dnes je 26.12.2024

Input:

Nové vzory a modelové situace pro GDPR v praxi malých obcí

14.5.2018, , Zdroj: Verlag Dashöfer

1.6.6
Nové vzory a modelové situace pro GDPR v praxi malých obcí

MV ČR, ÚOOÚ,

VZOROVÉ DOKUMENTY MV ČR

MVČR zpracovalo vzorové dokumenty určené především pro praxi malých obcí a nechalo vypracovat nejčastější modelové situace, se kterými se obce mohou setkat. Další budou následovat.

Jednotlivé modelové situace vycházejí z dotčených legislativních předpisů a jsou doplněny konkrétními příklady, se kterými se můžete setkat v praxi. Obecným úvodem k problematice je pak průvodce, který rekapituluje nejdůležitější principy, práva a povinnosti ochrany osobních údajů ve vztahu k veřejné správě.

Průvodce pro přípravu obcí na požadavky GDPR (pdf, 597 kB)

Modelové situace

  • Jak postupovat v případě žadatele, který požádá o zajištění všech relevantních informací, které o něm úřad vede (pdf, 455 kB)

  • Jak postupovat v případě požadavku občana na aplikace práv na výmaz záznamů (pdf, 361 kB)

  • Kyberbezpečnost a ochrana osobních údajů (pdf, 375 kB)

  • Platba místních poplatků (pdf, 390 kB)

  • Činnosti spojené s jednáním obecních zastupitelstev / rad měst - uveřejňování materiálů před jednáním / po jednání zastupitelstva / rady (pdf, 428 kB)

Vzorové dokumenty

Nové vzorové dokumenty jsou určené především pro praxi malých obcí: základní pravidla postupů souvisejících se zpracováním osobních údajů a smlouvu o poskytování činnosti pověřence uzavíranou mezi obcemi.

  • Základní pravidla postupu souvisejících se zpracováním osobních údajů - vzorový dokument pro praxi malých obcí  (docx, 20 kB)

  • Vzor smlouvy o poskytování činnosti pověřence obcí jiné obci  (odcx, 23 kB

  • Vzorový obsah pracovní náplně pověřence pro ochranu osobních údajů podle čl. 37 a násl. GDPR:  Příklad pracovní náplně pověřence  (docx, 52 kB)

  • Vzorový záznam o činnostech zpracování podle čl. 30 GDPR - agenda voleb (docx, 16 kB)
    Správce osobních údajů je podle čl. 30 GDPR povinen vést záznamy o činnostech zpracování. Náležitosti záznamu stanovuje GDPR. Záznam není protokolem o určité události, ale “katalogovým listem“ pro oblast činností, kde se zpracovávají osobní údaje.

VÝBĚR Z ODPOVĚDÍ ÚOOÚ KE GDPR

Společenství vlastníků jednotek, jestliže provádějí pouze zpracování osobních údajů v souvislosti s činnostmi spočívajícími v zajišťování výkonu bytových spoluvlastnických práv a povinností tak, jak je upravuje zákon č. 89/2012 Sb., občanský zákoník (viz § 1158 a násl. občanského zákoníku), pověřence jmenovat nemusejí.

Co je to "veřejně přístupný prostor" definovaný v čl. 35 odst. odst. 3 písm. c) GDPR? Je to pouze místo, kde může v určitém okamžiku vstoupit neomezený počet osob, a nebo jsou to i učebny ve školách a zkušebny v budovách orgánů veřejné správy?

Co se týče výkladu pojmu "veřejně přístupný prostor" ve vztahu k článku 35 odst. 3 písm. c) Obecného nařízení, lze odkázat na vodítka pracovní skupiny WP29 k posouzení vlivu na ochranu osobních údajů, ve kterých je na straně 9 v poznámce pod čarou čl. 15 k tomuto pojmu uvedeno:

The WP29 interprets "publicly accessible area“ as being any place open to any member of the public, for example a piazza, a shopping centre, a street, a market place, a train station or a public library.

Lze se tak přiklonit k názoru, že to budou jiné prostory než učebny či školy, ty zpravidla nebudou splňovat definici pojmu veřejně přístupný prostor. Veřejně přístupným prostorem je typicky např. nákupní obchodní centrum, ulice, vlaková stanice nebo veřejná knihovna.

Tato vodítka je možné stáhnout na odkazu http://ec.europa.eu/newsroom/document.cfm?doc_id=47711 .

Jak podle obecného nařízení postupovat při zapisování osobních údajů hostů ubytovacího zařízení do ubytovací knihy a ubytovací knihy cizinců pro účely cizinecké policie?

Pokud budete provádět zpracování, které Vám jako ubytovacímu zařízení ukládá zákon nebo jiná právní norma, bude se jednat o zpracování prováděné na základě právního důvodu uvedeného v čl. 6 odst. 1 písm. c) obecného nařízení (GDPR), tj. zpracování nezbytné

pro splnění právní povinnosti, která se na správce vztahuje. Připojuji odkaz na stanovisko Úřadu k této věci, obsahově by se na něm nemělo nic zásadního měnit ani po nabytí účinnosti obecného nařízení:

https://www.uoou.cz/stanovisko-c-7-2012-evidence-ubytovanych-osob/d-1543/p1=1099

Doporučuji Vám prostudovat čl. 13 a 14 obecného nařízení týkající se povinnosti správce poskytovat subjektu údajů informace o prováděném zpracování. Dalším důležitým ustanovením je čl. 24 o odpovědnosti správce při zajištění bezpečnosti osobních údajů: s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Upozornit je třeba i na článek 32 Zabezpečení zpracování, hlavně z důvodu, že ve svém dotazu uvádíte, že někteří provozovatelé ubytovacích zařízení nechávají knihy hostů volně dostupné, aby se tam hosté sami zapisovali. To je z pohledu dnes platné právní úpravy i z pohledu obecného nařízení zcela nezodpovědné nakládání s osobními údaji hostů (subjektů údajů).

Ještě upozorním na čl. 30, kde je upraveno vedení záznamů o činnostech zpracování, sice se toto ustanovení netýká podniků či organizací, které zaměstnávají méně než 250 zaměstnanců, ledaže by zpracování, které provádí, představovalo riziko pro práva a svobody subjektů údajů (tím by v případě lázeňského zařízení bylo zpracovávání údajů o zdravotním stavu klientů, které by nebylo nahodilé, tj. jednalo by se o běžnou součást poskytované péče).

Podléhá požadavkům GDPR účetnictví (prodejní doklady, mzdová a personální agenda) a co je třeba posoudit při zabezpečení této agendy?

Obecné nařízení o

Dasi - digitální asistent
Dasi
Nahrávám...
Nahrávám...