Obecné nařízení o ochraně osobních údajů (GDPR) v praxi ČKAIT

Povinností ČKAIT jako správce dat ve vztahu ke členům jako subjektům údajů je na jedné straně jejich osobní údaje chránit, na straně druhé uveřejňovat.

V současné době má ČKAIT více než 31 000 členů – fyzických osob – a je tak druhou největší profesní komorou v ČR. Musí se proto velmi odpovědně zabývat ochranou osobních údajů podle evropského právního předpisu Nařízení Evropského parlamentu a rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). (Dále jen anglická zkratka obecného nařízení GDPR.)

ČKAIT je profesní komora zřízená zákonem (zákon č. 360/1992 Sb., o výkonu povolání autorizovaných architektů a o výkonu povolání autorizovaných inženýrů a techniků činných ve výstavbě, ve znění pozdějších předpisů; dále autorizační zákon) a je orgánem veřejné moci.

Nařízení, jako evropský právní předpis, je závazné od data jeho účinnosti pro všechny vlády i občany členských států Evropské unie. Protože GDPR předpokládá kromě přímo působícího nařízení přijetí národních tzv. adaptačních zákonů, které upřesní některé volněji formulované požadavky nařízení, byla jeho účinnost stanovena s odkladem dvou let od přijetí evropským parlamentem na 25. ­května 2018. Bohužel, Česká republika nedokázala během těchto dvou let připravit návrh adaptačního zákona a přijmout jej. Návrh adaptačního zákona leží t. č. v Poslanecké sněmovně a je předpoklad jeho přijetí do konce roku 2018.

Vstupní analýza i implementace GDPR v ČKAIT

Na konci roku 2017 Kancelář Komory objednala vstupní analýzu GDPR u české pobočky renomované nadnárodní společnosti SGS. Na základě výsledků vstupní analýzy byla následně objednána u téže společnosti i implementace GDPR, která byla v hrubých rysech ukončena ke dni 25. května 2018, kdy nařízení vstoupilo v účinnost.

Příprava na GDPR spočívala v proškolení zaměstnanců Komory, ve vytvoření vícestupňové dokumentace (politika, směrnice a návodky GDPR) a provedení rozdílové analýzy (tzn. stav před a po zavedení GDPR). Jsou připraveny interní audity úrovně zavedení GDPR a celkové roční přezkoumávání funkčnosti GDPR orgány Komory.

Následující text je věnován ochraně osobních údajů členů ČKAIT jako subjektů osobních údajů. Z právní úpravy vyplývá, že osobní údaje členů je třeba na jedné straně chránit, ale na druhé straně se některé osobní údaje uveřejňují v souladu s autorizačním zákonem a řády ČKAIT.

Jak jsou osobní údaje členů ČKAIT zpracovávány?

Osobní údaje členů jsou zpracovávány pomocí speciálního databázového programu, vyvinutém pro potřeby ČKAIT. Přístup k datům je chráněn přihlašovacími údaji. Data jsou centrálně zpracovávána v kanceláři Komory v Praze, oblastní kanceláře zpracovávají data jen svých členů. Přenosy dat mezi touto centrální databází a databázemi na oblastech probíhají po vnitřní VPN, jsou šifrovány a přenáší se pouze nezbytné množství údajů (tzv. přírůstky, tj. jen nové a pozměněné záznamy). Zpracování a zálohování dat je prováděno na základě moderních přístupů v oblasti informačních technologií a je zajištěno vlastními zaměstnanci.

Pokud mají členové zájem zveřejnit na internetu údaje nad rámec rozsahu stanovený Profesním a etickým řádem, aby je mohli potencionální klienti snáze kontaktovat, mohou využít možnosti tzv. databáze Expert, kterou jsme doplnili seznam autorizovaných osob. Pokud je záznam v této databázi vyplněn, tak se zobrazí v seznamu autorizovaných osob před jménem odkaz Více, který je proklikem do toho záznamu. Každý člen zde může sám vyplnit kontaktní email, telefon, reference, další kvalifikace, odkaz na své webové stránky. Tyto záznamy jsou pod správou samotných členů, kteří před odesláním údajů udělují souhlas s jejich zveřejněním na webu Komory.

