Nařízení Evropské unie, které nedopřeje klidný spánek mnoha lidem z komerční sféry, bude mít nemalý vliv rovněž na subjekty veřejnoprávní sféry, jako jsou například obce. I tyto veřejnoprávní korporace se musí na novou právní úpravu ochrany a nakládání s osobními údaji začít připravovat již nyní.
Nařízení zkráceně označované jako GDPR upravuje především zpracování osobních údajů fyzických osob. Proto orgány samosprávy, jakož i orgány vykonávající státní moc v přenesené působnosti na úrovni obce, které s takovými daty operují na denní bázi, musí už nyní přemýšlet nad tím, kterým směrem se v cestě za naplněním podmínek nařízení GDPR vydají.
Nařízení se dotkne i ochrany těch údajů, o nichž to nemusí být na první pohled patrné, jelikož údaje o tom, které z dětí navštěvuje kterou školu či mateřskou školku, či údaje o poskytování sociálních služeb jsou jasnými identifikátory, podle nichž lze identifikovat konkrétní osobu, a jsou tak považovány za osobní údaje.
Na základě platných vnitrostátních předpisů budou obce od mnoha aspektů nařízení GDPR osvobozeny, nikoliv od všech. Subjekty údajů (osoby, jejichž údaje jsou shromažďovány) budou moci uplatnit tzv. právo být zapomenut, či právo na přenositelnost osobních údajů, kdy u obce střední velikosti bude zpracování těchto požadavků patrně představovat poměrně rozsáhlou a administrativně náročnou agendu.
Jakým způsobem se tedy připravit a na co?
Přednostně je potřeba počítat s několika aspekty nařízení, které se obcí přímo dotknou.
Mezi ty patří povinnost informovat fyzické osoby o způsobu nakládání s jejich osobními údaji, zmiňovaná rozšířená práva (právo na opravu osobních údajů, právo na přenositelnost, či právo na omezení zpracování), povinnost jmenovat pověřence pro ochranu osobních údajů, a v neposlední řadě i povinnost vést záznamy o činnostech zpracování.
V České republice je poměrně úspěšně naplňován zákon o ochraně osobních údajů a nařízení GDPR se může zdát jen jistou nadstavbou tohoto zákona. Na rozdíl od mnoha jiných zemí budou mít tuzemské obce podřízení se GDPR o něco jednodušší díky zkušenostem s aplikací zmiňovaného zákona. Ani tak se ovšem některým zásadním změnám nevyhnou.
Zcela novým institutem je tzv. pověřenec pro ochranu osobních údajů. Povinností této osoby je dohlížet na zpracování osobních údajů spravovaných obcemi v souladu s nařízením GDPR. Zároveň pověřenec poskytuje odborné poradenství, je komunikuje a řeší případné podněty na zpracovávání údajů nesprávným postupem s dozorčím orgánem, kterým je ÚOOÚ. Je nezbytné, aby pověřenec vykonával svou funkci nezávisle.
Institut pověřence sám o sobě naráží na nutnost zavést zcela novou funkci, ve které daný bude úředník působit jako auditor v rámci GDPR. Nařízení GDPR přináší ovšem i nutnost vytvoření a obsazení dalších nových pozic – odborníků potřebných pro bezproblémovou implementaci a následné dodržování nařízení.
Obce se mohou v tento okamžik vydat dvěma cestami: Řešit vše vlastními silami, či využít služeb externích společností.
Obě možnosti mají své výhody a zároveň svá úskalí. Výhodou je, že komerční poskytovatel služeb na poli GDPR přebírá odpovědnost za poskytované služby, má k dispozici zaškolený personál a odborníky. Úskalím se naopak může zdát právě samotná podstata nařízení. Externí poskytovatel služeb bude oprávněn – a ve většině případů bude muset – nahlížet do interních dokumentů a prohlížet veškeré osobní údaje, s nimiž obec pracuje a která spravuje.
Při snaze dostát povinnostem kladeným na veřejnoprávní korporace nařízením GDPR svépomocí je zde nutnost obsazovat jednotlivé nově vzniklé pozice a funkce pramenící z implementace nařízení GDPR prostřednictvím výběrových řízení pořádaných obcí, což značně zvýší finanční i časovou náročnost celého procesu, s ohledem na potřebu zaškolení nových zaměstnanců a jejich zapracování.
Kterou cestou se vydat nebude snadné rozhodnout, nicméně volbu je třeba učinit co nejdříve. Obce v závislosti na metodických pokynech Ministerstva vnitra ČR budou povinny pověřence pro ochranu osobních údajů jmenovat. Není přitom nutné, aby pověřenec byl zároveň zaměstnancem. Funkci pověřence tak pro obce může vykonávat i externí subjektu na základě smlouvy o poskytování služeb.
Externí subjekt zastávající funkci pověřence musí být vybírán vždy na základě zadávacího řízení. Dle interních pokynů obce se bude jednat o veřejnou zakázku malého rozsahu, pročež tato zakázka bude mimo režim zákona
č. 134/2016 Sb., o zadávání veřejných zakázek. Hodnota zakázky se bude odvislá od velikosti obce.
Ať už se obce rozhodnou pro interního pověřence pro ochranu osobních údajů, či delegují tuto činnost na externí společnosti, je třeba se s ohledem na krátký čas zbývající do účinnosti nařízení GDPR (květen 2018) začít rozhodovat již nyní.
Výše sankce za porušení povinností pramenících z nařízení GDPR pro veřejnoprávní korporace nebyla v České republice zatím stanovena, ovšem lze usuzovat, že bude obdobná obecné sankci zakotvené v nařízení GDPR, která činí až 20 milionů EUR. Případný spor o náhradu škody za porušení povinností při ochraně osobních údajů fyzických osob tak může mít pro obce fatální následky.