke všem informacím, záznamům, dokladům, systémům, operacím, zaměstnancům a k veškerému majetku orgánu veřejné správy. V rámci své činnosti vytváří auditní stopu, ve které zpracovává osobní údaje. Příkladem této auditní stopy jsou zápisy ze schůzek, dotazníky, zprávy o vykonaném interním auditu. Dále je mu umožněno nahlížet do informačních systémů, smluv, faktur a další dokumentace orgánu veřejné správy, které obsahují osobní údaje. Interní auditor tudíž shromažďuje, zaznamenává, ukládá, používá, zpřístupňuje a šíří osobní údaje. Interní auditor je zpracovatelem osobních údajů.

V případě sloučení funkce interního auditora a pověřence pro ochranu osobních údajů se pověřenec dostává do střetu zájmu, protože jako interní auditor plní úkoly, u kterých v široké míře zpracovává osobní údaje a jeho činnost by měla být podřízená nezávislému a objektivní posouzení pověřence pro ochranu osobních údajů. Ve sloučené pozici může mít pověřenec zájem jako interní auditor na určitém způsobu zpracování osobních údajů. Jeho poradenská činnost a doporučení v tomto případě nebude naplňovat požadavek obecného nařízení plnit své povinnosti a úkoly nezávislým způsobem.

Právní úprava zaručuje internímu auditorovi a pověřenci pro ochranu osobních údajů nezávislé postavení a vylučuje střet zájmů. Tato nezávislost je zaručená pro tyto funkce samostatně. V případě jejich sloučení nebude požadavek na zajištění nezávislosti naplněn ani u jedné z nich.

Výkon funkce pověřence pro ochranu osobních údajů interním auditorem nebo zařazení pověřence do útvaru interního auditu je v rozporu s ustanoveními zákona o finanční kontrole, které upravují funkční nezávislost a postavení interního auditora (zejména ustanovení § 28 odst. 2 a 3, § 29 odst. 1 a 4 zákona o finanční kontrole).

Neslučitelnost funkce pověřence pro ochranu osobních údajů a interního auditora se vztahuje jen na orgány veřejné správy, které zřídily útvar interního auditu nebo výkonem interního auditu zvlášť pověřily zaměstnance podle § 28 odst. 1 zákona o finanční kontrole. Neslučitelnost funkcí se tudíž nevztahuje na obce do 15 000 obyvatel, které dle zákona nahradily interní audit přijetím jiných opatření podle § 29 odst. 6 zákona o finanční kontrole. Z celkového počtu obcí se neslučitelnosti funkcí pověřence pro ochranu osobních údajů a interního auditora vztahuje jen na 89 obcí, které přesahují 15 000 obyvatel. Dále se neslučitelnost funkcí nevztahuje na organizační složky a příspěvkové organizace, u kterých zřizovatel nahradil funkci útvaru interního auditu výkonem veřejnosprávní kontroly podle § 29 odst. 5 zákona o finanční kontrole.

Revize dokumentace z důvodu účinnosti zákona č. 110/2019, o zpracování osobních údajů

Na základě účinnosti zákona č. 110/2019 Sb., o zpracování osobních údajů, musejí veřejnoprávní i soukromoprávní subjekty v postavení správce osobních údajů či zpracovatele osobních údajů provést revizi dokumentace upravující zpracování osobních údajů v organizaci.

V prvé řadě je nezbytné provést formální revizi dokumentace týkající se osobních údajů, tj. změnu odkazů na relevantní předpisy, zejména tam, kde dokumenty odkazovaly na předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů. Dále je třeba v rámci revizí dokumentace posoudit, zda na správce osobních údajů či zpracovatele osobních údajů dopadají i dílčí změny některých zákonů, k nimž došlo účinností zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

V rámci zákona č. 110/2019 Sb. došlo k určitému posunu ve vnímání mlčenlivosti zaměstnanců a spolupracujících osob. Doporučujeme tedy zvážit doplnění pracovních smluv o jasné ustanovení, podle nějž by měli mít všichni zaměstnanci povinnost zachovávat mlčenlivost o osobních údajích a organizačních i technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost osobních údajů.

Dynamický biometrický podpis je nově posuzován jako zvláštní kategorie osobních údajů

Úřad pro ochranu osobních údajů změnil svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru (nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu). ÚOOÚ nově považuje tento způsob zpracování za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.

Dynamický biometrický podpis je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS, který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání. Dle Nařízení GDPR je dynamický biometrický podpis osobní údaj, tj. informace o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím dynamického biometrického podpisu snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány.

Pořizování a vyhodnocování kamerového záznamu organizací

Kamerový záznam (obrazový, videozáznam) je osobním údajem za předpokladu, že lze ze snímku přímo či nepřímo identifikovat konkrétní fyzickou osobu. Organizace má pravomoc pořizovat záznam z kamerového systému ke sledování budov a objektů v jejím vlastnictví či nájmu proto, aby ochránila svůj majetek, kontrolovala své zaměstnance a klienty organizace (v těchto případech se jedná o ochranu majetku organizace, ne o ochranu obecné bezpečnosti a veřejného pořádku). Organizace ale nemá pravomoc provozovat kamerové systémy k jiným účelům, např. k odhalovací činnosti. Odhalovací činnost nemůže provádět organizace sama, neboť se jedná o dohled nad veřejným pořádkem či dodržování předpisů v rámci provozu na pozemních komunikacích (tuto pravomoc má Policie ČR nebo obecní policie).

Z pohledu ochrany osobních údajů není provozování bezzáznamového kamerového systému (pouze přenos bez záznamu) považováno za zpracování osobních údajů. Může se ale stále jednat o zásah do práva na soukromí, a to v režimu občanského zákoníku. Je tedy vždy nezbytné důkladně zvážit nasazení a provozování bezzáznamového kamerového systému.

Při provozování kamerového systému musí organizace zajistit informování subjektů údajů snímaných kamerami (informování o daném monitorování a využití kamerových záznamů). Informování by mělo být v souladu se zásadou transparentnosti dostatečně jasné a jednoduché.

