Nakládání s osobními údaji z pohledu Hasičského záchranného sboru České republiky
Hasičský záchranný sbor České republiky (dále jen „HZS ČR“) reaguje na nová opatření v souvislosti s nařízením GDPR (General Data Protection Regulation), které vstoupilo v účinnost 25. května 2018.
Již před vstupem do Evropské unie byla Česká republika nucena přehodnotit ochranu osobních údajů, tedy systém nakládání s těmito údaji, kdy byl tehdy přijat zákon o ochraně osobních údajů (zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů). Další velká změna, zejména aplikační, souvisí s nakládáním s osobními údaji v rámci informačních systémů - zahájení fungování systému základních registrů. V této souvislosti i HZS ČR musel na tento novodobý stav reagovat. Nejprve to bylo novelou krizového zákona (zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon)) v roce 2010, stanovující oprávnění vstupu do základních registrů. Následně zákonem o HZS ČR (zákon č. 320/2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru)), kdy část právní normy obsahuje úpravu o nakládání s informacemi a osobními údaji. Tato část právní úpravy byla přijata v návaznosti na výjimku danou HZS ČR (zejména z důvodu bezpečnosti) v zákoně o ochraně osobních údajů. A dnes stojíme před další velkou změnou, kdy i HZS ČR musel přijmout patřičná opatření. Jedná se o nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, tedy o nové obecné nařízení o ochraně osobních údajů, jehož účinnost nastala již 25. května 2018 a je známé pod zkratkou GDPR. K revizi právního rámce ochrany osobních údajů bylo přikročeno zejména z toho důvodu, že původní právní rámec již přestal odpovídat současné době (zpracování osobních údajů je nyní komplexnější než před několika desítkami let) a zejména díky moderním výpočetním technologiím je užívání osobních údajů mnohem častější i rizikovější. Cílem Nařízení GDPR je sjednocení a přizpůsobení právního rámce ochrany osobních údajů dnešní době v rámci států EU. Obecně lze shrnout, že nová právní úprava nepřináší žádnou revoluci, ale kontinuálně navazuje na dřívější právní úpravu (národní a i evropskou). V českém právním prostředí tak obecné nařízení GDPR mimo jiné z velké části nahrazuje svým obsahem právní úpravu dle zákona o ochraně osobních údajů a následně bude přijat i nový zákon o zpracování osobních údajů. Hlavním cílem předloženého návrhu zákona a novelizace právních předpisů (tzv. doprovodný zákon) je provést implementaci sekundárního předpisu Evropské unie (směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016) a adaptace na Nařízení GDPR. Logicky se chce zajistit soulad vnitrostátní právní úpravy s těmito předpisy a tím splnit povinnost, která plyne České republice z členství v EU a nastavit celkově právní prostředí na aplikaci.
Nařízení GDPR dává subjektům údajů (občanům) do rukou nová práva, která se razantně neodlišují od ochrany osobních údajů známé dodnes. I když k řadě změn novou právní úpravou dochází. Kromě toho, že budou muset být subjekty o svých právech důkladně informovány (právo na určité informace o zpracování jeho osobních údajů), budou moci také vyžadovat něco, co doposud nemohly - např. právo vznést námitku proti zpracování či právo na přenositelnost osobních údajů.
1) Právo na přístup k osobním údajům- článek 15 GDPR
Dává subjektům údajů možnost ověřit si zákonnost zpracování jejich údajů. Každý subjekt údajů má právo získat přístup ke svým údajům a k následujícím informacím:
- pro jaké účely jsou jeho osobní údaje zpracovávány,
- jaké kategorie osobních údajů jsou o něm zpracovávány,
- kdo jsou příjemci nebo kategorie příjemců, kterým osobní údaje byly, nebo budou zpřístupněny,
- jaká je plánovaná doba, po kterou budou osobní údaje uloženy, nebo podle jakých kritérií budou skartovány,
- zda má právo, a jaké, podat stížnost u dozorového úřadu,
- jaké jsou veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány přímo od subjektu údajů,
- zda dochází k automatizovanému rozhodování, včetně profilování, a informace týkající se použitého postupu.
2) Právo na opravu – článek 16 GDPR
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění nepřesných (neúplných) informací, a to poskytnutím dodatečného prohlášení.
3) Právo na výmaz („ právo být zapomenut“) - článek 17 GDPR
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud:
- již nejsou potřebné pro původní účely,
- subjekt údajů odvolá souhlas, na jehož základě byly osobní údaje zpracovávány, a současně neexistuje další právní důvod pro zpracování,
- subjekt údajů požádá o výmaz svých osobních údajů a tomuto nebrání ani právní předpisy, ani důležitá potřeba HZS (viz výjimka z povinnosti výmazu),
- subjekt údajů vznese námitky a neexistují žádné jiné oprávněné důvody pro zpracování,
- osobní údaje byly zpracovány protiprávně,
- osobní údaje musí být vymazány na základě rozhodnutí příslušného orgánu,
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.
Výjimky z povinnosti výmazu (výmaz nelze provést, pokud je zpracování dále nezbytné):
- pro výkon práva na svobodu projevu a informace,
- pro splnění právní povinnosti,
- z důvodu veřejného zájmu v oblasti veřejného zdraví,
- pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely,
- pro určení, výkon nebo obhajobu právních nároků.
4) Právo na omezení zpracování – článek 18 GDPR
Subjekt údajů má právo na to, aby omezil zpracování pouze v následujících případech:
- subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit,
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
- správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
- subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
5) Právo na přenositelnost údajů – článek 20 GDPR
Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě že:
- zpracování je založeno na souhlasu nebo na smlouvě,
- zpracování se provádí automatizovaně.
