4 situace, ve kterých by si pověřenec pro ochranu osobních údajů měl vědět rady (+ řešení)

20. 7. 2018 Martin Kornel Právo pro veřejnou správu GDPR

1. Smažte všechno, co o mě máte

Odbor životního prostředí pošle panu Novákovi e-mail s informací, že u něj eviduje nedoplatek za svoz odpadu. Pan Novák reaguje odpovědí, aby mu úřad už nic neposílal, smazal jeho e-mailovou adresu a všechny další údaje, které o něm má. Věc doputuje k vám a máte ji nějak vyřešit. Jak budete postupovat?

Z pohledu GDPR lze citovaný e-mail vyložit jako odvolání souhlasu se zpracováním osobních údajů. Souhlas je pouze jedním ze zákonných titulů, na jejichž základě správce pracuje s osobními údaji. Obce a jimi zřizované organizace typicky většinu údajů zpracovávají proto, že jim to ukládá zákon. Subjekt údajů (zde pan Novák) v takových případech neudělil souhlas se zpracováním svých údajů, a proto ho nemůže ani odvolat. Pro vyřízení dotazu tedy nebude nutné procházet všechny agendy, v jejichž rámci se nakládá s osobními údaji daného občana, ale jen ta zpracování, k nimž udělil souhlas.

Možný postup pro vyřízení požadavku:
  1. Nejprve prověříte, v rámci kterých agend úřad zpracovává osobní údaje na základě souhlasu. Seznam jednotlivých typů zpracování byste měli mít v interní směrnici a v Záznamech o zpracování osobních údajů. Z těchto dokumentů by mělo být patrné, jaké jsou zákonné tituly pro jednotlivá zpracování.
  2. Vyberete ta zpracování, u nichž je zákonných titulem souhlas. Na základě souhlasu jsou typicky uchovávané fotografie nebo e-mailové adresy osob, které chtějí být o něčem informovány (o změnách trasy MHD, o letní otevírací době knihovny apod.).
  3. U všech zpracování údajů založených na souhlasu prověříte, zda zpracováváte i údaje pana Nováka. V případě, že ano, vyřadíte jeho osobní údaje z databáze.
  4. Informujete pana Nováka o tom, jaké změny byly provedeny v důsledku jeho odvolání souhlasu se zpracováním jeho osobních údajů. Zároveň je vhodné ho informovat, že odvoláním souhlasu nejsou dotčena ostatní zpracování a odkázat ho na veřejné Zásady zpracování osobních údajů. Doporučujeme také informovat adresáta o tom, z jakého podnětu dostal e-mail, na který reagoval - zda se jednalo o informování, ke kterému se sám přihlásil (a tím pádem už mu podobné e-maily chodit nebudou), nebo například o vymáhání existujícího dluhu vůči obci.

2. Ztracený flash-disk s osobními údaji 

Zaměstnanec knihovny si na soukromý flash-disk uložil seznam čtenářů, kteří nereagují na výzvy k vrácení půjčených knih. Seznam obsahuje jména, příjmení, kontaktní údaje, seznam půjčených knih a dlužné částky. Disk se ztratí neznámo kam. Ředitelka knihovny vám volá s dotazem, co má dělat. Co jí odpovíte?

Pro tyto případy tzv. porušení zabezpečení by měl být správce připraven vyhodnotit, jaká rizika hrozí subjektům údajů, jejichž osobní údaje takto unikly.

Může záležet na mnoha faktorech, například zda byla data šifrovaná nebo přístup k seznamu zabezpečen heslem. Pokud by tomu tak bylo, zřejmě by bylo možné vyhodnotit dané porušení zabezpečení jako bez rizika a nebylo by proto třeba incident oznamovat Úřadu pro ochranu osobních údajů.

V případě, že data žádným způsobem chráněna nebudou, mohlo by porušení zabezpečení riziko pro subjekty údajů, například ohrožením jejich dobré pověsti, pokud by byla informace o tom, že jsou dlužníky, neoprávněně zveřejněna. To by znamenalo, že bude správce, v tomto případě knihovna, povinna oznámit porušení zabezpečení Úřadu. Kdyby existovala dokonce hrozba vysokého rizika (což u seznamu čtenářů obvykle jistě hrozit nebude) byl by správce dokonce povinen porušení zabezpečení oznámit i přímo čtenářům, jejichž osobní údaje byly takto ztrátou flash disku ohroženy.

3. Jak dlouho uchovávat životopisy uchazečů o práci? 

Kolegové z personálního oddělení vás žádají o možnost uchovávat si v počítači životopisy všech uchazečů o pracovní místa na neurčitou dobu, aby je mohli zvát i na další výběrová řízení. Jde to zařídit?

Zpracování osobních údajů kvůli uspořádání jednoho výběrového řízení je v pořádku, to je bez diskuse, a není k němu potřeba ani souhlas uchazečů se zpracováním. Z pohledu GDPR je zákonným titulem oprávněný zájem správce a lze rozumně předpokládat, že osoba, která se z vlastní iniciativy přihlásila o volné místo, rozumí tomu, že bez zpracování jejích osobních údajů to nepůjde. Kontaktní údaje, životopisy a podobně je možné mít uložené ještě pár měsíců poté, co se výběrové řízení konalo, pro případ, že přijatý uchazeč odejde ještě ve zkušební době a vy budete chtít přímo oslovit někoho dalšího.