Uchovávání kopií dokladů totožnosti zaměstnanců – cizinců

Zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Zaměstnavatelé mají povinnost vést evidenci cizinců podle § 102 odst. 2 zákona o zaměstnanosti.

Přístup k informacím u bývalého zaměstnavatele po skončení pracovního poměru

Osobní údaje bývalého zaměstnance jsou i po skončení pracovního poměru zaměstnavatelem dále zpracovávány, např. v rámci evidence docházky. Bývalý zaměstnanec může pro získání informace od svého bývalého zaměstnavatele využít práva subjektu údajů na přístup k osobním údajům podle čl. 15 Nařízení GDPR. Součástí tohoto práva je i právo na poskytnutí kopie zpracovávaných osobních údajů, tedy kopie údajů, které jsou o zaměstnanci vedeny v evidenci docházky. Právo na poskytnutí kopie zpracovávaných osobních údajů však nezakládá právo nahlížet do spisů nebo evidencí, tedy např. do evidence docházky nebo osobního spisu (v případě současných zaměstnanců toto výslovně upravuje zákoník práce).

Poskytování informací o platu a odměnách zaměstnance organizace

Podle Metodiky Ministerstva vnitra ČR může zaměstnavatel odmítnout poskytnout žadateli informace o platu či odměnách zaměstnance vyžádané na základě ustanovení § 8b zákona č. 106/1999 Sb., o svobodném přístupu k informacím, pokud nejsou splněny všechny tyto podmínky:

  • účelem vyžádání informace je přispět k diskusi o věcech veřejného zájmu;
  • informace samotná se týká veřejného zájmu;
  • žadatel o informaci plní úkoly či poslání dozoru veřejnosti či roli tzv. „společenského hlídacího psa“;
  • informace existuje a je dostupná.

Zaměstnavatel může případně na základě žádosti o poskytnutí informace žadateli přeložit anonymizovanou pracovní smlouvu, tj. včetně anonymizované informace o platu či odměně.

Účinnost zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabyl účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Zákon č. 111/2019 Sb. za účelem přizpůsobení dosavadního právního řádu nové právní úpravě v oblasti zpracování osobních údajů novelizuje 39 zákonů:

  • Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád)
  • Zákon č. 99/1963 Sb., občanský soudní řád
  • Zákon České národní rady č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
  • Zákon České národní rady č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád)
  • Zákon České národní rady č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky
  • Zákon České národní rady č. 6/1993 Sb., o České národní bance
  • Zákon č. 96/1993 Sb., o stavebním spoření a státní podpoře stavebního spoření a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění zákona České národní rady č. 35/1993 Sb.
  • Zákon č. 182/1993 Sb., o Ústavním soudu
  • Zákon č. 283/1993 Sb., o státním zastupitelství
  • Zákon č. 269/1994 Sb., o Rejstříku trestů
  • Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu
  • Zákon č. 85/1996 Sb., o advokacii
  • Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů
  • Zákon č. 49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů
  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím
  • Zákon č. 257/2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, zákona č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, a zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí (zákon o Probační a mediační službě)
  • Zákon č. 6/2002 Sb., o soudech, soudcích, přísedících a státní správě soudů a o změně některých dalších zákonů (zákon o soudech a soudcích)
  • Zákon č. 150/2002 Sb., soudní řád správní
  • Zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu
  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě
  • Zákon č. 187/2006 Sb., o nemocenském pojištění
  • Zákon č. 129/2008 Sb., o výkonu zabezpečovací detence a o změně některých souvisejících zákonů
  • Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
  • Zákon č. 273/2008 Sb., o Policii České republiky
  • Zákon č. 280/2009 Sb., daňový řád
  • Zákon č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů
  • Zákon č. 427/2011 Sb., o doplňkovém penzijním spoření
  • Zákon č. 456/2011 Sb., o Finanční správě České republiky
  • Zákon č. 17/2012 Sb., o Celní správě České republiky
  • Zákon č. 104/2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních
  • Zákon č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů (zákon o Vojenské policii)
  • Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
  • Zákon č. 234/2014 Sb., o státní službě
  • Zákon č. 374/2015 Sb., o ozdravných postupech a řešení krize na finančním trhu
  • Zákon č. 186/2016 Sb., o hazardních hrách
  • Zákon č. 300/2016 Sb., o centrální evidenci účtů
  • Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách)
  • Zákon č. 133/2000 Sb., o evidenci obyvatel a o rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel)
  • Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách)

Požadavek na ztotožnění žadatele o naplnění práv subjektů údajů

Na základě provedené kontroly Úřadem pro ochranu osobních údajů doporučujeme upravit Informační memorandum a návod na plnění práv subjektu údajů v oblasti prokázání totožnosti žadatele. Namísto stávajících požadavků na ztotožnění žadatele:

„Příjem žádostí je prováděn výhradně proti jednoznačné identifikaci subjektu údajů (ztotožnění), tedy podáním žádosti datovou schránkou subjektu údajů, podáním žádosti podepsané uznávaným elektronickým podpisem založeným na kvalifikovaném certifikátu subjektu údajů prostřednictvím elektronické podatelny města, podáním žádosti s úředně ověřeným podpisem subjektu údajů prostřednictvím podatelny města nebo ověřením totožnosti žadatele předložením občanského průkazu při osobním podání žádosti v podatelně města.“

doporučujeme uvést např. takovou formulaci:

„Dovolujeme si Vás upozornit, že jsme povinni řádně ověřit totožnost žadatele o naplnění práv subjektu údajů a toto ověření zdokumentovat. Existuje-li pochybnost o totožnosti subjektu údajů, který podává žádost o informace o zpracování osobních údajů, uplatňuje některé z práv subjektu údajů nebo dává správci podnět, můžeme jej požádat o poskytnutí dodatečných informací nezbytných k potvrzení jeho totožnosti.

Digitální archivace a skartace v rámci škol

Ve školách podléhá digitální archivaci a skartaci pouze elektronická spisová služba, kterou však většinou školy elektronicky nevedou. Veškerá ostatní dokumentace je zákonně požadována v papírové podobě, tedy v rámci škol musí probíhat běžné skartační řízení a předání do příslušného archivu.

