Města a obce v pasti GDPR
- Datum: 29.04.2024
Pravidla pro zpracování osobních údajů dopadají i na územní samosprávu. Jak města a obce osobní údaje chrání a s čím mají v praxi problémy?
Města a obce přistoupily k plnění povinností, které pro ně vyplývají z především z obecného nařízení o ochraně osobních údajů (GDPR), rozdílně. Na jedné straně máme takové, které si formálně zajistily pověřence pro ochranu osobních údajů a spoléhají na absenci pokut, ale dostaneme se i ke skupině těch s poctivým přístupem a snahou zajistit řadu povinností, které vyplývají z jejich postavení správce osobních údajů.
Jedním z častých témat, které samospráva řeší, je vztah s IT dodavateli, jejich přístup k osobním údajů, nastavení zpracovatelských smluv a plnění dalších povinností plynoucích z GDPR.
I dodavatel pro obec je zpracovatelem osobních údajů
V naší praxi se setkáváme s neochotou dodavatelů informačních systémů, kteří ochranu osobních údajů příliš neřeší a uzavírají s městy či obcemi nedostatečné zpracovatelské smlouvy, či zpracovatelské smlouvy neuzavírají vůbec. Organizacím je pak nabízena zpracovatelská smlouva, ve které chybí řada povinností vyplývajících z čl. 28 odst. 3 GDPR, nebo je zcela opomenuto ustanovení o odpovědnosti za škodu.
Už samotná identifikace, zda se v případě konkrétního dodavatele jedná o zpracovatele osobních údajů podle GDPR, bývá předmětem dlouhých diskusí.
Nabízí se tedy možnost stávající nedostatečné smluvní vztahy vypovědět a zajistit si nové dodavatele informačních systému. Potíž je v tom, že takové změny jsou organizačně, právně a fakticky náročné a mnohdy neexistuje adekvátní konkurence.
Neochota IT dodavatele komplikuje život pověřenci
Externí či interní pověřenec pro ochranu osobních údajů se dostává do úzkých, protože při téměř každém úkonu nebo kontrole naráží na nedostatky a neochotu ze strany dodavatelů, kteří si zpětně organizacím stěžují na pověřence a jejich nároky. A tak pověřenci postupně docházejí k názoru, že je lepší držet se hesla – kdo nic nedělá, nic nezkazí. Svou nečinností si nezpůsobí u svého správce potíže. Ti důmyslnější vydávají stanoviska k jednotlivým informačním systémům, kde popíší právní nedostatky a odevzdají je správci, aby alespoň v minimálním měřítku dostáli svým povinnostem. Města a obce si stanoviska uloží do šuplíku a pokračuje se dál.
Kamery, školní matriky, účetnictví…
O jaké dodavatele informačních systémů se typicky jedná?
Často se setkáváme s nedostatečnými smluvními podmínkami u dodavatelů kamerových a zabezpečovacích systémů, knihovních systémů, profilů zadavatele, technologie Smart City, informačního rozhlasu, školních matrik, dodavatelů informačních systémů pro vedení spisové služby či účetnictví. Na ne vždy příkladnou spolupráci s dodavateli týkající se zabezpečení dat a smluvních vztahů poukazují i výstupy z kontrol a výroční zprávy Úřadu pro ochranu osobních údajů za rok 2022 a 2023.
Ve veřejném registru smluv lze dokonce nalézt střet zájmu pověřence pro ochranu osobních údajů, který má s jedním a týž subjektem uzavřen smluvní vztah na externí výkon činnosti pověřence a zároveň se zabývá správcovstvím sítí a je dodavatelem HW a SW.
Města a obce mají jen minimální prostor se touto problematikou podrobně zabývat. Argumentace měst a obcí je často založena na faktu, že když jim za porušení povinností v oblasti ochrany osobních údajů nehrozí sankce, nebudou tuto problematiku hlouběji řešit. Dodavatelé spoléhají na to, že města pokutu nedostanou, a nevznikne tak nárok na náhradu škody.
Můžeme se tedy snad spolehnout alespoň na soudní řízení, které se ochranou osobních údajů začíná více zabývat díky zvyšujícímu se počtu žalob na ochranu osobnosti, resp. žalob na náhradu nemajetkové újmy způsobené protiprávním zpracováním osobních údajů. Rovněž je potřebné zmínit reputační riziko, které hrozí městům a obcím v případě bezpečnostního incidentu, včetně například úniku či zveřejněních osobních údaj, na straně nedostatečně prověřeného a zasmluvněného zpracovatele.