Kontakt

CTS Kuřim s. r. o.
Sv. Čecha 600/44
664 34 Kuřim
 
e-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
 
ID datové schránky: 42evf8i
 
tel.: +420 541230239

 qZákonnost

Øosobní údaje zpracováváme pouze zákonným způsobem

qTransparentnost a korektnost
ØVšechny informace a všechna sdělení týkající se zpracování OÚ musí být snadno přístupné, srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků
 
qÚčelnost
ØNutno stanovit účel na začátku zpracování
ØOsobní údaje musí být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely
 

qMinimalizace
ØOsobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány
 
qPřesnost
ØOsobní údaje musí být přesné a v případě potřeby aktualizované
 
qOmezení doby uložení
ØOsobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány
ØOsobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely
 

qIntegrita a důvěrnost
ØOsobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů
ØOchrana pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením
 
qPrincip založený na riziku (nově)
ØGDPR je postaveno na rizikově orientovaném přístupu
Øsprávce musí hodnotit zamýšlené činnosti a procesy zpracování údajů z hlediska rizik, které z těchto činností a postupů plynou pro práva a oprávněné zájmy subjektů údajů
Øsprávce je povinen na základě identifikovaných a zhodnocených rizik zavést přiměřené kontrolní mechanismy a opatření, které zajistí dodržování povinností stanovených GDPR a ochranu subjektů údajů
 

qPrincip odpovědnosti (nově)
Øzastřešuje předešlé zásady
Øvyjádření odpovědnosti správce za dodržování veškerých zásad a povinností, které mu GDPR ukládá
Øodpovědnost za prokazování tohoto souladu
Øproaktivní přístup za prokázání souladu

 

 

Marek Svoboda

systémový integrátor

Jungmannova 968/75,

Kuřim 664 34
E-mail:
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. , http://www.kurim.cz

 

 

Vážený pane Svobodo,

 

děkujeme Vám za zaslání mailového dotazu ze dne 9. 5. 2018 týkajícího se jmenování pověřence pro ochranu osobních údajů v rámci Centra technických služeb Kuřim (dále jen „Centrum technických služeb“) a za důvěru, se kterou jste se na nás obrátil. K dané problematice Vám sdělujeme následující:

 

V souvislosti s Vaším dotazem je především potřebné zdůraznit, že obecné nařízení[1] je koncipováno tak, že sám správce je plně odpovědný za posouzení, zda jmenuje pověřence pro ochranu osobních údajů na základě obecného nařízení. Podle čl. 37 obecného nařízení je povinností každého správce či zpracovatele posoudit, s přihlédnutím k individuálním okolnostem předmětného zpracování osobních údajů, zda se jedná o případ, kdy je správce či zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů. Úkolem Úřadu tedy není posuzovat, zda je správce či zpracovatel v konkrétním případě povinen jmenovat pověřence pro ochranu osobních údajů. V pochybnostech však Úřad doporučuje pověřence jmenovat a upřednostnit pověřence obligatorního. Pokud tak správce neučiní, lze mu doporučit, aby důvody pro své negativní rozhodnutí písemně sepsal a přiložil do složky dokumentů, ve které eviduje plnění povinností podle obecného nařízení.   

 

Nad rámec svých povinností Vám Úřad sděluje, a to v návaznosti na plnění poradní funkce v počátečním období účinnosti nové právní úpravy ochrany osobních údajů, další informace a postup, které by měly vést ke správnému zhodnocení Vaší případné povinnosti jmenovat pověřence:

 

Právní úprava

Případy, kdy je správce či zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů, upravuje článek 37 odst. 1 obecného nařízení následujícím způsobem:

 

„a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.“

 

Aplikace právní úpravy na konkrétní situaci

Z informací, které jste nám poskytl, vyplývá, že se ve Vašem případě jedná o společnost s ručením omezeným, jejímž předmětem činnosti je svoz odpadu, údržba zeleně, doprava, údržba komunikací, zajištění provozu sběrného dvora, údržba veřejného osvětlení, dláždění chodníků, výroba elektřiny a ostatní drobné činnosti. Pro objednání některé z uvedených služeb jsou po zájemcích vyžadovány osobní údaje v rozsahu jméno, příjmení, emailová adresa a telefon. Nejedná se tedy o orgán veřejné moci nebo veřejný subjekt a nedohází k rozsáhlému zpracování zvláštních kategorií osobních údajů či osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. V souvislosti s uvedeným lze konstatovat, že se nejedná o subjekt patřící do kategorií čl. 37 odst. 1 písm. a), čl. 37 odst. 1 písm. c) obecného nařízení.