Pokud je dokumentace podléhající skartačnímu řízení / archivnímu zákonu současně (duplicitně) vedena i elektronicky (např. účetnictví v účetním SW, evidence žáků v IS Bakaláři, evidence strávníků v jídelním SW apod.), je nutné tuto elektronickou verzi v okamžiku ukončení skartačního řízení papírové verze smazat i elektronicky.

Pořizování a zveřejňování reportážních fotografií z činnosti školy

Podle vyjádření Úřadu pro ochranu osobních údajů mohou školská zařízení pořizovat a zveřejňovat reportážní fotografie z činnosti školy (např. situační záběry z vyučování, soutěží, dílen, veřejných vystoupení žáků apod.) bez větších omezení, protože se primárně jedná o problematiku ochrany soukromí podle občanského zákoníku, nikoliv dle Nařízení GDPR.

Citace vyjádření ÚOOÚ: „Jsou-li fotografie zveřejněny v souladu s občanským zákoníkem, není porušením povinností při zpracování osobních údajů ani připojení stručných doprovodných informací v tisku či na webu školy zveřejněných z důvodu propagace slušného chování a šíření povědomí o vhodných, správných a slušných způsobech společenského chování a mezilidských vztahů v rámci školní výuky i výchovy mimoškolní.“ (více viz vyjádření zveřejněné na www.uoou.cz.).

Neshoda rodičů ve věci vzdělání nezletilého dítěte

Rodičovská odpovědnost náleží stejně oběma rodičům, tj.  rodičovská odpovědnost zůstává zachována oběma rodičům i v případě, že je dítě svěřeno pouze do péče jednoho z nich (výjimkou z této zásady je případ, kdy soud rodiče rodičovské odpovědnosti zbaví). Rodičovská odpovědnost zahrnuje i zajišťování vzdělání dítěte – k veškerým rozhodováním týkajícím se vzdělání dítěte je třeba shody obou rodičů.

V případě, kdy se rodiče (a to obvykle po rozchodu či rozvodu) nejsou schopni dohodnout ohledně vzdělání svého nezletilého dítěte (např. jaké školské zařízení by mělo dítě navštěvovat; zda má dítě nastoupit do základní školy, či zda je na místě zvolit odklad atd.), může být tento spor mezi rodiči řešen soudní cestou.

V případě, že se rodiče nedohodnou ohledně vzdělání nezletilého dítěte, může se každý z nich obrátit na soud, aby soud o volbě školy rozhodl. V takovém případě je nutno zohlednit zvláštnosti procesní úpravy pro tento druh řízení, které jsou vymezeny v ustanovení § 466 a následujících zákona o zvláštních řízeních soudních, podle kterého soud rozhoduje o věcech pro nezletilé dítě významných, na nichž se nemohou rodiče dohodnout. Řízení lze zahájit pouze na návrh zákonného zástupce, tedy matky nebo otce dítěte. Dítě je v řízení zastoupeno opatrovníkem, kterého jmenuje soud, přičemž obvykle je jmenován orgán sociálně-právní ochrany dětí (OSPOD).

Školení zaměstnanců v oblasti ochrany osobních údajů

V rámci zpracování osobních údajů je důležité provádět pravidelná školení zaměstnanců organizace v oblasti ochrany osobních údajů. Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením je tedy vhodné přidat i ochranu osobních údajů. Všichni zaměstnanci organizace by měli být seznámeni se základy GDPR, měli by min. znát základní pojmy a umět identifikovat osobní údaje.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

Práva a povinnosti zaměstnavatelů při zpracování osobních údajů

Moderní technologie nabízí širokou škálu prostředků pro sledování činností zaměstnanců, např. kamerové systémy instalované v zájmu ochrany oprávněných zájmů zaměstnavatele, GPS v automobilech, nástroje pro filtrování webových stránek, aplikace či jiná zařízení určená ke sledování za účelem prevence úniku dat atd.

Zákon č. 262/2006 Sb., zákoník práce definuje vztahy mezi zaměstnavatelem a zaměstnancem, tj. definuje i závislou práci a povinnosti vyplývající z pracovního poměru. Z povahy pracovněprávního vztahu vyplývá, že je legitimní, aby zaměstnavatel kontroloval zaměstnance při užívání svěřeného majetku určeného k plnění pracovních úkolů. Zaměstnanec je povinen sdělovat, resp. umožnit sběr informací týkajících se jeho osoby, pokud se týkají vykonávané práce nebo je zaměstnavatel potřebuje ke splnění svých povinností stanovených obecně závaznými právními předpisy. Typicky se jedná o ohlašovací povinnosti zaměstnavatele (např. ČSSZ, zdravotním pojišťovnám atd.).

Zaměstnavatel ale musí vždy respektovat hranici mezi soukromím zaměstnanců a kontrolou pracovních povinností zaměstnanců. Obecně by zaměstnavatel neměl své zaměstnance monitorovat, pokud k tomu nemá závažný důvod, případně lze sledování provádět pouze namátkově. Závažné důvody musí spočívat ve zvláštní povaze činnosti zaměstnavatele. Není však možné obecně určit, kdy jsou tyto závažné důvody spočívající ve zvláštní povaze činnosti zaměstnavatele naplněny, resp. kterých všech činností se výjimka týká. Naplnění podmínek je třeba zkoumat v každém konkrétním případě a zároveň zajistit, aby opatření zaměstnavatele dopadající na soukromí zaměstnance bylo přiměřené jeho účelu.

Postup provedení „práva být zapomenut“ v Google a sociálních sítích

Právo být zapomenut, tj. vymazat zmínky a údaje o své osobě, lze provést i v rámci internetu – v Google a sociálních sítích.

Google

Společnost Google umožňuje odstranění informací z vyhledávání na základě evropských předpisů o ochraně údajů. Žadatel o odstranění musí prokázat svoji identitu, označit webové stránky, které uvádí jméno dotčené osoby a popsat situaci, v níž dochází k porušení ochrany osobních údajů. Postup pro odstranění informací z vyhledávače Google je uveden na internetové adrese https://support.google.com/webmasters/answer/6332384?hl=cs&ref_topic=1724262. Formulář je uveden na adrese https://support.google.com/legal/contact/lr_eudpa?product=websearch.

