Slovo “GDPR” sa stalo strašiakom pre mnohé subjekty verejného, štátneho ale aj súkromného sektora kvôli vysokým sankciám za nezákonné spracovanie osobných údajov. Keďže na strane samospráv, ale aj na strane používateľov dát prevláda stále neistota ohľadom spracovávania osobných údajov v súlade s GDPR, rozhodli sme sa v spolupráci s JUDr. Pavlom Nechalom, PhD. vypracovať Analýzu možností zverejňovania otvorených údajov samospráv v súvislosti s ochranou osobných údajov.
Odkaz na Analýzu nájdete na konci tohto článku, ktorý je vypracovaný s použitím textov analýzy, ktorých autorom je JUDr. Pavlom Nechalom. Tento článok len v krátkosti predstavuje niekoľko zo zistení analýzy.
GDPR a právny základ pre zverejňovanie otvorených dát s osobnými údajmi
Cieľom Všeobecného nariadenia o ochrane osobných údajov (GDPR) nie je ukončiť spracovávania osobných údajov a ani stopnúť vývoj inovácií. Cieľom GDPR je podporovať vývoj inovácií prostredníctvom garantovania hraníc a limitov, ktoré je pri tomto vývoji potrebné zachovávať – tak aby neboli dotknuté práva dotknutých osôb na ochranu osobných údajov.
Mnohé zverejňované datasety na lokálnej úrovni osobné údaje neobsahujú, ale mnohé áno. Vtedy je povinnosťou miest, obcí a iných subjektov, ktoré datasety zverejňujú, zabezpečiť aby boli datasety spracovávané v súlade so zákonnými požiadavkami v zmysle GDPR a Zákonu č. 18/2018 Z. z. o ochrane osobných údajov (podľa toho o aké spracovanie ide).
Prevádzkovatelia sú oprávnení spracúvať osobné údaje len v prípade, ak majú zabezpečený právny základ podľa článku 6 nariadenia GDPR. Právnym základom pri zverejňovaní otvorených údajov verejným sektorom, ktorý bude prichádzať do úvahy je plnenie zákonnej povinnosti alebo plnenie úlohy vo verejnom záujme. Ten je možné nájsť v Zákone o slobodnom prístupe k informáciám.
Konkrétne požiadavky na splnenie ochrany osobných údajov
Povinnosti a obmedzenia v zmysle nariadenia GDPR zaväzujú prevádzkovateľov na vybudovanie systému riadenia ochrany osobných údajov. Pri zverejňovaní otvorených údajov, ak sú identifikované osobné údaje je kľúčové, správne určiť právny základ a teda zabezpečiť zákonnosť takéhoto spracovania a súčasne zabezpečiť informovanie dotknutých osôb prostredníctvom zverejnenia zásad spracúvanie osobných údajov.
Implementácia požiadaviek nariadenia GDPR presahuje rozsah tejto analýzy, no odporúčame sa sústrediť na nasledovné praktické dokumenty, ktoré by mali byť súčasťou ochrany osobných údajov v obciach:
- Zásady spracovania osobných údajov – doplniť nové spracovateľské činnosti, právny základ a predovšetkým informácie o účele a prostriedkoch spracúvania.
- Záznamy o spracovateľských činnostiach – doplniť nové spracovateľské činnosti.
- Test proporcionality – vypracovať ak právnym základom je oprávnený záujem.
- Technické a organizačné opatrenia – zabezpečiť, aby spracovanie zverejnených údajov bolo v súlade s deklarovaným účelom.
- Poučenie osôb – oprávnené osoby by mali byť poučené v rozsahu spracovateľských činností.
- Konzultácie so zodpovednou osobou.
Ako teda začať a kedy uplatňovať vyššie uvedene zákonné povinností?
Ak sa obec rozhodne zverejniť svoje datasety, mala by určiť jednu poverenú osobu prípravou na zverejňovanie.
Prvým krokom bude správne a presné určenie databáz, ktoré by sa mali zverejňovať. Pomôckou môže byť Publikačné minimum, prax iných samospráv alebo požiadavky občanov vyjadrené v anketách.
Druhým krokom bude mapovanie údajov, kde sa tieto údaje nachádzajú po technickej a právnej stránke. Inými slovami, prečo ich úrad má k dispozícii, čo nám pomôže pri stanovovaní právneho základu. Nemenej dôležitou súčasťou je aj posúdenie bezpečnosti a integrita údajov. Zjednocujúcim prvkom pri analýze je účel spracovania, jeden účel nám dáva jeden informačný systém. A k nemu sa teda viaže následne právny základ.
Tretím krokom bude definovanie právneho základu. Do úvahy môžu prichádzať viaceré, no preferovaným bude plnenie zákonnej povinnosti. Inými slovami, presne určiť zákonné ustanovenie, ktoré oprávňuje na zverejnenie údajov.
Štvrtým krokom bude vypracovanie požadovanej dokumentácia, ktorej rozsah bude závislý od predchádzajúceho posúdenia.
Piatym krokom bude konzultácia so zodpovednou osobou a požiadavka na písomne vyjadrenie sa k navrhovanému zverejneniu údajov.
Šiestym a posledným krokom je zverejnenie upravenej dokumentácie a otvorených údajov.
Prečítajte si celú analýzu
Prečítajte si Analýzu možností zverejňovania otvorených údajov samospráv v súvislosti s ochranou osobných údajov a dozviete sa:
- Ako dosiahnuť súlad s požiadavkami nariadenia GDPR
- Právny základ pre často zverejňované datasety otvorených údajov samosprávami
- Príklady zverejňovaných datasetov otvorených údajov zo samosprávnej úrovne a ich zhodnotenie z pohľadu GDPR
- Zoznam služieb, ktoré zabezpečuje obec a zoznam agend obce, v ktorých má význam otvárať dáta
- Kroky, ktoré je potrebné v úrade vykonať pre dosiahnutie požiadaviek na ochranu osobných údajov
- Odporúčania na zákonne a inovatívne rozšírenie otvorených údajov
- A i.
Stiahnite si analýzu v odkaze nižšie:
Máte otázky k analýze? Chcete sa dozvedieť viac? Alebo by ste nám radi sprostredkovali podnet z lokálnej úrovne? Ak áno, kontaktujte autora analýzy emailom na pavel.nechala@wise3.sk alebo naše občianske združenie na info@alvaria.sk .
Použité zdroje:
Tento článok vznikol na základe textu Analýza možností zverejňovania otvorených údajov samospráv v súvislosti s ochranou osobných údajov a prednášky, ktorých autorom je uznávaný advokát JUDr. Pavel Nechala, PhD.
[1] Článok 4 ods. 1 Nariadenia GDPR
[2] Zákon č. 530/2003 Z. z. o obchodnom registri a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
[3] Zákon č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon)
[4] Zákon č. 346/2018 Z. z. o registri mimovládnych neziskových organizácií a o zmene a doplnení niektorých zákonov
Analýza možností zverejňovania otvorených údajov samospráv, Pavel Nechala