Ochrana osobních údajů (GDPR)

Jaké povinnosti z GDPR výplývají správě domu, která zajišťuje pro SVJ dodavatelsky služby pro vlastníky jednotek vč. vyúčtování těchto služeb a účetnictví? Jaká další povinnost by přibyla, kdyby byly v domě instalovány kamery? 

Škola spravuje osobní údaje žáků ve své školní matrice. Součástí školní matriky je i evidence členů spolku Klub přátel a to včetně osobních údajů. Při žádosti Klubu přátel o dotace vyžaduje poskytovatel dotace osobní údaje členů spolku (Jméno, příjmení a rok narození). Musí mít škola speciální souhlas zákonného zástupce o poskytnutí osobních údajů třetí osobě?

Dne 14. 11. 2023 vydal Městský soud v Praze rozhodnutí, v němž konstatoval, že není možné na základě zákona č. 106/1999 Sb. , o svobodném přístupu k informacím, ve znění pozdějších předpisů, poskytnout otázky a odpovědi na ně ke složení úřednických zkoušek podle zákona č. 312/2002 Sb. , o úřednících územních samosprávných celků a o změně některých zákonů, ve znění pozdějších předpisů.

Dobrý den, chtěla bych se zeptat, jak dlouho je zaměstnavatel povinen archivovat předložené docházky od zaměstnanců (evidenci odpracované doby). Na mzdovém semináři lektorka řekla, že na základě GDPR je to pouze 3roky a pak je musíme skartovat. Je to tak správně? A jak je to se skartací exekučních příkazů na zaměstnance, které jsou již zastavené (bylo splněno oddlužením). Můžeme již skartovat? Děkuji za odpověď.

Do Senátu zamířil dlouho očekávaný návrh zákona o ochraně oznamovatelů. Byť příslušná směrnice1) nabyla přímé účinnosti dne 17. 12. 2021, poté co vypršela transpoziční lhůta. Ačkoliv se povinnosti ve vztahu k ochraně oznamovatelů již delší dobu týkají velké skupiny povinných subjektů, přesto kolem plnění povinností v této oblasti panují stále nejasnosti, které znovu vyplavou na povrch s účinností nové vnitrostátní úpravy.

Zaměstnanecké benefity lze definovat jako výhody poskytované zaměstnavatelem jeho zaměstnancům nad rámec mzdy nebo platu. V současném vysoce konkurenčním prostředí na trhu práce se stává získání a následné udržení kvalifikovaných pracovníků pro zaměstnavatele značně složitým. Zejména v „boji“ veřejného sektoru se soukromým se zaměstnanecké benefity mohou stát významným nástrojem, který napomůže získat zájem budoucích zaměstnanců a v průběhu pracovního poměru si tyto zaměstnance udržet.

Sociální sítě jsou fenoménem dnešní doby. Účty na sociálních sítích si zřizují úřady, přičemž tyto účty jsou vázané na konkrétní osobu, která je spravuje, zřizují si je zástupci obcí jako politikové, ale také jako soukromé osoby. Jen málokdo si uvědomuje všechny okolnosti, které z existence účtu na sociálních sítích a z jeho provozování vyplývají. Je ale třeba si uvědomit, že vše to, co se na sociálních sítích zveřejní, již povětšinou nelze vzít zpět a člověk ztrácí kontrolu nad dalším osudem informací, fotografií apod. Jaká pravidla by tedy měla být dodržována při správě účtu na sociálních sítích?

Obce zveřejňují na úřední desce dokumenty ve velkém rozsahu. Prakticky každý z těchto dokumentů obsahuje informace, které jsou osobními údaji ve smyslu čl. 4 odst. 1 Obecného nařízení (GDPR )1). Jedná se proto o zpracování osobních údajů, za něž odpovídá obec, která takové zveřejnění provede. Je-li správcem osobních údajů, musí plnit všechny povinnosti, které jí vyplývají z Obecného nařízení (GDPR ). Aby obec mohla posoudit, na jakém základě (jaký zákonný důvod) jsou dokumenty, a tedy i osobní údaje zveřejňovány, musí především rozlišit, zda se jedná o povinné zveřejňování nebo zveřejňování dobrovolné v rámci snahy o co největší transparentnost. A také zda se jedná o zveřejnění vlastních, nebo cizích dokumentů.

Moderní technologie v současné době umožňují pořizovat zvukovou i obrazovou nahrávku nejen velmi jednoduše, ale také skrytě. Díky tomu se rozšířil zvyk nahrávat nejen telefonické hovory, ale především jednání s úředními osobami, kdy se často účastníci řízení cítí být slabší stranou a buď pro jistotu, nebo již přímo pro ochranu vlastních práv pořizují skryté nahrávky. Je vůbec možné takové nahrávky pořizovat? A pokud ano, za jakých okolností? Odpověď není zcela jednoduchá. Rozhodování soudů není příliš konzistentní a také stanoviska Ministerstva vnitra jsou velmi opatrná, oscilují mezi „ano“ a „ne“, aniž by daly jednoznačnou odpověď.

K provádění veřejných průzkumů různého druhu dochází i ze strany obcí. Základním pravidlem by mělo být, že co nejdříve dochází k anonymizaci osobních údajů a v rámci vyhodnocování průzkumu se již nepracuje s konkrétními osobními údaji, jejichž pomocí by bylo možné idenfitikovat konkrétní osoby. Přesto se nelze vyhnout tomu, že v některých fázích se s osobními údaji, jak je chápe nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), pracuje. Proto i v rámci toho zpracování musí být dodržena všechna pravidla, která vyplývají ze zmíněného právního předpisu.

