Zavedení GDPR ve veřejné správě nemusí být drahé | 1. VOX a.s. – školení, kurzy, semináře
  • Aktuality 2018
  • Zavedení GDPR ve veřejné správě nemusí být drahé, dalo by se zvládnout i vlastními silami

Zavedení GDPR ve veřejné správě nemusí být drahé, dalo by se zvládnout i vlastními silami

Od 25. května letošního roku vystoupí v platnost Obecné nařízení o ochraně osobních údajů (GDPR). Podle spolupracujícího lektora 1. VOX a poradce pro otevřenost veřejné správy Oldřicha Kužílka nenastane jeho zavedením žádná nová obsahová povinnost. „Po správci se požaduje, aby si opravdu vyjasnil, které údaje potřebuje a nežádal po občanech kopii občanky nebo rodné číslo kvůli situacím, kdy nejsou nutné. Aby ke každé agendě, v níž osobní údaje občanů zpracovává, si sepsal jakýsi stručný „techničák“ a přesně si uvědomil, zda s nimi nakládá oprávněně, na základě jakého zákonného podkladu, v pouze nutném rozsahu a zda si je ukládá zbytečně dlouho,“ říká Kužílek.

Co znamená povinnost zavést GDPR pro veřejnou správu? Co všechno tomuto nařízení bude podléhat?
Pro veřejnou správu nenastává prakticky žádná nová obsahová povinnost. Vše již platilo a mělo se dodržovat snad již od roku 2000. Důvodem obav a křečovitě uspěchaných snah rázem vše vyřešit a napravit je to, že Obecné nařízení o ochraně osobních údajů (GDPR) výrazně posiluje důraz na odpovědnost správce.

V jakém smyslu?
Požaduje po něm, aby opravdu, ale tentokrát už opravdu a ne jen česky naoko, si udělal pořádek v různých osobních evidencích, databázích, postupně vrstvených systémech. Aby si opravdu vyjasnil, které údaje potřebuje a nežádal po občanech kopii občanky nebo rodné číslo kvůli situacím, kdy nejsou nutné. Aby ke každé agendě, v níž osobní údaje občanů zpracovává, si sepsal jakýsi stručný „techničák“ a přesně si uvědomil, zda s nimi nakládá oprávněně, na základě jakého zákonného podkladu, v pouze nutném rozsahu a zda si je ukládá zbytečně dlouho. Taky aby si tuto odpovědnost přestal zjednodušovat předkládáním hromady souhlasů ke všemu možnému. Nesmyslná praxe „odsouhlasovávání“ kdejakého legitimního a běžného postupu zaneřádila úřady tak, že teď budou muset vynaložit část úsilí, aby se falešných a bezdůvodných souhlasů zbavili. Aby dovedli toto korektní a férové nakládání s údaji zvládat a taky správně komunikovat a informovat lidi, jejichž údaje používají, ukládá jim Obecné nařízení ve většině případů pořídit si na to specialistu – pověřence. Toho ale mohou také sdílet, třeba několik obcí a úřadů společně.

Obecnému nařízení tedy podléhají všichni?
Ano, obecnému nařízení, úplně stejně jako dosud zákonu o ochraně osobních údajů, podléhají všichni, kdo nějak systematičtěji sbírají a dále nakládají s osobními údaji jednotlivců, třeba i jen pro svou mzdovou agendu. Tedy ve veřejné správě všechny subjekty,  včetně příspěvkovek, obecních a státních firem, stejně tak jako v soukromém sektoru.
 
Co všechno pro splnění této povinnosti musí nebo budou muset udělat jednotlivé úřady?
Prvním krokem je udělat si jasno. Říká se tomu analýza souladu (míněno souladu s požadavky Obecného nařízení), rozdílová analýza, GAP analýza nebo analýza rizik. Nebo třeba zmapování agend s osobními údaji. Tím se zjistí, co máme špatně. Prostě si ty agendy sepíšu a pak si odpovím na sadu otázek, například jak dlouho údaje uchovávám a jestli oprávněně.
 
