Ochrana osobních údajů na Univerzitě Hradec Králové
Minulý rok v květnu vstoupilo v účinnost nařízení Evropského parlamentu a Rady EU č.2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), neboli zkráceně GDPR.
GDPR přineslo několik novinek, počínaje mimo jiné povinností vést záznamy o činnostech zpracování, v určitých případech posuzovat vliv na ochranu osobních údajů, vést předchozí konzultace s Úřadem pro ochranu osobních údajů nebo ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů či oznamovat případy porušení zabezpečení osobních údajů subjektu údajů, a ustavením pověřence pro ochranu osobních údajů konče. Celkově však GDRP znamená spíše evoluci, než revoluci. Zásady, principy a instituty, na nichž stojí stále platný a účinný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, zůstávají nezměněny.
Jde tak spíše o to, že se v souvislosti se vstupem GDPR v účinnost projevilo dlouhodobé zanedbávání povinností správců údajů vyplývajících z již aktuálně účinné právní úpravy. Nejpatrnější byla tato skutečnost v oblasti informování subjektu údajů a získávání souhlasu se zpracováním osobních údajů. Na jaře a v průběhu minulého léta jsme tak byli svědky smrště e-mailů a formulářů vyžadujících souhlas se všelijakými způsoby zpracování osobních údajů, které nezřídka kdy byly nadbytečné a absolutně popíraly smysl GDPR, jak potvrdil i sám Úřad pro ochranu osobních údajů.
I přes to však lze říci, že u velkého množství správců osobních údajů došlo ke zlepšení informační činnosti vůči subjektům údajů. Na většině webových stránek tak lze dohledat informace o zpracování osobních údajů a dozvědět se, s jakými osobními údaji a jakým způsobem daní správci pracují, i když je pravdou, že část z těchto informací má k zásadě transparentního zpracování stále ještě daleko.
Druhým, vůči veřejnosti viditelným projevem vstupu GDPR v účinnost, bylo jmenování pověřenců pro ochranu osobních údajů. Velké množství správců osobních údajů, kteří mají dle GDPR povinnost jmenovat pověřence pro ochranu osobních údajů, tak učinilo. Otázkou nicméně je, zda tak učinili všichni správci osobních údajů, kteří jsou k tomu povinni.
V rámci Univerzity Hradec Králové byl jmenován pověřencem pro ochranu osobních údajů Mgr. Tomáš Cvrček (gdpr@uhk.cz) – pozn.redakce. Na osobní údaje lze hledět rovněž jako na určité cennosti vypovídající o vás nebo jiných lidech. Pokud máte doma sbírku cenných předmětů, pak se k nim s největší pravděpodobností chováte tak, aby nedošlo k jejich neoprávněnému či protiprávnímu zpracování a chráníte je před náhodnou ztrátou, zničením nebo poškozením. Pokud tak nečiníte sami, je to pouze vaše rozhodnutí a riziko. Jakmile s nimi ale začne manipulovat váš soused, určitě nebudete rádi, když je bez vašeho svolení bude šířit jiným lidem nebo používat jinak, než ho k tomu bude opravňovat smlouva, kterou s ním uzavřete, nebo jiný právní titul.
Jde tak spíše o to, že se v souvislosti se vstupem GDPR v účinnost projevilo dlouhodobé zanedbávání povinností správců údajů vyplývajících z již aktuálně účinné právní úpravy. Nejpatrnější byla tato skutečnost v oblasti informování subjektu údajů a získávání souhlasu se zpracováním osobních údajů. Na jaře a v průběhu minulého léta jsme tak byli svědky smrště e-mailů a formulářů vyžadujících souhlas se všelijakými způsoby zpracování osobních údajů, které nezřídka kdy byly nadbytečné a absolutně popíraly smysl GDPR, jak potvrdil i sám Úřad pro ochranu osobních údajů.
I přes to však lze říci, že u velkého množství správců osobních údajů došlo ke zlepšení informační činnosti vůči subjektům údajů. Na většině webových stránek tak lze dohledat informace o zpracování osobních údajů a dozvědět se, s jakými osobními údaji a jakým způsobem daní správci pracují, i když je pravdou, že část z těchto informací má k zásadě transparentního zpracování stále ještě daleko.
Druhým, vůči veřejnosti viditelným projevem vstupu GDPR v účinnost, bylo jmenování pověřenců pro ochranu osobních údajů. Velké množství správců osobních údajů, kteří mají dle GDPR povinnost jmenovat pověřence pro ochranu osobních údajů, tak učinilo. Otázkou nicméně je, zda tak učinili všichni správci osobních údajů, kteří jsou k tomu povinni.