Komora se po vzniku základních registrů stala editorem (spoluadministrátorem) základního registru osob (ROS), kam je povinna zapisovat změny adres místa podnikání svých členů vykonávajících svou činnost jako svobodné povolání. Dále je povinna zapisovat datum vzniku a ukončení této činnosti (zákon č. 111/2009 Sb., o základních registrech, ve znění pozdějších předpisů, nařízení vlády č. 161/2011/ Sb., o stanovení harmonogramu a technického způsobu provedení opatření podle § 64 až 68 zákona o základních registrech). Pro jednoznačné ztotožnění osoby se stále používá rodné číslo, resp. datum narození. To se však týká jen zlomku členů. Většina členů vykonává svou činnost jako zaměstnanec, podnikatel nebo živnostník.

Pouze část osobních údajů poskytuje ČKAIT své dceřiné společnosti, kterou je Informační centrum ČKAIT, s.r.o., pro účely hromadné korespondence se členy Komory, popř. dalším organizacím (např. pro organizaci rozesílání publikací a časopisů). Veškeré zpracování osobních údajů mimo ČKAIT je ošetřeno tzv. zpracovatelskými smlouvami, kterými si ČKAIT zajišťuje odpovědnou správu údajů svých členů.

Které osobní údaje Komora zpracovává?

Rozsah zpracovávaných osobních údajů stanoví autorizační řád ČKAIT. Základní osobní údaje uvádí žadatel v žádosti o autorizaci, kterou podává Komoře písemně na předepsaném formuláři a připojuje požadované doklady. K těmto údajům postupně přibývají informace:

  • o průběhu a výsledcích autorizačního řízení;
  • o složení zákonem předepsaného slibu autorizované osoby a převzetí osvědčení o autorizaci a osobního autorizačního razítka;
  • o formě výkonu činnosti (jako zaměstnanec, obchodní firma, živnost nebo svobodné podnikání);
  • o celoživotním vzdělávání;
  • o placení členských příspěvků;
  • o změnách údajů v průběhu členství;
  • o kontrole Deníku autorizované osoby;
  • o zániku, pozastavení nebo odejmutí autorizace;
  • o uložení disciplinárního opatření.

Práva subjektů údajů

V případě ČKAIT je zpracování osobních údajů založeno na článku 6 GDPR

  • písm. c) – zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  • písm. e) – zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu při výkonu veřejné moci, kterým je pověřen správce;
  • písm. f) – zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Podle GDPR je Komora, jako správce údajů povinna poskytnout svým členům veškeré informace o právech subjektů údajů. Práva subjektů údajů upravuje kapitola III, články 12 až 23, a dále článek 34 GDPR. Práva subjektů údajů však nejsou absolutní, jejich případné omezení vyplývá z právních předpisů, ochrany veřejného zájmu, nebo výkonu veřejné moci.

Čl. 12 Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

Správce osobních údajů (ČKAIT) poskytne subjektu údajů (členové ČKAIT) na jeho žádost informace stručným, transparentním, srozumitelným, snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace o zpracování osobních údajů daného subjektu. Informace poskytne do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Informace se poskytují bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může Komora stanovit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací, nebo odmítnout žádosti vyhovět.

Čl. 13 Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

ČKAIT poskytne v okamžiku získání osobních údajů žadateli o autorizaci:

  • kontaktní údaje správce osobních údajů a kontaktní údaje pověřence pro ochranu osobních údajů;
  • informace o účelu zpracování a právní základ pro zpracování;
  • informace o době, po kterou budou osobní údaje uloženy, nebo o kritériích pro stanovení této doby;
  • případně další relevantní informace podle čl. 13.

Čl. 14 Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

ČKAIT získává osobní údaje žadatelů o autorizaci a svých členů jen od těchto subjektů údajů, bez účasti třetí strany. Čl. 14 není relevantní pro ČKAIT a její členy.

Čl. 15 Právo subjektu údajů na přístup k osobním údajům

Člen Komory má právo získat od Komory kopii zpracovávaných osobních údajů za předpokladu, že nebudou nepříznivě dotčena práva a svobody jiných osob. Viz také čl. 12.

Člen Komory jako subjekt osobních údajů má právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů, www.uoou.cz).

Čl. 16 Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. Člen Komory je současně povinen, podle Profesního a etického řádu ČKAIT, oznámit do 15 dnů oblastní kanceláři Komory všechny změny svých osobních údajů.