V průběhu roku 2022 docházelo a stále dochází k velkému množství kybernetických útoků, před kterými Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vydává varování. Jak NÚKIB uvádí, jenom během roku 2022 je evidováno několik incidentů směřovaných vůči obecním a krajským úřadům, potažmo subjektům, které pod ně spadají. Samosprávy jsou lákavý cíl kvůli možnosti finančního zisku a v důsledku toho je jedním z nejčastějších druhů útoku ransomware. Ten zablokuje systémy, čímž se základní služby poskytované městy a kraji stávají nedostupnými. Ze zkušeností jsou ohrožena jak velká města či samosprávy vyšších územních celků, kde lze očekávat možnost vyššího finančního zisku, tak i malé obce, u nichž naopak útočník neočekává silné zabezpečení.

Dne 11. 3. 2019 vydal Městský soud v Praze rozsudek čj. 14 A 89/2017-47 , v němž konstatoval, že ochrana soukromí dětí (ve formě znepřístupnění jména útočníků i jména oběti šikany) převáží nad právem zastupitelů obce být informován o záležitostech šikany ve škole zřízené danou obcí.

Dne 13. 5. 2021 zveřejnil Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) souhrnný materiál k prokazování totožnosti a zpracování osobních údajů. Na dvanácti stranách je možné nalézt odpovědi např. na otázky komu, kdy a jakým způsobem musí člověk prokazovat svou totožnost, jaké osobní údaje přitom mohou být zaznamenány, kdo je oprávněn pořídit kopii průkazu totožnosti… ÚOOÚ již v minulosti publikoval několik stanovisek, kde se vyjadřoval k nakládání s průkazy totožnosti a s možností pořizování fotokopií. Právní předpisy, které upravují tuto oblast, se zásadně nezměnily, pravidla jsou však neustále porušována, a to zejména soukromým sektorem. Pochybení však vznikají i při činnosti obcí.

V rámci činnosti obce se objevují situace a problémy, které se obec snaží vyřešit pomocí kamerového systému se záznamem. Instalace kamerového systému není vyloučená, je však třeba rozlišit, na jakých místech, pro jaké účely a jaký typ kamerového systému lze použít a za jakých okolností musí být proveden tzv. balanční test (test proporcionality). Důležité pro zákonnost provozovaného systému je i správné provedení testu, který musí obsahovat všechny podstatné náležitosti, jak vyplývají z Obecného nařízení (GDPR ) a z pokynů Sboru.

Dříve než začneme používat tiskové výstupy, je dobré si uvědomit, že toto zdánlivě obyčejné tiskové zařízení, které bez zaváhání a často využíváme, může mít souvislost s ochranou osobních údajů. Nesprávné nastavení tiskáren a multifunkčních zařízení může znamenat vznik potenciálního bezpečnostního incidentu a ohrožení osobních údajů. Na co si tedy dát pozor a jak správně tiskový systém nastavit a používat?

Otázka postavení správce a zpracovatele podle Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, je v praxi řešeno velmi často. Z jednoznačného určení pozic v rámci ochrany osobních údajů vyplývá plnění dalších povinností, které vyplývají z Obecného nařízení, dále vzájemné vztahy odpovědnosti, možnost udílet pokyny a v neposlední řadě i podoba smluvního vztahu a obsah smlouvy. Obvykle nebývá příliš komplikované definovat, kdo v daném vztahu je správce a kdo zpracovatel, či zda se jedná o vztah dvou správců. Oblast, kde se otázky objevují opakovaně, je oblast IT. Dodavatele služeb v oblasti IT využívá téměř každý napříč obory v soukromé i veřejné sféře, a to včetně obcí a jejich příspěvkových organizací. Mezi správcem a zpracovatelem musí být uzavřena smlouva, jejíž parametry jsou poměrně podrobně stanoveny v Obecném nařízení. Rozpoznání jednotlivých úloh je proto klíčové nejen pro správné nastavení smluvního vztahu, ale i pro nastavení odpovědnosti. Z praxe vyplývá, že dodavatel, byť je v pozici zpracovatele, se sám k odpovědnosti nehlásí, a je třeba podmínky zakotvit ve smlouvě.

Zaměstnavatel plánuje zřídit na pracovišti (zámečnická dílna) kamerový systém ke sledování zaměstnanců, zejména ke sledování dodržování pracovní doby, přestávek v práci a nakládání se zpracovávaným materiálem. Jak by se to dalo co nejjednodušeji ošetřit z pohledu GDPR? Dodatky k pracovním smlouvám nebo informované souhlasy zaměstnanců? Existuje někde jednoduchý vzor? 

Jako fyzická osoba (OSVČ) zpracovávám mzdy firmám. Zaměstnavatelem je OSVČ i právní subjekt. Od 1. 1. 2020 se zavádí eNeschopenka. Jak postupovat jako externí firma vůči svým klientům? Mám s klienty sepsány mandatní smlouvy a informace ohledně GDPR. Personalistika a mzdová agenda se nachází v mé kanceláři. Jak postupovat ohledně zavedení eNeschopenky? 

Dne 25. 5. 2019 uplynul rok od nabytí účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) [dále také „obecné nařízení“ nebo „GDPR “]. V předkládaném článku chceme popsat zásadní novinky, které přineslo GDPR , a to včetně jejich implementace v praxi. Vycházet přitom budeme především z vlastní zkušenosti s implementací obecného nařízení v prostředí územního samosprávného celku (kraje) a také u příspěvkových organizací tímto celkem zřízeným.

Při ukončení pracovního poměru je povinnost předat zaměstnanci veškeré písemnosti týkající se jeho osobních údajů, nebo je možná i ta alternativa, že celá složka s písemnostmi (pracovní smlouva, osobní dotazník, vstupní prohlídka, vysvědčení) se uloží do archivu školy, pokud proti tomu zaměstnanec nic nemá?