Z hlediska nakládání s osobními údaji tzv. GDPR nepřináší pro veřejnou správu žádné zásadní změny

říká v rozhovoru pro Veřejnou správu online JUDr. PhDr. Petr Mlsna, Ph.D., náměstek ministra vnitra pro řízení sekce legislativy a státní správy pověřený řízením sekce veřejné správy, do jehož kompetence právě zavedení nového nařízení EP a EK patří.

JUDr. PhDr. Petr Mlsna, Ph.D., náměstek ministra vnitra pro řízení sekce legislativy a státní správy pověřený řízením sekce veřejné správy

Jaký je váš názor na úroveň připravenosti celé veřejné správy na GDPR?

Problematice nové právní úpravy ochrany osobních údajů se je třeba věnovat, rozhodně však není třeba se jí obávat. Je třeba nepodlehnout nabídkám části podnikatelské veřejnosti, řídící se heslem „vystrašit a vyfakturovat“. Úřady samy mohou nejlépe zhodnotit, jaké osobní údaje využívají, jak s nimi nakládají, kdo k nim má přístup a jak jsou zabezpečeny.

Jsem přesvědčen o tom, že z hlediska nakládání s osobními údaji GDPR nepřináší pro veřejnou správu žádné zásadní změny. Úřady, které dodržují platný zákon o ochraně osobních údajů, nebudou muset s výjimkou podrobnější evidence, případně ohlašování bezpečnostních incidentů a jmenování pověřence pro ochranu osobních údajů dělat mnoho navíc.

Je potřeba si také uvědomit, že úřady zpracovávají osobní údaje většinou v rámci své úřední agendy. Diskutované novinky, jako je mj. právo na výmaz osobních údajů a právo na přenositelnost údajů se tak u orgánů veřejné správy projeví minimálně, neboť ke zpracování osobních údajů dochází převážně na základě zákona.

Kde vidíte největší úskalí pro obce a města?

Zejména pro menší obce je podle mého názoru největším úskalím danou problematiku správně uchopit a neřešit nesmyslné věci. Přestože se Ministerstvo vnitra účastní celé řady školicích akcí, spustilo samostatné webové stránky a připravuje také vzdělávací aktivity, ve veřejném i mediálním prostoru neustále přibývá nesprávných kategorických tvrzení o nových povinnostech a negativních dopadech GDPR. Zaznamenal jsem kupříkladu, že se řeší, zda můžete mít cedulku se jménem na dveřích, zda je možné si předávat vizitky, kde jsou také vaše osobní údaje, zda můžete přijímat návštěvy, když máte zapnutý monitor, kde jsou vidět vaše emaily apod. To jsou pochopitelně nesmyslné věci, nebo jak říká komisařka Jourová „naprosté bláboly“.

Cílem nové právní úpravy je, aby občané získali větší kontrolu nad svými údaji a aby podniky v oblasti nakládání s osobními údaji měly rovné podmínky. Pro úřady to znamená povinnost udělat si v této oblasti inventuru. To znamená provést kontrolu osobních údajů, tam, kde se jde nad rámec zákonných zmocnění, provést kontrolu poskytnutých souhlasů se zpracováním, udělat související kontrolu smluv včetně těch k vedeným informačním systémům a upravit je tam, kde nevyhovují, přijmout k ochraně osobních údajů jednoduchý vnitřní předpis, ze kterého bude zjevné, co má kdo na starosti, a až v poslední řadě jmenovat pověřence, což je pro obce a města patrně nejviditelnější téma.

MV pro tuto oblast zveřejnilo metodiku, obce se mohou spojit a mít dohromady jednoho pověřence. Totéž platí pro jejich příspěvkové organizace, ať už to jsou školy nebo třeba zdravotnická zařízení. MV přitom koordinuje resortní ministerstva, aby všechny metodiky hovořily stejným způsobem a stejným směrem. Vše zveřejňujeme na nedávno spuštěných webových stránkách http://www.mvcr.cz/gdpr/.

Hrozí sankce od samého počátku nebo zvažujete nějaké přechodné období?