Google Maps (Street View)

Podmínky ochrany soukromí při přidávání fotografií na Mapy Google jsou uvedeny na internetových stránkách https://www.google.com/intl/cs/streetview/policy/#privacy-and-blurring. V případě, že byl obsah map přidaný společností Google, lze nahlásit problém (např. požádat o odstranění / rozmazání fotografie s vaší tváří, vaším domovem nebo jinou identifikující informací zveřejněnou bez vašeho souhlasu) na adrese https://support.google.com/maps/answer/3093484?hl=cs.

Mapy.cz

Pravidla (licenční ujednání) ke vkládání fotografií na internetovou stránku Mapy.cz jsou uvedena na adrese https://napoveda.seznam.cz/cz/mapy/licencni-ujednani-ke-vkladani-fotografii-na-mapycz/. Porušení pravidel pro přidávání fotografií lze nahlásit na adrese https://napoveda.seznam.cz/cz/mapy-hlaseni-chyby/.

Facebook

Obecné nastavení soukromí a možnosti zveřejnění uživatelů Facebooku jsou upraveny prostřednictvím nástroje pro soukromí (https://www.facebook.com/help/325807937506242?helpref=popular_topics), v rámci kterého lze kontrolovat veřejnost přidávaných příspěvků, možnosti označení a ochrana osobních údajů. V případě, kdy se profil osoby vedený na Facebooku zobrazuje v internetových prohlížečích, je možné toto zobrazení skrýt pomocí nástroje nastavení veřejného vyhledávání https://www.facebook.com/help/124518907626945?helpref=faq_content.

Twitter

V jednotlivých příspěvcích na Twitter lze kontrolovat označování na fotografiích a příspěvcích, objevitelnost dle telefonního čísla či e-mailové adresy a zobrazování reklam – kontrolu lze provést v sekci zabezpečení a soukromí https://twitter.com/settings/security.

Adaptační zákon

Dne 24.4.2019 vešel v účinnost nový zákon č. 110/2019 Sb., o zpracování osobních údajů. Tímto Adaptačním zákonem se ruší zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a nový zákon společně s Nařízením GDPR jej tak zcela nahrazují.

Nejzásadnější novinky se týkají stanovení výše pokut, jejichž nastavení má každá členská země EU ve své kompetenci. Pokud se fyzická, právnická nebo podnikající fyzická osoba dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem (např. trestním řádem či zákonem o soudnictví ve věcech mládeže), je možné za takový přestupek uložit pokutu do 1.000.000,- Kč, nebo 5.000.000,- Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.

Orgánům veřejné moci a veřejným subjektům České republiky nebude správní trest (pokuta) uložen, ale v případě, že kontrolovaná osoba neprovedla nápravu na základě předchozího zjištění ÚOOÚ, může proti ní být zahájeno řízení o přestupku nesoucí možné sankce.

V případě, že půjde o porušení některých povinností týkající se ochrany osobních údajů právnickou osobou vyplývající z hlavy III zákona č. 110/2019 Sb. (zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti), může být uložena pokuta až do výše 10.000.000,- Kč. Orgány veřejné moci a veřejné subjekty České republiky již od této pokuty nejsou osvobozeny.

Důležité je připomenout, že výše pokut je uvedena jako maximální a v případě udělení finanční sankce nesmí být její výše pro daný subjekt likvidační.

Zákon dále například stanovuje hranici pro způsobilost dítěte k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (např. zpracování osobních údajů provozovateli sociálních sítí) na 15 let.

Z důvodu této legislativní úpravy je nezbytné pouze upravit veškeré vzorové dokumenty týkající zpracování osobních údajů tak, aby vycházely již z nového zákona. Jedná se především o směrnici o nakládaní s osobními údaji a souhlasy pro zákonné zástupce, zaměstnance a další osoby. Souhlasy udělené podle zákona č. 101/2000 Sb. se považují za souhlas stále platný a není tedy nutné tyto souhlasy znovu udělovat.

Celé znění Adaptačního zákona naleznete zde.

Zpracování a archivace osobních údajů neúspěšných uchazečů o zaměstnání (v rámci výběrového řízení)

Zpracování osobních údajů uchazečů o zaměstnání v rámci výběrového řízení je nezbytné pro provedení opatření přijatých před případným uzavřením pracovní či jiné smlouvy, zpracování osobních údajů je tedy oprávněné (samozřejmě při zohlednění potřebnosti a relevance požadovaných osobních údajů). Pro fázi samotného výběrového řízení je proto souhlas nejen nadbytečným, ale dokonce nesprávným zákonným důvodem zpracování osobních údajů.

Pokud ale má zaměstnavatel zájem ponechat si po ukončení výběrového řízení shromážděné osobní údaje neúspěšných uchazečů o zaměstnání pro účely jejich budoucího oslovení s novou nabídkou, je souhlas vhodným právním důvodem dalšího zpracování. Pokud neúspěšný uchazeč o zaměstnání písemně vysloví svůj souhlas s dalším zpracováním svých osobních údajů pro účely budoucích výběrových řízení, který splňuje všechny zákonné náležitosti (viz. čl. 7 Nařízení GDPR), je zaměstnavatel oprávněn osobní údaje zpracovávat po dobu, v souhlasu stanovenou.

Zaměstnavatel vždy musí uchazeče o zaměstnání v dostatečné míře informovat o skutečnosti, že jejich osobní údaje zpracovává, proč tak činí a jakou dobu bude ve zpracování pokračovat – tedy jinými slovy splnit informační povinnost dle čl. 13, popř. čl. 14 Nařízení GDPR.

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u pedagogických a nepedagogických pracovníků z pohledu GDPR

Opodstatněnost doložení trestní bezúhonnosti – výpisu z Rejstříku trestů v průběhu trvání pracovněprávního vztahu, či před jeho uzavřením, je buď zákonem stanovená povinnost, nebo je dána povahou pracovní náplně zaměstnance školy / školského zařízení.