 

Pro posouzení, zda se jedná o subjekt, který spadá do čl. 37 odst. 1 písm. b) je nezbytné zahrnout zhodnocení hlavní činnosti správce z hlediska prvků, jimiž jsou pravidelnost, systematičnost a rozsah zpracování osobních údajů. Bližší informace pro relevantní vyhodnocení dané věci jsou obsaženy v pokynech pracovní skupiny WP29[2]  týkajících se pověřenců pro ochranu osobních údajů.[3]

 

Pracovní skupina WP29 vykládá pojem „pravidelné“ v tom smyslu, že znamená jedno nebo více z níže uvedeného:

  • probíhající nebo vyskytující se po určité období v určitých intervalech,

  • opakovaně se vyskytující nebo opakovaný ve stanovených časech,

  • odehrávající se nepřetržitě nebo pravidelně. [4]

 

Činnosti poskytované Centrem technických služeb jsou vykonávány nepřetržitě nebo pravidelně. Výjimku může představovat údržba zeleně či dláždění chodníků, kdy nejsou tyto činnosti pravděpodobně činěny v zimních měsících, avšak lze je zařadit do kategorie činností probíhajících nebo vyskytujících se po určité období v určitých intervalech.

 

Systematické monitorování subjektu údajů je definováno jako činnost vyskytující se se v souladu se systémem či jde o zpracování předem naplánované, organizované nebo metodické.[5] Vzhledem k povaze výše uvedených služeb, které jsou poskytovány Centrem technických služeb, lze konstatovat, že se jedná o systematické monitorování subjektů údajů.

 

Posledním prvkem posouzení zmíněné kategorie správců či zpracovatelů je rozsah zpracování Čl. 37 odst. 1 písm. b) stanoví, že k tomu, aby vznikla povinnost jmenovat pověřence pro ochranu osobních údajů, se musí jednat o rozsáhlé zpracování osobních údajů. Konkrétní definici, co znamená rozsáhlé zpracování, obecné nařízení neuvádí. Podle pokynů pracovní skupiny WP29 je nutno vzít v úvahu především tyto faktory:

 

  • počet dotčených subjektů údajů – buď jako konkrétní číslo, nebo jako podíl příslušné skupiny obyvatelstva,

  •  objem údajů a/nebo škálu různých údajových položek, které jsou zpracovávány,

  •  trvání nebo stálost činnosti zpracování údajů,

  •  zeměpisný rozsah činnosti zpracování.[6]

     

V posuzovaném případě se jedná o poskytování služeb na území města Kuřim, celoročně či opakovaně v určitém období, v rozsahu informací týkajících se 1500 osob v souvislosti se správou hřbitova a 150 osob při objednávání služeb Centra technických služeb, vedení těchto osob v informačním systému Money S3 a v systému FUSIO (přehled objednávek a smluv).  

 

Na základě zohlednění rozsahu, kategorie a účelu zpracování Úřad pro ochranu osobních údajů (dále jen „Úřad“) doporučuje zřízení funkce pověřence pro ochranu osobních údajů v rámci Centra technických služeb na dobrovolné bázi. Jmenováním pověřence získá správce či zpracovatel nezávislou osobu, která dohlíží na soulad  zpracování s právními předpisy (především s obecným nařízením), zároveň tato osoba zajišťuje spolupráci s dozorovým úřadem a poskytuje správcům, zpracovatelům nebo zaměstnancům poradenství týkající se jejich povinností v souvislosti se zpracováním. Jmenování pověřence rovněž prokazuje péči správce či zpracovatele o zajištění odpovídající úrovně ochrany osobních údajů a jeho zájem na prevenci potenciálních škod.

 

Závěrem lze zmínit, že město Kuřim jakožto orgán veřejné moci má zákonnou povinnost zřídit funkci pověřence pro ochranu osobních údajů. Vhodnou variantou by mohlo být jmenování této osoby, detailně seznámené s individuálními okolnostmi zpracování osobních údajů v obci, pověřencem i pro Centrum technických služeb. Kromě toho, že pověřence můžete sdílet, může svou funkci vykonávat na částečný úvazek. V tomto ohledu je obecné nařízení velice pružné a umožňuje řešení, které bude nejlépe vyhovovat Vaší organizaci.

 

 

 

 

 

 

 

 

 



[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

 

[2] Od 25. 5. 2018 Evropský sbor pro ochranu osobních údajů.

[4] Pokyny pracovní skupiny WP29  týkajících se pověřenců pro ochranu osobních údajů, str. 10

[5] Pokyny pracovní skupiny WP29  týkajících se pověřenců pro ochranu osobních údajů, str. 10

[6] Pokyny pracovní skupiny WP29  týkajících se pověřenců pro ochranu osobních údajů, str. 9