Města a obce v ČR přistoupily k plnění povinností vyplývajících z oblasti práva na ochranu osobních údajů rozdílně. Odhlédneme-li od těch, které si formálně zajistili pověřence a spoléhají na absenci pokut, dostaneme se k méně početné skupině těch s poctivým přístupem a opravdovou snahou zajistit celou řadu povinností. Těm se ale v mnohých situacích nedaří. V naší praxi často narážíme na neochotu dodavatelů informačních systémů. Ti z velké většiny ochraně osobních údajů příliš nerozumí, nemají právní zázemí ve společnosti a spoléhají na fakt, že nic podobného po nich do dnešního dne žádné město či obec nechtěli. V lepším případě nabídnou předpřipravenou formální zpracovatelskou smlouvu, ve které však zpravidla chybí řada povinností vyplývajících z GDPR. Velmi často zapomínají na celý článek odpovědnosti za škodu. Samotná identifikace operací, zda se jedná či nejedná o zpracovatelské či správcovské, bývá předmětem diskuzí po celé měsíce. Součinnosti se městům nedostává. Nabízí se tak stávající smluvní vztahy vypovědět a zajistit si nového dodavatele systému. Potíž je v tom, že takové změny jsou organizačně, právně a fakticky náročné. Mnohdy na trhu neexistuje konkurence. V některých případech se jedná o dotační projekt, který nezbývá než na základě neochoty zpracovatele/správce ukončit. Externí či interní pověřenec pro ochranu osobních údajů se tak dostává do úzkých, protože při téměř každém úkonu/kontrole naráží na nedostatky a neochotu ze strany dodavatelů města. Ta jsou následně nepřiměřeně zatěžována stesky dodavatelů na pověřence. A tak v oblasti ochrany osobních údajů dochází pověřenci postupně k názoru, že je lepší držet se hesla – kdo nic nedělá, nic nezkazí. Svou nečinností si nezpůsobí u svého správce potíže. Ti důmyslnější vydávají stanoviska k jednotlivým informačním systémům, kde popíší právní nedostatky a odevzdají je správci, aby alespoň v minimálním měřítku dostáli svým povinnostem. Města si stanoviska uloží do šuplíku a pokračuje se dál. Čtenář tohoto článku si pomyslí, o jaké dodavatele informačních systémů se jedná? Máme zkušenosti s dodavateli knihovních systémů, profilů zadavatele, Smart City, informování občanů formou sms zpráv, školních matrik, dodavatelů informačních systémů sloužících pro vedení spisové služby atd. Příkladnou spolupráci s dodavatelem, tj. co do zabezpečení dat a smluvních vztahů mívají města zřídkakdy. Otázkou tedy je, co s tím. Města mají jen minimální prostor a ochotu se touto problematikou zabývat. Dvojnásob, když jim nehrozí za porušení povinností v oblasti ochrany osobních údajů pokuta. Dodavatelé spoléhají na to, že města pokutu nemohou dostat, a tak nevznikne nárok na náhradu škody. Právě na tato a jim podobná témata bude zaměřená Konference GDPR s panelovou diskusí pro veřejnou správu, která se uskuteční dne 6.10.2022 v Praze. Konferenci pořádá Spolek pro ochranu osobních údajů z.s. pod záštitou Úřadu pro ochranu osobních údajů ČR.
Autor: Bc. Radek Kubíček, MBA – pověřenec pro ochranu osobních údajů se zaměřením na veřejnou správu, člen odborné komise pro veřejnou a státní správu, komise pro školství a spolky v oblasti ochrany osobních údajů, Zakladatel projektu Bezpečný úřad a Bezpečná organizace.