Při výkonu svého práva na přenositelnost údajů má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné. Právo přenositelnosti se na druhou stranu na zpracování osobních údajů nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Právem přenositelnosti také nesmí být nepříznivě dotčena práva a svobody jiných osob.
6) Právo vznést námitku – článek 21 GDPR
Subjekt údajů má z důvodu týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se ho týkají, včetně profilování, a to i automatizovanými prostředky. Správce osobní údaje pak dále nezpracovává, pokud neprokáže závažné oprávněné důvody zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Dalším důležitým krokem v souladu s Nařízením GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). Každý pověřenec (např. i v soukromém sektoru) by měl sloužit jako pomocník a konzultant v problematice osobních dat. Po účinnosti nové právní úpravy, tedy i (obecného nařízení) GDPR, bude potřeba reagovat na nové instituty, dodržovat povinnosti a zachovávat práva, a to jak ve státním či soukromém sektoru, územní samosprávě či běžném životě osob. Jde například i o:
- vytvoření přesného a podrobného popisu nakládání s osobními údaji a jejich ochranu,
- povinnost vést záznamy o činnostech zpracování,
- ohlašování případů porušení zabezpečení osobních údajů pro ochranu osobních údajů,
- přesné, a celkem vysoké sankce za porušení povinnosti při nakládání s osobními údaji.
Za Ministerstvo vnitra-generální ředitelství HZS ČR byl ustanoven jeden pověřenec pro ochranu osobních údajů, dále pak 14 styčných osob z HZS krajů a další styčné osoby ze Záchranného útvaru HZS ČR, Střední odborné školy požární ochrany a Vyšší odborné školy požární ochrany a z dalších vzdělávacích, technických a jiných účelových zařízení Ministerstva vnitra – generální ředitelství HZS ČR.
Ministerstvo vnitra-generální ředitelství HZS ČR uspořádalo před účinností nařízení GDPR dvě školení, řadu jednání a konzultací, nastavilo i interní předpisy a metodiky na novou právní úpravu. Nařízení GDPR zavádí celou řadu „nových“ pravidel, kterými se každý musí řídit a každý správce i zpracovatel osobních údajů bude muset prokazatelně doložit nakládání s osobními údaji (po celou dobu zpracování). Není nutné si nalhávat, že tím nedojde k navýšení administrativní zátěže, prostě dojde, a to i u HZS ČR. Nařízení GDPR a příslušná právní úprava ovšem přinesou i rovnocennou vymahatelnost práva v celé EU, stejné sankce a také mnohem těsnější spolupráci dozorových orgánů. Z pohledu akutní zásahové činnosti HZS ČR nebude žádné novum, hasiči budou zasahovat nadále, budou v rámci zásahové činnosti nadále nakládat s osobními údaji (např. v rámci tísňových volání, ale i přímo v rámci zpráv o zásahu), spíše bude nutné se připravit na přísnější administrativní úroveň a přísnější pravidla v rámci „běžného“ stavu nakládání s osobními údaji.
Na základě zaslaných podkladů ze všech součástí HZS ČR byl proveden soupis všech možností nakládání s osobními údaji v rámci HZS ČR, z čehož vyšla obsáhlá analýza systému s pěti základními „kategoriemi" nakládání s osobními údaji v rámci HZS ČR:
- Nakládání s osobními údaji na základě právního předpisu. Zejména jde o nakládání s osobními údaji podle zákona o služebním poměru příslušníků bezpečnostních sborů nebo zákoníku práce (např. služebně-právní evidence příslušníků).
- Nakládání s osobními údaji na základě vlastní činnosti HZS ČR (pomocné evidence aj.). HZS ČR bude muset dodržet obecné povinnosti ochrany osobních dat a jejich nakládání.
- Výjimky stanovené zákonem o zpracování osobních údajů (jak je uvedeno v návrhu zákona, bude se jednat o výjimky zejména k zásahové činnosti HZS ČR).
- Nakládání s osobními údaji na základě nastavení systému od jiných subjektů (např. využívání systému spisové služby nebo elektronického personálního a ekonomického systému). HZS ČR je pouze uživatelem tohoto systému.
- Další jakékoli nakládání s osobními údaji (určitá zbytková činnost, která nesouvisí s uvedenými kategoriemi).
Lze konstatovat, že HZS ČR řádně splňuje všechny požadavky Nařízení GDPR a předpisů souvisejících na ochranu osobních údajů a tuto ochranu osobních údajů i všechna související opatření průběžně sleduje, vyhodnocuje a zdokonaluje.
Pověřenec GDPR
Na základě účinnosti nařízení GDPR od 1. dubna 2018 zřídilo Ministerstvo vnitra - generální ředitelství Hasičského záchranného sboru ČR funkci pověřence GDPR. Funkce pověřence je přímo podřízena generálnímu řediteli Hasičského záchranného sboru České republiky.
Pověřenec pro ochranu osobních údajů u Hasičského záchranného sboru České republiky:
kpt. Mgr. Jiřina Bínová
pověřenec pro ochranu osobních údajů
MV-GŘ HZS ČR
Kloknerova 26
148 01 Praha 414
tel.: 950 819 444
mob.: 773 796 166
e-mail: jirina.binova@hzscr.cz, gdpr@hzscr.cz
Nařízení GDPR
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679
Ministerstvo vnitra – GDPR
http://www.mvcr.cz/gdpr/
Úřad pro ochranu osobních údajů
https://www.uoou.cz/