Co se týče zpracování pro účely opětovného oslovení s nabídkou jiného pracovního místa po uplynutí zkušební lhůty, doporučujeme k němu získat od uchazečů souhlas, neboť účel tohoto zpracování už není obsazení pracovní pozice, na kterou se uchazeči hlásili. Souhlas by neměl být udělován na dobu neurčitou, ale jen na dobu, po kterou lze rozumně předpokládat, že životopisy budou ještě aktuální a nabídka práce bude pro danou osobu relevantní, tedy řekněme na 1-3 roky. GDPR na tuto otázku nedává přesnou odpověď, pouze požaduje, aby se udaje neuchovávaly delší dobu, než je nezbytné pro dosažení účelu jejich zpracování. Po uplynutí stanovené doby by se osobní údaje měly smazat.

Náš návrh postupu:
  1. V rámci přihlašovacího procesu uchazeče informovat o tom, jak se jejich údaje zpracovávají, například odkazem na veřejný dokument Zásady zpracování osobních údajů. Tyto zásady by měly popisovat jak "obvyklý" proces s daty uchazečů (která se např. 6 měsíců po konání výběrového řízení mažou), tak zpracování údajů těch, kteří udělili souhlas s tím, že je úřad bude informovat i o dalších pracovních místech v budoucnu.
  1. Do přihlášky zahrnout zaškrtávací políčko, jímž uchazeč udělí souhlas s uchováním svých údajů po dobu max. 3 let po konání výběrového řízení. Zaškrtnutí tohoto políčka však není povinné pro zařazení uchazeče do výběru. Alternativně lze souhlas získat jen od neúspěšných uchazečů na základě e-mailu, jímž se jim oznamuje jejich nepřijetí a oni následně potvrdí, že s dalším zpracováním souhlasí.
  1. Uvedené změny doplnit do všech dokumentů, kde by měly být. Kromě zmíněných Zásad zpracování osobních údajů (či jinak nazvaného dokumentu, který uceleně informuje o tom, jak úřad s osobními údaji nakládá) to jsou ještě Záznamy o zpracování osobních údajů, případně interní směrnice a pracovní postupy.

4. Check-list pro kontrolu smluv 

Váš úřad mění poskytovatele softwaru pro mzdovou agendu. Dostanete návrh smlouvy ke kontrole, zda dostatečně chrání osobní údaje zaměstnanců. Co v něm budete kontrolovat?

Seznam položek, které ve smlouvě budete hlídat, není stejný pro každého správce a každý typ údajů, protože rizika plynoucí ze zpracování se mohou lišit. Další položky do seznamu přidávejte podle vaší konkrétní situace a míře rizika. Obecně platí, že při kontrole smluv byste měli mít možnost pracovat v tandemu s právníkem nebo se na něj alespoň obrátit, když si nebudete jisti. Základní seznam položek, které doporučujeme do smlouvy zahrnout, je následující:

Základní informace
  • Identifikace správce a zpracovatele, datum
  • Jaké osobní údaje se zpracovávají, jsou jsou subjekty těchto údajů?
  • Za jakým účelem, z jakého právního titulu a po jak dlouhou dobu se údaje zpracovávají?
  • Kde jsou data uložena a jak jsou zabezpečena?
  • závazek zpracovávat data na základě pokynů správce
  • závazek zpracovávat data v souladu s GDPR
Zabezpečení a dostupnost dat
  • závazek přijímat vhodná technická a bezpečnostní opatření, udržovat odolnost systému, v němž jsou data uložena, a zkvalitňovat zabezpečení
  • závazek zálohovat data
  • podmínky pro zapojení dalšího zpracovatele nebo postoupení údajů dalšímu subjektu
  • závazek mlčenlivosti zpracovatele, ošetření mlčenlivosti jeho zaměstnanců
  • případný závazek informovat správce například při významných změnách v zabezpečení
Předcházení problémům. Co se stane, když…
  • … někdo ze subjektů údajů bude chtít uplatnit své právo získat plné informace o zpracování svých údajů?
  • … dojde k narušení zabezpečení, ohrožení nebo úniku dat?
  • … dojde ke změně sekundárního zpracovatele (např. IT podpory vašeho dodavatele)?
  • … budete muset doložit existenci souhlasů se zpracováním osobních údajů?
  • … zpracovatel od vás dostane pokyn, který by vedl k nižšímu zabezpečení nebo je v rozporu s předpisy na ochranu osobních údajů?
  • … uplyne doba, na jakou je smlouva uzavřena?

Pověřenec z řad Frank Bold Advokátů

Jestliže potřebujete pověřence, obraťte se na nás. Jsme dostupní na telefonu nebo na e-mailu a GDPR řešíme denně. Rádi vám ušetříme čas a starosti.

1. Pohlídáme soulad vaší praxe s právními předpisy. Můžete s námi konzultovat jakýkoliv proces nebo dokument, který se dotýká osobních údajů. Posoudíme ho z pohledu GDPR, zhodnotíme rizika, případně navrhneme úpravu. Výstupem naší práce je písemné stanovisko. 

2. Jsme na telefonu pro dotazy vašich zaměstnanců.

3. Pomáháme vyřídit dotazy a žádosti osob, jejichž osobní údaje zpracováváte a které požadují výmaz, opravu či přístup ke svým údajům.

4. Připravíme vás na kontrolu Úřadu pro ochranu osobních údajů a zastoupíme vás před tímto úřadem.

Rozsah služby

 

Martin Kornel

Advokát a vedoucí týmu generálního práva

Ozvěte se nám