Obce a státní správa
Zveřejněná poskytnutá informace na základě žádosti o informaci podle zákona č. 106/1999 Sb. nemůže obsahovat osobní údaje o žadateli o informaci (typicky identifikační a adresní údaje žadatele). Totožný názor obsahuje i stanovisko Odboru dozoru a kontroly veřejné správy Ministerstva vnitra publikované pod č. 1/2012. V případě, že žadatel zjistí, že je jeho žádost o informace zveřejněna včetně jeho osobních údajů (identifikační nebo adresní údaje), lze v prvé řadě dosáhnout nápravy kontaktováním příslušné obce s upozorněním a žádostí na úpravu dokumentu tak, aby neobsahoval osobní údaje žadatele o informaci podle zákona o svobodném přístupu k informacím. Pokud žadatel o informaci nedosáhne nápravy ze strany obce, jako další krok lze doporučit podat podnět či stížnost Úřadu pro ochranu osobních údajů.
Monitoring úzce vymezené části veřejného prostranství, kde jsou umístěny kontejnery na odpad či monitoring části pozemků s černými skládkami, je věcí veřejného pořádku i oprávněnou ochranou majetku obce.
Je žádoucí, aby záměr umístit kameru nebo fotopast pro shora uvedený účel, uchovávání záznamů a jejich použití (výlučně pro projednání přestupku a náhrady způsobené škody, nikoliv svévolného zveřejnění, např. na internetu) vedení obce projednalo s pověřencem pro ochranu osobních údajů.
Veřejné úřady v rámci státní správy i samosprávy mohou v souladu s GDPR zpracovávat osobní údaje, pokud je zpracování nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jedná se o osobní údaje, které jsou nezbytně nutné pro výkon činností, není přitom pravidlem, že by je zákon vždy výslovně stanovil. Je odpovědností veřejného úřadu, jako správce osobních údajů, aby agendu vhodně posoudil a nastavil podmínky a rozsah, v němž bude prováděna, včetně rozsahu osobních údajů Není-li tato otázka dostatečně jasná ze zákona a prováděcích předpisů, je třeba obrátit se žádostí o metodický návod na gestora legislativy, kterým je příslušné ministerstvo.
Co se týče kontaktních údajů typu mobilního čísla či emailu, zpravidla slouží tyto údaje k urychlení kontaktu s občanem v rámci vyřizování věci. Pokud veřejné úřady či samospráva umožní občanovi v rámci vyřizování jeho věci spolu s adresou sdělit i další kontaktní údaje, nejde o porušení zásady minimalizace a takové osobní údaje lze zpracovávat pro účely plnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, tj. neaplikuje se souhlas. Neuvedení nepovinných kontaktních údajů (telefonní číslo, email) nesmí být překážkou učinění podání či přístupu občana k orgánu veřejné moci.
Úřad pro ochranu osobních údajů se v rámci stížnostní agendy setkává s četnými stížnostmi, týkajícími se obecní či státní správy. Byť jde o poměrně pestré druhy stížností, lze vyčlenit některé oblasti, které jsou předmětem stížností častěji, na které tímto Úřad upozorňuje příslušné správce, resp. pověřence pro ochranu osobních údajů:
1) Zveřejňování adresních či jiných identifikačních údajů žadatele ve zveřejněných odpovědích na žádost o informace dle zákona č. 106/1999 Sb.
Byť mají povinné subjekty dle § 5 odst. 3 zákona č. 106/1999 Sb. povinnost poskytnutou informaci zveřejnit způsobem umožňujícím dálkový přístup, nelze v rámci tohoto postupu zveřejňovat zároveň adresní či jiné identifikační údaje žadatele. V praxi jde nejčastěji o chybný postup spočívající v umístění celého dokumentu odpovědi (nebo zároveň i žádosti) na internetové stránky povinného subjektu či jeho naskenování bez začernění či jiné anonymizace adresních a jiných údajů žadatele.
V případě, že povinný subjekt volí variantu umístění celého dokumentu odpovědi (nebo i žádosti) na internetové stránky (tj. neumístí pouze samotnou poskytnutou informaci), je nutné věnovat pozornost i provedení správné anonymizace dokumentu, tak aby anonymizované informace nemohly být jednoduchým krokem zpřístupněny (např. prosté začernění textu v programu Word lze jednoduše uvést zpět do čitelného stavu).
Úřad v této souvislosti odkazuje na stanovisko ministerstva vnitra č. 1/2012 a manuál ministerstva vnitra pro obce k zákonu o svobodném přístupu k informacím.
2) Nedůvodné zpřístupňování již neaktuálních dokumentů obsahujících osobní údaje
Dokumenty obsahující osobní údaje by měly být veřejnosti přístupné k naplnění účelu zveřejnění dokumentu. Je nutné ověřit, zdali nejsou prostřednictvím internetových stránek zveřejňovány dokumenty, jejichž zveřejnění již nemá oporu např. ve zvláštním zákonu, či byl naplněn účel jejich zveřejnění.
V praxi se často stává, že sice správce dokument odstranil z viditelného rozhraní internetových stránek (neexistuje přímý odkaz na dokument), avšak z důvodu nedostatečného zabezpečení IT rozhraní je dokument stále vyhledatelný prostřednictvím vyhledávače, typicky po zadání jména + příjmení + město atd. Je tak nutné přijmout taková opatření, aby i po odstranění dokumentu z viditelného rozhraní internetových stránek nebyl dokument stále vyhledatelný vyhledávačem.
3) Neoprávněné nahlížení úředníků do registrů (např. obyvatel)
Nahlížení do registrů, ke kterým má konkrétní zaměstnanec přístup, se musí dít za legitimním účelem, vyplývajícím z jeho pracovní činnosti při výkonu státní správy. Do registrů nelze nahlížet za účelem uspokojení vlastní zvědavosti či zjištění informací pro osobní účely (např. rodinné spory). Závažné zneužití údajů z registrů může mít za následek i spáchání trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník.
4) Nezabezpečení osobních údajů, jejich zpřístupnění nepovolaným osobám
V rámci adekvátního zabezpečení, dle požadavků článku 32 GDPR, je nutné věnovat pozornost i pracovnímu prostředí zaměstnanců, ve vztahu k dokumentům, které mají ve své správě, zejména pokud je náplní jejich činnosti též styk s veřejností. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty, se kterými se může veřejnost nepovolaně seznámit. Za takovéto situace hrozí únik osobních údajů a informací.