Čl. 17 Právo na výmaz („právo být zapomenut“)

Právo na výmaz je v případě Komory a jejích členů omezeno plněním právních povinností, které se na Komoru a její členy vztahují. Podle Autorizačního řádu ČKAIT, § 16 čl. 1, doklady o autorizaci ukládá Komora nejméně po dobu pěti let od zániku nebo odejmutí autorizace. Další uložení (archivace) se řídí ustanoveními zákona 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.

Pokud by Komora hodlala osobní údaje svých členů dále zpracovat pro jiný účel, než pro který byly získány, poskytne členům ještě před uvedeným dalším zpracováním informace o tomto jiném účelu (např. účely archivní ve veřejném zájmu, účely vědeckého či historického výzkumu, statistické účely), případně si vyžádá souhlas svých členů.

Čl. 18 Právo na omezení zpracování

Právo na omezení zpracování nelze v případě členů ČKAIT jako subjektů údajů uplatnit vzhledem k tomu, že zpracování osobních údajů je založeno na právní povinnosti a na plnění úkolů ve veřejném zájmu prováděných při výkonu veřejné moci, kterou je pověřen správce.

Čl. 19 Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

ČKAIT neoznamuje jednotlivým členům aktualizace údajů, které zpracovává, s ohledem na značné a nepřiměřené úsilí, které by taková agenda vyžadovala.

Čl. 20 Právo na přenositelnost údajů

Přenositelnost osobních údajů jednotlivých subjektů údajů k jinému správci nepřichází u ČKAIT v úvahu s ohledem na plnění právních povinností, které se na ČKAIT a její členy vztahují.

Čl. 21 Právo vznést námitku

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f) GDPR, včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Čl. 22 Automatizované individuální rozhodování, včetně profilování

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Výjimka je přípustná v případě, kdy to umožňuje právní předpis nebo kdy je toto založeno na výslovném souhlasu subjektu údajů.

Podle čl. 4 GDPR se profilováním rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.

Komora při zpracování osobních údajů neprovádí profilování osobních údajů svých členů. Pokud by taková šetření Komora v budoucnu prováděla, bude se tak dít na základě souhlasu subjektů údajů a na základě tzv. pseudonymizace (zpracování osobních údajů způsobem, že nemohou být přiřazeny konkrétnímu subjektu bez použití dodatečných informací uložených odděleně) nebo anonymizace (z datového souboru se nevratně odstraní všechny osobní údaje, bez možnosti zpětné identifikace konkrétní fyzické osoby).

Čl. 23 Omezení

Právními předpisy Evropské unie nebo členského státu může být omezen rozsah povinností a práv subjektů údajů z důvodů, které uvádí GDPR (např. obrana, národní bezpečnost, veřejná bezpečnost aj.).

Čl. 34 Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

Jakékoli porušení zabezpečení osobních údajů ohlašuje správce (Komora) dozorovému úřadu (Úřad pro ochranu osobních údajů) postupem podle GDPR. Pokud lze očekávat, že by porušení zabezpečení osobních údajů mělo za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Toto oznámení subjektu údajů se neprovádí, pokud správce přijme náležitá technická a organizační opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů se pravděpodobně neprojeví.

Závěr

Protože ČKAIT patří mezi orgány veřejné moci, bylo její povinností jmenovat tzv. pověřence pro ochranu osobních údajů. Komora se rozhodla pro využití služeb externisty. Ten poskytuje služby nejen pro vedení Komory, ale bude se zabývat i podněty ze strany členů, zaměstnanců a obchodních partnerů.

Členové ČKAIT byli informováni o obsahu GDPR a jeho dopadu na výkon činnosti autorizovaných inženýrů a techniků prostřednictvím časopisů Zprávy a informace ČKAIT a Stavebnictví a prostřednictvím seminářů, které se uskutečnily ve všech oblastech ČKAIT.

Po přijetí akceptačního zákona a případně v souladu s metodikou Evropského sboru pro ochranu osobních údajů Komora připraví a po projednání s Úřadem na ochranu osobních údajů vydá tzv. Kodex chování, který zohlední mj. konkrétní situace a povinnosti členů ČKAIT při ochraně osobních údajů jejich klientů.