Hlavné dopady GDPR na mestá a obce

GDPR je nové nariadenie o ochrane osobných údajov (angl. General Data Protection Regulation) EÚ, ktoré výrazne zvyšujú ochranu osobných údajov občanov.

Ponúkame Vám základný rozbor dopadov GDPR na mestá a obce. Samozrejme, že niektoré detailné veci budú známe po úprave zákona vládou, ale už teraz je veľa vecí jasných, vyplývajúcich priamo z nariadenia.

Nariadenie je povinné pre všetky mestá, obce a ich podriadené organizácie, ktoré sa nachádzajú na území Európskej únie bez ohľadu na ich veľkosť či počet obyvateľov a zamestnancov.

Samospráva bude musieť v najbližších mesiacoch prijať technické, procesné a organizačné opatrenia a nasadiť bezpečnostné riešenia na prevenciu, detekciu, riešenie a reportovanie incidentov.

Pre samosprávu a jej podriadené organizácie, ktoré bežne evidujú osobné údaje niekoľko tisíc obyvateľov a zamestnancov, predstavuje príprava na nové nariadenie GDPR mesiace intenzívnej práce. Preto je veľmi dôležité začať s prípravami už teraz a vyhnúť sa tak potenciálnemu riziku vysokej pokuty.   

Čo sa pre zmení vo fungovaní mestských a obecných úradov s novým nariadením GDPR?

Aby mestá a obce mohli doložiť súlad s GDPR, musia prijať procesné zmeny a zaviesť opatrenia, ktoré dodržiavajú zásady ochrany osobných údajov. Tieto opatrenia sa týkajú okrem iného minimalizácie spracovaných osobných údajov, ich najrýchlejšej pseudonymizácie, transparentnosti ohľadom účelu a spracovania osobných údajov a a umožneniu prístupu osôb k ich údajom.

GDPR prináša významné zmeny v právnych predpisov EÚ v oblasti ochrany osobných údajov, z ktorých mnohé budú mať značný vplyv na fungovanie miest a obcí, napríklad:

  • Zákonnosť
    medzi podmienky zákonnosti spracovania osobných údajov patrí najmä poskytovanie súhlasu dotknutej osoby, alebo nevyhnutnosť pre splnenie právnych povinností, alebo nevyhnutnosť pre ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.
  • Obmedzenie a minimalizácia údajov
    znamená, že osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah vo vzťahu k účelu, pre ktorý sú spracovávané.
  • Obmedzenie uloženia
    znamená uloženie na dobu nevyhnutnú pre účel spracovania osobných údajov
  • Právo na výmaz
    občania majú právo na vymazanie svojich osobných údajov zo všetkých databáz a systémov úradov, ak už nie sú potrebné na účely, na ktoré boli poskytnuté.
  • Právo na prenos osobných údajov
    pri prenose a zdieľaní osobných údajov medzi viacerými úradmi musia tieto organizácie poskytnúť zabezpečený prenos osobných údajov. Právo na prenos informácií sa dotýka aj prechodu zamestnanca do inej inštitúcie.
  • Pseudonymizácia a šifrovanie dát
    povinnosť zaviesť pseudonymizáciu a šifrovanie dát, ktorého účelom je mať možnosť zbierať ďalšie údaje o občanovi bez toho, aby bolo nutné poznať jeho totožnosť.
  • Oznamovacia povinnosť pri porušení ochrany osobných údajov
    únik informácií, neautorizovaný prístup k dátam sú inštitúcie povinné ohlásiť najneskôr do 72 hodín Úradu pre ochranu osobných údajov a v niektorých prípadoch aj dotknutej osobe, či subjektom.
  • Vymenovanie osoby Splnomocnenec pre ochranu osobných údajov ( DPO )
    mestá a obce majú povinnosť vymenovať osobu (Splnomocnenec pre ochranu osobných údajov), ktorá bude kompetentná za monitorovanie ochrany údajov a bude ako kontaktná osoba pre dozorný orgán. Nezávislosť osoby musí byť garantovaná, podlieha len vedeniu organizácie. Musí mať svojho DPO každá obec? Je možné, aby pre určitý počet obcí vykonával činnosť DPO spoločný Splnomocnenec. S týmto ostatne počíta aj nariadenie, ktoré umožňuje pre viac správcov, ktorí sú orgánom verejnej moci alebo verejný subjekt, menovať jedného Splnomocnenca

Koho v organizácii či úrade sa nové nariadenie GDPR dotkne?

  • Personálne oddelenie
  • Oddelenia matriky, oddelenie stavebných konaní
  • Kontaktné centrá mestských a obecných úradov
  • IT oddelenie, bezpečnostný tím
  • Manažment