Předložení výpisu z Rejstříku trestů zaměstnavateli omezuje přímo zákoník práce ve svém ustanovení § 316 odst. 4. Ačkoli toto ustanovení zmiňuje pouze zaměstnance, panuje shoda v tom, že v souladu s pravidlem a maiori ad minus se toto omezení zaměstnavatele vztahuje jednoznačně i na jeho požadavky vůči uchazečům o zaměstnání. Zaměstnavatel může v souladu s ustanovením § 316 odst. 4 zákoníku práce chtít po zaměstnancích pouze ty informace, které bezprostředně souvisejí s výkonem práce a se základním pracovněprávním vztahem. Výpis z Rejstříku trestů je jedna z informací, kterou zaměstnavatel po zaměstnancích požadovat nesmí. Ustanovení zákoníku práce ale obsahuje i výjimky, kdy informace o trestněprávní bezúhonnosti zaměstnavatel požadovat smí. Je tomu tak v případech, kdy je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a současně, je-li tento požadavek přiměřený anebo v případech, kdy to stanoví právní předpis.

Doložení výpisu z Rejstříku trestů vyžaduje u pedagogických pracovníků zákon č. 563/2004 Sb., o pedagogických pracovnících a o změně některých zákonů. Podle § 3 tohoto zákona se za bezúhonného pro účely tohoto zákona považuje ten, kdo nebyl pravomocně odsouzen za úmyslný trestný čin, nebo za trestný čin nedbalostní spáchaný v souvislosti s výkonem činnosti pedagogického pracovníka, pokud se na něj nehledí, jako by nebyl odsouzen.

Pokud ale předpoklad trestní bezúhonnosti není stanoven zákonem, může zaměstnavatel požadovat po zaměstnanci výpis z Rejstříku trestů jen v případě, když existuje vážný věcný důvod spočívající v povaze práce. Zaměstnavatel musí vždy v konkrétním případě zvážit, zda daný zaměstnanec bude vykonávat / vykonává takovou práci, aby bylo spravedlivé a důvodné požadovat po něm výpis z Rejstříku trestů.

Je tedy zřejmé, že požadovat výpis z Rejstříku trestů u pedagogických pracovníků není z pohledu GDPR problém, u nepedagogických pracovníků je však třeba zvážit konkrétní povahu pracovní náplně a příp. od doložení výpisu z Rejstříku trestů upustit. Vyžadovat doložení trestní bezúhonnosti má význam u zaměstnanců, kteří ve škole přicházejí do styku s dětmi či např. pracují s finančními prostředky školy (účetní). Je vhodné upustit od doložení výpisu z Rejstříku trestů u profese typu kuchařka, uklízečka, školník atd. (tyto pracovníci s dětmi do styku bezprostředně nepřicházejí). Opodstatněnost doložení trestní bezúhonnosti u nepedagogických pracovníků je tedy jen u profesí, kterým jsou děti svěřeny a které vykonávají výchovnou činnost.

V případě doložení výpisu z Rejstříku trestu nemá zaměstnavatel povinnost výpis založit do osobního spisu zaměstnance – pro ověření trestní bezúhonnosti stačí, když si zaměstnavatel výpis nechá předložit a po ověření ho vrátí zaměstnanci, a do osobního spisu udělá zápis, kdy byla trestní bezúhonnost prokázána.

Uchovávání kopií dokladů totožnosti zaměstnanců

Kopie občanského průkazu – podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy možné jen na základě souhlasu zaměstnance.

Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný). Zaměstnavatel si např. může při nástupu nového zaměstnance ověřit jeho totožnost z originálu občanského průkazu a učinit o tomto ověření poznámku v osobní složce zaměstnance. Kopie občanského průkazu by se však v osobní složce objevit neměla.

Kopie řidičského průkazu – kopírování řidičského průkazu zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie řidičského průkazu se ve vybraných případech může opřít o tzv. oprávněný zájem zaměstnavatele. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Kopie průkazu zdravotní pojišťovny – kopírování průkazu zdravotní pojišťovny zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie průkazu zdravotní pojišťovny se ve vybraných případech může opřít o tzv. oprávněný zájem. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Uchovávání kopií dokladů totožnosti cizinců – zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je naopak povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Potřebnost uzavření smlouvy o zpracování osob­ních údajů s lékařem poskytujícím pracovnělé­kařské prohlídky

V případě lékařů zajišťujících pracovnělékařské prohlídky není třeba uzavírat smlouvu o zpracování osobních údajů. Povinnost uzavírat zpracovatelskou smlouvu je třeba pouze se zpracovateli osobních údajů. Přestože postavení lékaře v tomto vztahu vykazuje jisté znaky zpracovatele, ÚOOÚ a pracovní skupina WP 29 vydala stanovisko, podle kterého je v tomto vztahu lékař považován za správce, nikoli za zpracovatele, a tato povinnost se tak neuplatní.

Přístup ke knize úrazů

Pro případ pracovního úrazu by na každém pracovišti měla být k dispozici kniha úrazů. V knize úrazů se uvádí jméno a příjmení zaměstnance, datum úrazu a popis úrazu. Kniha úrazů tedy obsahuje osobní údaje a s ohledem na Nařízení GDPR není vhodné, aby byla na pracovišti volně přístupná všem zaměstnancům.

Knihu úrazů má mít u sebe příslušně odborně způsobilý pracovník (např. bezpečnostní pracovník, vedoucí pracovník atd.), který ji bude uchovávat uzamčenou a pracovat s ní výhradně sám.

Zaměstnavatel má po dobu 30 let povin­nost archivovat dokumenty týkající se pracovních úrazů (stejně jako nemocí z povolání). Účelem je zachovat dokumenty obsahující údaje podstat­né pro výpočet výše starobního důchodu. Konkrétně mezi tyto dokumenty patří potvrzení o době, důvodu a výši náhrad za ztrátu na výdělku po skončení pracovní neschopnosti náležející za pracovní úraz nebo nemoc z povolání.

Cookies a cookies lišta na webových stránkách

Informace o cookies jsou osobní údaje, proto provozovatel webu by měl mít pro práci s cookies právně obhajitelný důvod – buď oprávněný zájem (cookies nezbytné pro samotné fungování webu) nebo souhlas, pokud nelze prokázat oprávněný zájem.

