Město Hrádek
Náměstí 8. května 270
Nová Huť
338 42 Hrádek u Rokycan
Telefon: pevná linka: 371 787 151
E-mail:
evidence@mestohradek.cz
v souladu s Čl. 30 Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále také „GDPR“)
Město Hrádek se sídlem Náměstí 8. května 270, 338 42 Hrádek
IČO 00258725
Kontaktní osoba: Ing. Jiří Drnec
Mgr. Martin Ouda, advokát, ČAK 20065
se sídlem: Palackého 70/1, 301 00 Plzeň,
Kontaktní údaje:
Město Hrádek (dále také „správce“ nebo „obec“) se při své činnosti setkává se zpracováním osobních údajů, které provádí na základě splnění několika zákonem předpokládaných podmínek. Většina zpracování osobních údajů je prováděna bez písemného souhlasu na základě zákonného zmocnění. V níže uvedeném seznamu uvádíme jednotlivě činnosti, při kterých dochází ke zpracování osobních údajů subjektů údajů jako správcem, ale také i případy, kdy se nachází v pozici zpracovatele.
4. Soukromoprávní (smluvní) vztahy. 4
10. Zajištění agend vztahů s veřejností a prezentace obce. 10
10.1. Internetové stránky obce. 10
10.4. Vítání občánků, gratulace k jubileím a významným životním událostem... 11
10.7. Poskytování informací 12
11. Informační povinnost a práva subjektů údajů.. 13
11. Technická a organizační bezpečností opatření 13
Evidence obyvatelstva je jednou ze základních zákonných evidencí osobních údajů využívaných orgány veřejné moci. V souvislosti s evidencí obyvatel je veden „informační systém evidence obyvatel“, jehož správcem je ministerstvo. Obec se tak při činnosti s informačním systémem vyskytuje v pozici zpracovatele na základě právního aktu. Ke zpracování dochází na základě zákonného zmocnění v souladu s čl. 6 odst. 1 písm. c) GDPR - zpracování nezbytné pro plnění právní povinnosti. Tato povinnost vyplývá ze zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel) a některých prováděcích předpisů. V pozici správce je pouze v rozsahu, ve kterém eviduje záznamy o poskytnutí údajů z informačního systému. V ostatních případech je zpracovatelem na základě zákonného zmocnění v rozsahu a způsobem v zákoně uvedeném.
Základní identifikační údaje, údaje o trvalém pobytu na území České republiky a ostatní údaje vedené v informačním systému evidence obyvatel dle § 3 odst. 3 zákona o evidenci obyvatel.
Zpracování osobních údajů v souvislosti s uzavíráním pracovních smluv probíhá na základě splnění několika směrnicí předpokládaných podmínek:
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Obec je zde v pozici správce, který musí uchovávat osobní údaje pro potřeby uzavřených pracovních smluv a současně uchovává osobní údaje z důvodu plnění zákonných povinností.
Správce pro účely vedení účetnictví zpracovává osobní údaje subjektů údajů na základě Čl. 6 odst. 1 písm. c) GDPR – zpracování je nezbytné pro splnění právní povinnosti. Zpracování je prováděno na základě povinnosti dle zákona č. 563/1991 Sb., o účetnictví, dle zákona č. 235/2004 Sb., o dani z přidané hodnoty a dle zákona č. 586/1992 Sb., o daních z příjmů.
Fyzická osoba, od které byla přijata platba a je povinnost uchovat o přijetí této platby doklad včetně identifikace této osoby dle výše uvedených zákonů.
Základní identifikační údaje.
Obec v souvislosti s výkonem své činnosti uzavírá smluvní vztahy soukromoprávního charakteru. V této souvislosti obec zpracovává osobní údaje smluvních partnerů, a to na základě:
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Obec jako správce provádí zpracování osobních údajů již při přijetí žádosti a to v rozsahu posouzení dané žádostí a přípravě dokumentů pro rozhodnutí v příslušných orgánech obce. Jedná se o vnitřní procesy obce, které jsou nezbytné k řádnému splnění zákonných povinností dle zákona o obcích. V některých případech je uložena povinnost uchovávat dokumentaci o uzavřených smlouvách v zákonem požadované době, tedy dochází ke zpracování osobních údajů i po skončení smluvního vztahu.
Základní identifikační údaje, kontaktní údaje, platební údaje, údaje související s předmětem smlouvy, druhem plnění, údaje o výši finančního plnění, popřípadě o pohledávce a způsobu jejího plnění (kategorie 1-5).
