Nové obecné nařízení o ochraně osobních údajů (známé pod zkratkou GDPR), které bude platit od 25. května, přinese v praxi zcela jistě řadu konkrétních otázek, jak se má vlastně postupovat. Níže naleznete některé modelové příklady aplikace tohoto nařízení.
Název: Osobní údaje uváděné na certifikátu o vzdělání
Popis situace vyžadující ochranu osobních údajů: Vzdělávací agentura v rámci prohlubování kvalifikace úředníků územních samosprávných celků uvádí na certifikátu pro účastníka jméno, příjmení, datum a místo narození. Je možné všechny tyto osobní údaje na certifikátu uvádět?
Řešení: Osobní údaje se na certifikát uvádějí proto, aby se zamezilo záměně osob při případné shodě jmen. Datum narození tedy může být údajem, který právě riziku záměny osob zamezí. Zpravidla je tento údaj postačující. Situace, kdy bude shodné datum narození, jméno i příjmení u účastníků téhož kurzu, pravděpodobně nenastane. V souladu s principem minimalizace zpracování osobních údajů na nezbytnou míru tedy již není důvod uvádět údaj o místu narození.
Název: Zveřejnění osobních údajů žadatele o informaci podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů
Popis situace vyžadující ochranu osobních údajů: Podle § 5 odst. 3 zákona č. 106/1999 Sb. povinný subjekt do 15 dnů od poskytnutí informací na žádost tyto informace zveřejní způsobem umožňujícím dálkový přístup. Má/může povinný subjekt při zveřejnění poskytnuté informace zveřejnit i osobní údaje žadatele o informaci?
Řešení: Při zveřejnění poskytnuté informace nesmějí být bez souhlasu žadatele – fyzické osoby zveřejněny jeho osobní údaje. Zveřejnění těchto údajů spolu s poskytnutou informací by bylo porušením práva na ochranu osobních údajů.
Podle § 14 odst. 2 zákona č. 106/1999 Sb. žadatel – fyzická osoba uvede v žádosti o poskytnutí informace jméno, příjmení, datum narození, adresu místa trvalého pobytu nebo, není-li přihlášen k trvalému pobytu, adresu bydliště a adresu pro doručování, liší-li se od adresy místa trvalého pobytu nebo bydliště. Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je správcem těchto osobních údajů žadatele, tyto osobní údaje je však oprávněn zpracovávat pouze pro účely vyřízení žádosti o poskytnutí informace, nikoliv již pro účely zveřejnění těchto osobních údajů – podle § 5 odst. 3 zákona č. 106/1999 Sb. se zveřejňují poskytnuté informace, nikoliv údaje o žadateli.
Název: Zpracování osobních údajů obcí v souvislosti s životními jubilei občanů
Popis situace vyžadující ochranu osobních údajů: Starosta obce by rád poblahopřál k narozeninám občanům obce, kteří dosáhli významného životního jubilea (70 let). Je možné, aby obec pro tyto účely zjišťovala potřebné osobní údaje?
Řešení: Ano, zjišťování osobních údajů pro tento účel je možné. Podle ustanovení § 36a obecního zřízení obec může ocenit významné životní události svých občanů. I pro tento účel, který se nachází v působnosti obce, může obec v nezbytném rozsahu zjišťovat údaje ze základního registru obyvatel a dalších informačních systémů veřejné správy stanovených v § 149a obecního zřízení (mj. jméno a příjmení, datum narození a adresa místa trvalého pobytu). Pokud jde o možnost zveřejnit blahopřání v obecním zpravodaji, lze doporučit postup uvedený ve stanovisku Úřadu pro ochranu osobních údajů (srov. https://www.uoou.cz/k-nbsp-blahoprani-jubilantum-obcemi/d-20337):
„Úřad považuje za přípustné, jestliže jsou ve společenských rubrikách, např. „Blahopřejeme jubilantům naší obce“ nebo „Vítáme nové občánky naší obce“ v určitém měsíci i bez souhlasu zveřejněna pouze jména a příjmení bez jakýchkoliv dalších údajů. Pokud se obec pouze pro tuto formu ocenění významné životní události rozhodne, mělo by jít v případě blahopřání seniorům o významná životní jubilea, nikoli o každoroční zveřejňování jmen a příjmení v měsíci narození bez souhlasu jejich nositelů. K zveřejňování dalších údajů, např. věku, data narození, části…