ÚOOÚ vydal v souvislosti s GDPR doporučení k zpracování cookies a obdobných prostředků sledování. Podle tohoto doporučení již nejsou cookies lišty na webech potřeba a o sběru cookies stačí někde na stránkách přehledně informovat. Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele. Pro všechny ostatní cookies je nutno získat souhlas, který však lze získat nastavením běžných prohlížečů. Popisu zpracování osobních údajů, včetně cookies, je podle ÚOOÚ vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako „cookies“. Toto je ale pouze doporučení ÚOOÚ, není to zavazující stanovisko.

Dle doporučení ÚOOÚ není tedy cookies lišta na webových stránkách již povinná, ale cookies lištu vyžaduje např. Google (pokud při využívání služeb Google nebude mít provozovatel webu souhlas k cookies, porušuje tím smluvní pravidla Google).

Cookies má v budoucnu upravovat nový předpis z dílny EU – nařízení ePrivacy (Nařízení EU o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích).

Předání seznamu dětí a dalších osobních údajů ubytovateli

V případě, že ubytovatel vybírá pro obec poplatek za rekreační a lázeňský pobyt nebo sám platí poplatek z ubytovací kapacity může se opřít o zákon č. 565/1990 Sb., o místních poplatcích. Tento zákon říká, že poplatek za lázeňský nebo rekreační pobyt platí všechny fyzické osoby, které pobývají v lázeňských místech a v místech soustředěného turistického ruchu za účelem léčení nebo rekreace. Avšak poplatku za lázeňský nebo rekreační pobyt nepodléhají mimo jiné osoby mladší 18 let a starší 70 let. Ubytovatel je povinen vést evidenční knihu, do které zapisuje:

  • dobu ubytování,
  • účel pobytu,
  • jméno a příjmení,
  • adresu místa trvalého pobytu nebo místa trvalého bydliště v zahraničí,
  • číslo občanského průkazu nebo cestovního pasu.

Z toho tedy plyne, že v případě pobytu na škole v přírodě, ubytovatel v evidenční knize vede pouze údaje o dospělých ubytovaných, nikoliv o dětech.

Údaje, které zákonem o místních poplatcích stanoveny nejsou, tedy datum narození a rodné číslo ubytovaného, ubytovatel ani obecní úřad vyžadovat pro zápis do knihy nemůže.

V místech, kde poplatek podle zákona o místních poplatcích vybírán není, je však identifikace objednatele služby – fyzické osoby nezbytná pro uzavření a plnění smlouvy o ubytování. K identifikaci v tomto případě postačují údaje v rozsahu:

  • objednatel (právnická osoba) nebo jméno a příjmení (pokud je objednatelem fyzická osoba),
  • adresa místa podnikání nebo trvalého pobytu,
  • datum narození u fyzické osoby,
  • datum zahájení a ukončení pobytu (nepovinné),
  • částka za ubytování a služby (nepovinné).

V případě, že je na základě smlouvy s objednatelem ubytováno více osob, které neplatí poplatek, postačuje zpracování osobních údajů pouze objednatele – fyzické osoby a počet dalších ubytovaných osob.

Ubytovaní, kteří mají jiný důvod pobytu (například služební cesta), poplatek neplatí.

Předávání evidenčního listu dítěte mezi kmenovou MŠ a prázdninovou MŠ

Dle zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon) může dítě během přerušení provozu své mateřské školy během letních prázdnin navštěvovat jinou mateřskou školu v obci. Podkladem pro přijetí do MŠ je vždy evidenční list dítěte potvrzený dětským lékařem.

Povinnosti uložené školským zákonem musí splnit i prázdninová MŠ, proto potřebuje obdržet od rodičů evidenční list dítěte s potvrzením, že je očkované. K naplnění této povinnosti však postačí kopie evidenčního listu, jehož originál je uložen v kmenové MŠ dítěte. Rodiče dítěte tedy nemusí opakovaně žádat lékaře o potvrzení evidenčního listu a hradit poplatky s tím spojené. Postačí, pokud rodič předá kopii evidenčního listu prázdninové MŠ, popřípadě sdělí svůj souhlas s tím, že si prázdninová MŠ kopii vyžádá od kmenové MŠ.

Předávání osobních údajů přijímaných prvňáčků mezi školou a zřizovatelem

Proces přijímacího řízení je souborem úkolů vyplývajících ze zákona č. 561/2004 Sb., školský zákon, a prováděcí vyhlášky č. 48/2005 Sb., o základním vzdělávání a některých náležitostech plnění povinné školní docházky, na kterém se podílí jak obec, tak i škola. Dle ustanovení § 36 odst. 8 školského zákona, obecní úřad obce, na jejímž území je školský obvod základní školy, poskytuje této škole s dostatečným předstihem před termínem zápisu k povinné školní docházce seznam dětí, pro které je tato škola spádová a jichž se týká povinnost podle odstavce 4 (pozn. přihlásit dítě k povinné školní docházce). Seznam obsahuje vždy jméno, popřípadě jména, a příjmení, datum narození a adresu místa trvalého pobytu dítěte, v případě cizince místo pobytu dítěte.

Pokud je dítě přijato na jinou než spádovou školu, oznámí ředitel této školy tuto skutečnost řediteli školy spádové, a to nejpozději do konce května kalendářního roku, v němž má dítě zahájit povinnou školní docházku. Pokud ředitel školy zjistí, že některé ze spádových dětí nebylo zapsáno na žádnou školu, nastává mu oznamovací povinnost vůči příslušnému OSPOD.

Upozorňujeme tedy na skutečnost, že obec je oprávněna (povinna) předat osobní údaje dětí škole, ale škola již nemá oprávnění předávat obci zpět informace o přijatých dětech.

Pokud zřizovatel provozuje informační systém k přijímání prvňáčků, není oprávněn do této evidence nahlížet. Zřizovatel je navíc povinen uzavřít zpracovatelskou smlouvu s případným provozovatelem takového systému.

