Pravidla pro zpracování osobních údajů dopadají i na územní samosprávu. Jak města a obce osobní údaje chrání a s čím mají v praxi problémy?
Města a obce přistoupily k plnění povinností, které pro ně vyplývají z především z obecného nařízení o ochraně osobních údajů (GDPR), rozdílně. Na jedné straně máme takové, které si formálně zajistily pověřence pro ochranu osobních údajů a spoléhají na absenci pokut, ale dostaneme se i ke skupině těch s poctivým přístupem a snahou zajistit řadu povinností, které vyplývají z jejich postavení správce osobních údajů.
Jedním z častých témat, které samospráva řeší, je vztah s IT dodavateli, jejich přístup k osobním údajů, nastavení zpracovatelských smluv a plnění dalších povinností plynoucích z GDPR.
I dodavatel pro obec je zpracovatelem osobních údajů
V naší praxi se setkáváme s neochotou dodavatelů informačních systémů, kteří ochranu osobních údajů příliš neřeší a uzavírají s městy či obcemi nedostatečné zpracovatelské smlouvy, či zpracovatelské smlouvy neuzavírají vůbec. Organizacím je pak nabízena zpracovatelská smlouva, ve které chybí řada povinností vyplývajících z čl. 28 odst. 3 GDPR, nebo je zcela opomenuto ustanovení o odpovědnosti za škodu.
Už samotná identifikace, zda se v případě konkrétního dodavatele jedná o zpracovatele osobních údajů podle GDPR, bývá předmětem dlouhých diskusí.
Nabízí se tedy možnost stávající nedostatečné smluvní vztahy vypovědět a zajistit si nové dodavatele informačních systému. Potíž je v tom, že takové změny jsou organizačně, právně a fakticky náročné a mnohdy neexistuje adekvátní konkurence.