Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Hlavní město Praha

Kontrola uveřejňování osobních údajů hlavním městem Prahou v registru smluv

Na základě stížnosti provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů v souvislosti s uveřejňováním smluv v registru smluv se zaměřením na postup kontrolované osoby před zveřejněním smlouvy, včetně interních předpisů upravujících tento postup.

Povinnost uveřejňovat smlouvy v registru smluv se podle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), vztahuje na hlavní město Prahu, přičemž uvedenou povinnost plní jménem hlavního města Prahy zejména Magistrát hlavního města Prahy.

Za vkládání smluv do registru smluv odpovídají jednotlivé odbory magistrátu, které jsou dle své věcné působnosti oprávněny danou smlouvu uzavřít. Za tímto účelem je využívána Centrální evidence smluv („CES“), jakožto informační systém určený k ukládání a správě všech uzavřených smluv, jejichž smluvní stranou je hlavní město Praha. Do CES je odpovědný zaměstnanec povinen vložit jak plnou verzi smlouvy, tak i smlouvu „anonymizovanou“, tedy smlouvu bez informací, které nelze poskytnout podle předpisů upravujících svobodný přístup k informacím. Současně je povinen vyplnit hlavičku smlouvy, tj. zákonem stanovená metadata. Vkládání smluv do CES a jejich „anonymizace“ před odesláním do registru smluv, stejně jako zveřejnění informací o smlouvě (v hlavičce smlouvy), představují dílčí kroky zpracování osobních údajů vedoucí ke splnění zákonné povinnosti vyplývající ze zákona č. 340/2015 Sb.

Ke zpracování osobních údajů při úpravě smluv a jejich následném uveřejnění v registru smluv je tedy dán právní titul dle čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679, neboť se jedná o právní povinnost. Zákon č. 340/2015 Sb. výslovně neuvádí, které informace je nutno zveřejnit, resp. obecně požaduje zveřejnění smlouvy jako celku, s výjimkami upravenými v § 3 tohoto zákona. Je tak na každém správci, na kterého se zákon č. 340/2015 Sb. vztahuje, aby vyhodnotil, jaký rozsah informací – osobních údajů je nezbytné uveřejnit tak, aby byly splněny jeho zákonné povinnosti. Přitom je třeba vycházet ze základního smyslu této povinnosti, kterým je zajistit širší kontrolu nad nakládáním s majetkem státu, krajů, obcí a dalších subjektů. Za tímto účelem pak lze dle kontrolujících zveřejnit pouze takové osobní údaje, které jsou nezbytné pro dostatečně určité informování o obsahu (předmětu) smlouvy a smluvních stranách. Osobní údaje dalších dotčených osob, které nejsou smluvními stranami, naopak s odkazem na zásadu minimalizace dle čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 zveřejněny být nemohou.

Kontrolující zjistili, že smlouvy uzavřené jménem hlavního města Prahy a zveřejněné v registru smluv měly rozdílný rozsah informací uvedených v hlavičce a rozdílný rozsah uveřejňovaných údajů. V některých případech byly v popisu smlouvy i ve smlouvě samé uvedeny i osobní údaje třetích osob (subjektů údajů), jichž se uzavřená smlouva týká. Zveřejnění těchto osobních údajů již představuje dle kontrolujících neoprávněný zásah do práv těchto osob, neboť k naplnění účelu sledovaného zákonem č. 340/2015 Sb. není zveřejnění identity třetích osob nezbytné. Zjištěný stav je přitom zřejmě důsledkem toho, že nebyl zaveden jednotný postup pro „anonymizaci“ smluv před jejich vložením do registru smluv, tj. nedefinovala alespoň rámcový rozsah osobních údajů, které mají být zveřejněny.

Zaměstnanci odpovědní za úpravu smluv se řídí pouze obecným metodickým návodem Ministerstva vnitra. V důsledku absence sjednocující metodické činnosti pak dochází k tomu, že některé zveřejňované smlouvy osobní údaje třetích stran obsahují a jiné nikoli. Kontrolující proto vyhodnotili zjištěný stav tak, že došlo k porušení povinnosti stanovené v čl. 32 odst. 1 nařízení (EU) 2016/679.

Ke stížnosti, na jejímž základě byla kontrola zahájena, bylo zjištěno, že Magistrát hlavního města Prahy z předmětné smlouvy odstranil osobní údaje stěžovatele a vyrozuměl jej o tomto postupu, a to ve lhůtě stanovené v čl. 12 odst. 3 nařízení (EU) 2016/679.

Vzhledem k tomu, že byla neprodleně zahájena náprava závadného stavu, resp. ve vztahu ke stěžovatelce byl již napraven, Úřad prozatím neuložil opatření k odstranění zjištěných nedostatků a od uložení pokuty upustil.

Kontrolu řídila inspektorka JUDr. Jiřina Rippelová.

Doporučení

V případě, že se domníváte, že jsou Vaše osobní údaje neoprávněně zveřejněny, obraťte se na správce osobních údajů s žádostí o informace, případně s žádostí o odstranění osobních údajů. Správce je zásadně povinen Vaši žádost vyřídit bez zbytečného odkladu, nejpozději do jednoho měsíce. Nevyřídí-li správce žádost včas nebo nejste-li s vyřízením spokojeni, můžete se obrátit na Úřad. Úřadu je nutno doložit žádost a případnou reakci správce na ni.