 

Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance

Zaměstnavatel (organizace) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:

  • Zveřejněná informace o možnosti zasílat motivační dopisy a životopisy na danou pracovní pozici musí obsahovat konkrétní kontakt pro zaslání těchto dokumentů (nemělo by se tedy jednat o obecnou adresu přístupnou několika zaměstnancům organizace) a dále musí obsahovat poučení o tom, jak budou chráněny osobní údaje uchazeče / potenciálního zaměstnance, které zaměstnavatel ve výběrovém řízení získá.
  • Zaměstnavatel nesmí vyžadovat od uchazeče / potenciálního zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem.
  • Na základě písemné žádosti neúspěšného uchazeče si zaměstnavatel může pro své účely archivovat dokumenty tohoto uchazeče (motivační dopis, životopis), a to po stanovenou dobu nebo do odvolání uchazečem.

 

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u pedagogických pracovníků z pohledu GDPR

Doložení trestní bezúhonnosti – výpis z Rejstříku trestů vyžaduje u pedagogických pracovníků zákon č. 563/2004 Sb., o pedagogických pracovnících a o změně některých zákonů. Podle § 3 tohoto zákona se za bezúhonného pro účely tohoto zákona považuje ten, kdo nebyl pravomocně odsouzen za úmyslný trestný čin, nebo za trestný čin nedbalostní spáchaný v souvislosti s výkonem činnosti pedagogického pracovníka, pokud se na něj nehledí, jako by nebyl odsouzen.

Z toho je zřejmé, že požadovat výpis z Rejstříku trestů u pedagogických pracovníků není z pohledu GDPR problém, u ostatních (nepedagogických) pracovníků je však třeba od zpracování výpisu z Rejstříku trestů upustit.

 

Nakládání s osobními údaji při zajištění BOZP a PO

Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (organizace) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.

Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.

V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.

Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.

Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád organizace, v některých případech je doba uchování upravena přímo právním předpisem, např.:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10 let, resp. 40 let podle druhu práce;
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky;
  • § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy) – 5 let;
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) – 30 let.

 

Frekvence školení zaměstnanců v oblasti ochrany osobních údajů

Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

 

Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě

Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.

Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.

V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.

 

Kopie dokladů totožnosti

Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).

V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).

 

Ochrana osobních údajů v souvislosti se zákonem o registru smluv

Zákon č. 340/2015 Sb., o registru smluv, neobsahuje samostatnou úpravu týkající se osobních údajů – v § 3 odst. 1 zákon odkazuje na právní předpisy upravující svobodný přístup k informacím (zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který svůj vztah k osobním údajům vymezuje zejména v § 8a). Je proto nutné vycházet z obecné úpravy ochrany osobních údajů stanovené zejména Nařízením GDPR a zákonem o zpracování osobních údajů. Osobní údaje je možné zpracovat / uveřejnit jen na základě některého z právních titulů vymezených v čl. 6 Nařízení GDPR. Pokud ke zpracování osobních údajů jejich zveřejněním není k dispozici právní titul, je nezbytné osobní údaje v dané smlouvě anonymizovat. Ve výjimečných případech lze uvažovat i o souhlasu dotčené osoby s takovýmto zpracováním jejích údajů.

Nařízení GDPR ale nezná právní titul pro zpracování oprávněně zveřejněných osobních údajů, tak jak tomu bylo v zákoně o ochraně osobních údajů. Bez jiného právního titulu tak není možné osobní údaje, které jsou veřejné podle jiného zákona, uveřejňovat v registru smluv.

ÚOOÚ doporučuje vzhledem k právní úpravě zpracování osobních údajů dle Nařízení GDPR, aby povinné subjekty přijaly taková opatření, která zabrání neoprávněnému uveřejňování osobních údajů v registru smluv (tj. nastavení mechanismu anonymizace smluv a metadat). Rozsah osobních údajů, které mohou být v registru smluv uvedeny, je uveden v Metodickém návodu Ministerstva vnitra ČR k aplikaci zákona o registru smluv (více informace naleznete zde).

 

Osobní údaje uvedené na dotačních programech

Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě práv­ního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.

 

Zmocnění pro odvod dětí ze školy

Součástí spisu dítěte navštěvujícího školu jsou ve většině případů i kontaktní údaje osob, které jsou zákonným zástupcem dítěte pověřeny pro vyzvedávání dítěte ze školy. Osobní údaje těchto pověřených osob by zákonný zástupce dítěte měl uvést pouze s vědomím těchto osob, tedy s jejich souhlasem.

Zároveň bychom Vám chtěli připomenout, že zveřejněním seznamu dětí – jaké dítě odchází v jaký čas a s jakým doprovodem – dochází k porušení Nařízení GDPR, pokud pro takové zveřejnění nemáte udělený souhlas. Z tohoto důvodu doporučujeme mít takové seznamy uzamčené v šuplíku / skříni ve třídě.

 

Zveřejňování osobních údajů žáků

V propagačních materiálech školy, ve výroční zprávě, ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem zákonných zástupců žáků uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku či třídy).

Zákonný zástupce žáka má právo požadovat bezodkladné zablokování či odstranění zveřejněné informace, fotografie či záznamu týkající se osoby žáka, který zveřejňovat nechce. Platí to i o fotografiích či záznamech žáka bez uvedení jména v rámci obecné dokumentace školních akcí a úspěchů. Vždy je ale třeba dbát na to, aby dané zveřejnění nemohlo poškodit daného žáka. Například časté úspěchy jednoho žáka mohou spolužáci považovat za příliš přehnané a mohou mu to dát najevo určitou formou šikany. Takové rozhodnutí je vždy na vedení školy, stejně tak jako zodpovědnost za případný incident.

 

Souhlas se zpracováním osobních údajů na přihlášce ke stravování

Podle názoru MŠMT ČR není nutné, aby školní jídelna coby školské zařízení požadovala souhlas se zpracováním osobních údajů za účelem zabezpečení školního stravování žáků.

Podle Nařízení GDPR je zpracování osobních údajů zákonné, pokud jsou zpracovávány v odpovídajícím rozsahu a zpracování je nezbytné pro splnění právní povinnosti, která se na správce osobních údajů vztahuje. Zároveň škola má zákonem stanovenou povinnost zajistit školní stravování, a to přednostně v zařízeních školního stravování.

 

Sdělování informací o průběhu vzdělávání dítěte rozvedeným rodičům

Podle § 21 zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), mají zákonní zástupci dětí právo na informace o průběhu a výsledcích jejich vzdělávání.