Mimořádná mediální pozornost okolo GDPR často uvádí jako jednu z novinek po celé Evropské unii sjednocené a velmi vysoké sankce ve výši až 20 milionů euro. Malé obce hospodařící pouze s milionovými rozpočty se tak začaly obávat velmi vysokých likvidačních pokut. Po dohodě se zástupci obecních samospráv v adaptačních zákonech projednávaných v Legislativní radě vlády navrhujeme zastropování sankcí pro obce se základní působností a jejich příspěvkové organizace na 5 tisíc korun. V méně závažných případech, nebo pokud by obecně pokuta představovala nepřiměřenou zátěž, může být namísto pokuty uloženo jen napomenutí. To ostatně konstatuje i Úřad pro ochranu osobních údajů, který je klíčovým dozorovým orgánem.

Počítá státní rozpočet s nějakou podporou pro municipality nebo to bude zcela v jejich režii?

Odmítám tvrzení, že zavedení nových pravidel bude znamenat pro úřady nadměrné výdaje. Abychom samosprávám pomohli, navrhli jsme GDPR mezi témata, na něž bude možné čerpat prostřednictvím každoročních výzev pro obce, města, kraje a hl. městu Praha z Operačního programu Zaměstnanost. Jde o výzvy pro rok 2018, které budou vyhlášeny 15. března 2018 s termínem 15. června 2018 pro podání projektových žádostí. Podporovanou oblastí by mělo být zpracování analytických podkladů, strategických dokumentů a auditů navazujících na prvotní fázi implementace GDPR v roce 2018, konkrétně by podpora měla zajistit zpracování situačních analýz, procesního auditu hodnotícího implementaci GDPR v organizaci, strategické nastavení podpory GDPR a procesů souvisejících s GDPR, vyhodnocení plnění požadavků včetně návrhu opatření ke zlepšení procesů GDPR v organizaci, popř. zpracování příkladů dobré praxe. Nicméně realizace těchto projektů bude probíhat až v roce 2019, tudíž nepůjde o financování prvotní implementace, ale ověření prvotního nastavení systému.

Co dalšího kromě již zprovozněných webových stránek MV k problematice GDPR připravuje?

Jak jsem uvedl dříve, snažíme se sjednotit metodiky a požadavky jednotlivých úřadů. Spuštěný web by se měl stát rozcestníkem, kde zájemce získá potřebné relevantní údaje od všech resortů. Zřídili jsme také pracovní skupinu se zástupci územních samosprávných celků, jejímž účelem je spolupráce s územními samosprávnými celky při přípravě metodických nástrojů.

Základním krokem pro jednotlivé úřady budou systémové analýzy, tedy posouzení toho, co bude třeba udělat nad rámec dosavadních pravidel ochrany soukromí. Abychom úřadům pomohli, nechali jsme zpracovat vzorové systémové analýzy a to zvlášť pro kraje a zvlášť pro obce. Vzorová systémová analýza má být nástrojem, který budou moci všechny kraje a obce v České republice využít k vlastnímu samostatnému posouzení souladu svých činností s GDPR. Tento nástroj bude připraven tak, aby byl použitelný jak pro kraje, tak pro obce s rozšířenou působností, tak i pro malé obce; bude tedy zohledňovat specifika výkonu samostatné působnosti a přenesené působnosti na jednotlivých úrovních a zahrne též posouzení vzorových příspěvkových organizací. Zapojil se Středočeský, Karlovarský a Moravskoslezský kraj, z měst a obcí pak Děčín, Černošice, Cheb, Velké Meziříčí, Vyškov, městská část Praha 4, Tábor, Nymburk, Dobříš, Karviná, Praha-Zbraslav, Kamýk nad Vltavou, Vysoké Pole, Mladý Smolivec, Srbce. Výběr tak po dohodě s Asociací krajů ČR, Svazem měst a obcí ČR, Sdružením místních samospráv ČR a Sdružením tajemníků obecních a městských úřadů ČR pokrývá různé typy i velikostní kategorie obcí. Rád bych využil této příležitosti a všem spolupracujícím úřadům a jejich svazům poděkoval za spolupráci.

V neposlední řadě MV iniciovalo vznik robota na chatování, tzv. Chatbota GDPR. Otázky k obecnému nařízení o ochraně osobních údajů tak lze klást na stránkách Svazu průmyslu a dopravy České republiky, kde byl uveden do provozu automatický komunikátor disponující databází otázek a odpovědí k obsahu a podstatě nařízení. Na tento obecný osvětový nástroj chceme navázat vzděláváním na konkrétních příkladech a se vzorovými materiály.

Děkuji za rozhovor.

Prokop Konopa

© 2022 Triada, spol. s r. o., Praha, spolupráce: Webhouse, s. r. o.