Co bude následovat poté?
Pak se navrhnou k jednotlivým závadám různá řešení. Jednou to znamená data vymazat, jindy zrušit souhlasy a vyjasnit, že je zpracováváme na základě zákonného zmocnění, takže za souhlas nemáme co chtít. V jiném případě zase předělat formulář různých podání a přihlášek s nadbytečnými údaji, anebo třeba lépe zamykat skříň se mzdovou evidencí a lépe chránit personální databázi v počítači nebo na „flešce“, kterou si referentka nosí domů, aby to přes víkend dodělala. Nutné taky bude zpřesnit vnitřní předpisy a smlouvy s externími firmami, které nám agendu zpracovávají. A taky musíme začít jasněji a přesněji informovat veřejnost, zčásti i na webu, cože to s těmi jejich údaji vlastně provádíme a proč? Opakuji – to vše už platilo skoro dvacet let, pouze jsme to hromadně nedodržovali. Stanovíme si taky priority, kde začít a co zatím nespěchá. A pak je třeba tato řešení zavést do praxe. Pověřenec, jakýsi povinný kritik, kibic a kontrolor toho, jak s osobními údaji nakládáme, nám v tom bude pomáhat, navrhovat řešení, ale musí zůstat nezávislý. Jinak by to zas skončilo tím tradičním „jistě pane řediteli, nějak to zaonačíme“.

Jak to bude náročné finančně a odborně pro jednotlivé úředníky?
Ve skutečnosti zavedení Obecného nařízení nemusí být ve veřejné správě drahé. Dalo by se zvládat i vlastními silami, spíše se vzdělávací a metodickou pomocí zvenku. Bohužel ale tím, že to všichni odkládali a hlavně desetiletí neplnili již existující povinnosti, tím, že nyní chtějí co nejrychlejší řešení, pokud možno tzv. „na klíč“ a navíc ještě si za veřejné peníze koupit nezodpovědnost (máme glejt od advokátní kanceláře!), šplhají se ceny do závratně nesmyslných výšek.  Setkal jsem se – byť v soukromém sektoru – s případem, kdy za zavedení v hodnotě odhadem nejvýš do sta tisíc korun podnikatel s nadšením vyplázne advokátní kanceláři, která se tuto problematiku naučila zázračně přes noc, čtyři miliony.
 
A jak to je s náročností po odborné stránce?
Odborná náročnost také není až tak dramatická. Je to jako s každou agendou, kterou potřebujete zvládnout více než jen povrchně. Zprvu koukáte jako z jara, ale po pár týdnech si to začne sedat, začnete chápat vnitřní souvislosti, přečtete si pár odborných statí a metodických materiálů Úřadu pro ochranu osobních údajů, a ledacos zvládnete stejně jako správní řízení nebo jinou agendu. Kdo dodržoval dosavadní zákon „101“, měl by mít naprostou většinu v pořádku. Klíčovou roli hrají dobrá školení, jejichž skrytým cílem není systém dvou V: vyděs a vyfakturuj. Takové vám moc konkrétního neřeknou, namísto praktických postupů zdůrazňují hrozící finanční sankce.
 
Co se stane, když se jednotlivé úřady nestihnou včas připravit?
Vystaví se nějakým rizikům. S ohledem na kapacity ÚOOÚ (Úřadu na ochranu osobních údajů) samozřejmě nikdo nepředpokládá hned po květnu 2018 nějaké kobercové nálety kontrolorů. Na druhé straně není těžké tato rizika účinně snižovat a je potřeba se do toho hned pustit. Začít tak, abychom do května měli alespoň nejkřiklavější vady opravené. Z venku bude nejviditelnější, zda na webu poskytujeme informace o tom, jaké všechny agendy s osobními údaji používáme, a pár informací o nich. I tato povinnost není novinkou a mnoho úřadů ji už roky plní. Nepředpokládám tedy, že by úřady začaly hromadně dostávat pokuty. Může se také stát, že se ozvou někteří lidé, jejichž údaje máte a používáte, s nějakým požadavkem. Třeba jen na informaci, jaké jejich údaje máte, anebo abyste je vymazali. Stejně jako dosud, budou úřady povinny jim odpovědět a takovou žádost vyřídit. S ohledem na medializaci se takhle může zprvu ozvat více lidí, než dosud, kdy o tomto svém právu ani nevěděli.

Jiří Štefek

Kontakt
1. VOX a.s., Senovážné náměstí 978/23, 110 00 Praha 1,
telefon: 226 539 670, 777 741 777, e-mail: vox@vox-kurzy.cz
Rychlá navigace
Zobrazit mobilní verzi
Všechna práva vyhrazena 1. VOX a.s.