Samotný rozvod rodičů v oblasti rodičovské zodpovědnosti toto právo nijak nemění bez ohledu na to, komu bylo dítě svěřeno do péče. To platí za předpokladu, že rodič nebyl soudem zbaven rodičovské zodpovědnosti nebo mu nebyla tato zodpovědnost v uvedené oblasti soudem omezena.

 

Personální agenda – archivace a skartace spisů zaměstnanců

Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (organizace). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu organizace uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci organizace i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů (viz vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby).

Osobní spis zaměstnance organizace má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.

 

Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů

Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (organizací) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:

  • obecnou archivační dobu stanovuje zákon č. 563/1991 Sb., o účetnictví, v délce 10 let pro účetní závěrky a výroční zprávy a v délce 5 let pro ostatní účetní doklady a účetní záznamy (počítá se vždy od konce daného účetního období);
  • speciální lhůty pro archivaci mzdových listů a dalších údajů potřebných pro důchodové pojištění (30 let a 10 let) stanovuje zákon č. 155/1995 Sb., o důchodovém pojištění;
  • zvláštní lhůty pro archivaci evidence pro účely nemocenského pojištění (10 let) stanovuje zákon č. 187/2006 Sb., o nemocenském pojištění.

Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:

  • mzdové listy a další údaje potřebné pro důchodové pojištění min. 30 let (jde-li o mzdové listy poživatele starobního důchodu, činí lhůta pouze 10 let);
  • záznamy o vzniku a zániku pracovněprávního vztahu, evidenci pracovní doby min. 10 let;
  • doklady o mzdách a dávkách nemocenského pojištění min. 10 let;
  • stejnopisy evidenčních listů min. 3 roky.

Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankcionován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.

 

Zveřejňování informací o přítomnosti zaměstnanců organizace na pracovišti

Některé organizace v návaznosti na transparentnost činností a dostupnost služeb poskytovaných občanům zveřejňují na webových stránkách organizace (prostřednictvím docházkového systému organizace) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců organizace na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců organizace) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.

Zveřejnění informace o přítomnosti zaměstnance organizace na pracovišti navíc nevede k vyšší informovanosti veřejnosti. Občan z uvedené informace pouze zjistí, že konkrétní zaměstnanec organizace je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance organizace na jeho pracovišti po celou pracovní dobu.

 

Evidence kontaktních údajů

Součástí některých formulářů organizace mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.

V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.

V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.

 

Nástroj pro anonymizaci dokumentů

Ministerstvo vnitra ČR bezplatně nabízí zaměstnancům orgánů veřejné moci nástroj pro anonymizaci dokumentů. Pomocí tohoto anonymizačního nástroje zaměstnanci organizace jednoduše a rychle provedou anonymizaci smluv organizace, které pak vloží do registru smluv.

Anonymizační nástroj naleznete na webové stránce https://anonymizace.gov.cz/crossroad/. Pro přihlášení do anonymizačního nástroje je nutné znát přihlašovací údaje do datové schránky organizace nebo JIP (Jednotný identitní prostor Czech POINT).

 

Dodatečné úpravy již uveřejněných smluv v centrálním registru smluv

Podle zákona č. 340/2015 Sb., o registru smluv, je vždy nutné provést anonymizaci smluv uveřejněných v registru smluv. Dodatečné úpravy uveřejněných smluv je možné dělat maximálně do tří měsíců od jejich zveřejnění s tím, že s novým zveřejněním se mění také účinnost smlouvy. Po 25.5.2018 však začalo docházet k dalším zjištěním nesprávné anonymizace uveřejněných smluv. V mnoha případech se ukázalo, že v registru smluv neprobíhala řádná anonymizace osobních údajů a že je potřeba tyto nedostatky napravit.

Níže uvádíme možný postup, jak provést dodatečnou anonymizaci osobních údajů, aniž by došlo ke změně účinnosti zveřejněné smlouvy.

  • Zdokladovat řádné zveřejnění: pořídit a uložit printscreen detailu původního záznamu (metadat); pokud má záznam více verzí, uložit printscreen každé z nich; uložit původní přílohy, uložit potvrzení o zveřejnění původního záznamu (všech verzí).
  • Znepřístupnit původní záznam pomocí formuláře Znepřístupnění záznamu (možno udělat až jako poslední krok).
  • Kompletně (metadata a přílohy) a správně (anonymizovat osobní údaje) zveřejnit smlouvu znovu, do předmětu smlouvy v metadatech vedle vlastního předmětu smlouvy zapsat informaci o tom, že jde o opakované zveřejnění smlouvy z důvodu ochrany osobních údajů a že původní zveřejnění bylo provedeno dne xy:

    „Opakované uveřejnění z důvodu ochrany osobních údajů, původní uveřejnění bylo provedeno dne …“; pozor, vlastní předmět smlouvy vhodně zkraťte, aby se Vám vešel do kolonky (celkem 255 znaků) včetně věty o opakovaném uveřejnění.

  • Smlouva bude mít nové ID a datum zveřejnění, nicméně bude v metadatech uvedena informace o původním datu zveřejnění; kontrolním orgánům je možné doložit dokumentaci původního záznamu, v případě soudního přezkumu lze požádat MV ČR o potvrzení o zveřejnění původního záznamu.

 

Poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím

Při zveřejnění poskytnuté informace nemají být zveřejněny identifikační údaje žadatele – fyzické osoby bez jeho souhlasu. Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele).

Stejně tak je potřeba případně provést anonymizaci osobních údajů uvedených v poskytnuté informaci, např. při zveřejnění smlouvy o poskytnutí právní pomoci (jméno, příjmení, adresa pobytu, rodné číslo) – žadateli o poskytnutí informace byly sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit jejich právo na ochranu osobnosti a osobních údajů těchto osob ústavně nepřiměřeným způsobem. Podle Stanoviska MV ČR je nutné upřednostnit ochranu osobních údajů a zveřejnit pouze doprovodnou informaci.

 

Zabezpečení osobních údajů

Je potřeba věnovat pozornost pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).

 

Anonymizace smluv v registru smluv

Při zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.

Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.

 

Kamerový systém organizace

Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).