V rámci Univerzity Hradec Králové byl jmenován pověřencem pro ochranu osobních údajů Mgr. Tomáš Cvrček (gdpr@uhk.cz) – pozn.redakce. Na osobní údaje lze hledět rovněž jako na určité cennosti vypovídající o vás nebo jiných lidech. Pokud máte doma sbírku cenných předmětů, pak se k nim s největší pravděpodobností chováte tak, aby nedošlo k jejich neoprávněnému či protiprávnímu zpracování a chráníte je před náhodnou ztrátou, zničením nebo poškozením. Pokud tak nečiníte sami, je to pouze vaše rozhodnutí a riziko. Jakmile s nimi ale začne manipulovat váš soused, určitě nebudete rádi, když je bez vašeho svolení bude šířit jiným lidem nebo používat jinak, než ho k tomu bude opravňovat smlouva, kterou s ním uzavřete, nebo jiný právní titul.
A tak je tomu i v případě osobních údajů. Proto Univerzita Hradec Králové v součinnosti pověřence pro ochranu osobních údajů a dalších pracovníků, zejména zaměstnanců Právního referátu a Centra informačních technologií (CIT), zlepšuje stávající a implementuje nové nástroje ochrany a zpracování osobních údajů.
První z těchto vlaštovek bylo vytvoření Katalogu agend zpracovávajících osobní údaje, jež je elektronickým projevem naplnění povinnosti správce osobních údajů dle GDPR vést záznamy o činnostech zpracování. „Elektronický Katalog agend zpracovávajících osobní údaje v podobě, jež jsme připravili, je v oblasti českých univerzit unikátním nástrojem. Ideálním stavem, kterého bychom chtěli dosáhnout v součinnosti s pověřencem pro ochranu osobních údajů, je aby obsahoval veškeré činnosti zpracování osobních údajů na Univerzitě Hradec Králové v přesné a aktuální podobě,“ vysvětluje vedoucí oddělení CIT Michal Zámečník.
Dalším z projevů zlepšení ochrany osobních údajů, který je v současné době v jakési obdobě legislativního procesu, je příprava rektorského výnosu, směrnice o ochraně a zpracování osobních údajů, jež má být jedním z dalších projevů vhodných technických a organizačních opatření ve smyslu GDPR. V neposlední řadě pak nelze zapomenout ani na školení, která budou ve formě, ať již on-line kurzů nebo seminárních školení vedoucích zaměstnanců, probíhat po přijetí směrnice.
Pověřenec pro ochranu osobních údajů již nyní poskytuje zaměstnancům Univerzity Hradec Králové informace a poradenství o jejich povinnostech podle GDPR a dalších předpisech v oblasti ochrany osobních údajů a monitoruje soulad koncepcí, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů, s GDPR a dalšími právními předpisy v oblasti ochrany osobních údajů. Do budoucna je pak plánováno vydávání stanovisek pověřence pro ochranu osobních údajů k otázkám, se kterými se při své praxi setká, a to za účelem sjednocení praxe v oblasti ochrany a zpracování osobních údajů Univerzitou Hradec Králové, a to na webové stránce pověřence pro ochranu osobních údajů, kterou bude spravovat.
Tomáš Cvrček, Pověřenec UHK pro ochranu osobních údajů, Právní referát
První z těchto vlaštovek bylo vytvoření Katalogu agend zpracovávajících osobní údaje, jež je elektronickým projevem naplnění povinnosti správce osobních údajů dle GDPR vést záznamy o činnostech zpracování. „Elektronický Katalog agend zpracovávajících osobní údaje v podobě, jež jsme připravili, je v oblasti českých univerzit unikátním nástrojem. Ideálním stavem, kterého bychom chtěli dosáhnout v součinnosti s pověřencem pro ochranu osobních údajů, je aby obsahoval veškeré činnosti zpracování osobních údajů na Univerzitě Hradec Králové v přesné a aktuální podobě,“ vysvětluje vedoucí oddělení CIT Michal Zámečník.
Dalším z projevů zlepšení ochrany osobních údajů, který je v současné době v jakési obdobě legislativního procesu, je příprava rektorského výnosu, směrnice o ochraně a zpracování osobních údajů, jež má být jedním z dalších projevů vhodných technických a organizačních opatření ve smyslu GDPR. V neposlední řadě pak nelze zapomenout ani na školení, která budou ve formě, ať již on-line kurzů nebo seminárních školení vedoucích zaměstnanců, probíhat po přijetí směrnice.
Pověřenec pro ochranu osobních údajů již nyní poskytuje zaměstnancům Univerzity Hradec Králové informace a poradenství o jejich povinnostech podle GDPR a dalších předpisech v oblasti ochrany osobních údajů a monitoruje soulad koncepcí, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů, s GDPR a dalšími právními předpisy v oblasti ochrany osobních údajů. Do budoucna je pak plánováno vydávání stanovisek pověřence pro ochranu osobních údajů k otázkám, se kterými se při své praxi setká, a to za účelem sjednocení praxe v oblasti ochrany a zpracování osobních údajů Univerzitou Hradec Králové, a to na webové stránce pověřence pro ochranu osobních údajů, kterou bude spravovat.
Tomáš Cvrček, Pověřenec UHK pro ochranu osobních údajů, Právní referát