Osobní údaje jsou pro účely agend hospodaření obce zpracovávány po dobu nezbytnou pro uplatňování práv a plnění povinností ze závazků se subjekty údajů nebo právnickými osobami, za něž jedná subjekt údajů (zpravidla alespoň v rozsahu obecné promlčecí doby), a dále v nezbytném rozsahu pro účely oprávněných zájmů obce například pro budoucí prokázání vlastnického práva. Po skončení této doby se uplatní skartační lhůty stanovené spisovým a skartačním řádem.
Dokumentaci veřejných zakázek obsahující osobní údaje je obec povinna uchovávat po dobu 10 let dle § 216 zákona o zadávání veřejných zakázek.
Obec plní jednu ze základních rolí při pořádání voleb a v této souvislosti zpracovává osobní údaje širokého okruhu subjektu údajů. Toto zpracování provádí obec na základě Čl. 6 odst. 1 písm. c) GDPR – zpracování nezbytné pro plnění právní povinnosti.
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Obecní úřad v rámci této činnosti vede stálý seznam voličů, kteří jsou v obci přihlášeny k trvalému pobytu. Do tohoto seznamu je možné zapsat i další osoby, pokud je jim toto právo přiznáno. Obec tak zpracovává osobní údaje v zákonem požadovaném rozsahu, který je v případě voleb velmi široký (voliči, kandidáti, členové volební komise, petenti, apod). Z tohoto důvodu je nezbytné provádět maximální ochranu osobních údajů.
Základní identifikační údaje, státní občanství, volební právo a jeho případné omezení, číslo dokladu totožnosti, účast při hlasování; v případě členů okrskových volebních komisí údaje nezbytné pro výkon činnosti člena komise a pro jeho odměňování; v případě kandidátů a zmocněnců identifikační údaje dle kandidátní listiny a čestného prohlášení kandidáta; v případě petentů u nezávislých kandidátů identifikační údaje dle náležitostí petice.
Po skončení voleb se uplatní skartační lhůty stanovené spisovým a skartačním řádem, ve vztahu ke kandidátním listinám a souvisejícím dokumentům - A10 a ostatní volební dokumentaci - V5.
Vedení přestupkových řízení je obcí prováděno na základě Čl. 6 odst. 1 písm. e) GDPR - zpracování nezbytné pro výkon veřejné moci, kterým je obec pověřena.
Hlavním zákonem, na základě kterého dochází ke zpracování osobních údajů je zákon č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich. Pověření obce je na základě § 60 odst. 2) ve věcech proti pořádku v územní samosprávě, proti veřejnému pořádku, proti občanskému soužití a proti majetku. Vzhledem k personálním možnostem obce byla tato agenda na základě veřejnosprávní smlouvy předána k řešení výkonu této činnosti Městu Rokycany, se sídlem Masarykovo náměstí 1, 337 01 Rokycany, IČO 00259047 – zpracovatel, a to v souladu s § 105 zákona č. 250/2016 Sb., o odpovědnosti za přestupky. Práva a povinnosti zpracovatele jsou řešeny zákonem a není tedy nezbytné ochranu osobních údajů řešit samostatnou dohodou o této ochraně.
Údaje nezbytné pro plnění zákonné povinnosti a řádné vyšetření přestupku.
Vzhledem ke skutečnosti, že jsou přestupky řešeny pověřenou obcí na základě veřejnoprávní smlouvy, řídí se výmaz pravidly pověřeného úřadu.
Zajištění kontaktního místa veřejné zprávy a s ním související zpracování osobních údajů je prováděno na základě Čl. 6 odst. 1 písm. c) GDPR - zpracování nezbytné pro plnění právní povinnosti.
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Na obec se při poskytování služby Czech POINT pohlíží z hlediska GDPR jako na správce osobních údajů – záznam se týká údajů, které obec získává od subjektu údajů pro účely poskytnutí služby CzechPoint, popřípadě je předává subjektu údajů. Při práci s informačním systémem Czech POINT, jehož správcem není obec, se obec dostává do pozice zpracovatele.
Fyzická osoba, která činí podání na kontaktním místě veřejné správy.
Správce informačního systému kontaktních míst veřejné správy.
Žádost o vydání výpisu z Rejstříku trestů uchovává kontaktní místo veřejné správy po dobu dvou let od jejího podání.
Ověřování a s ním související zpracování osobních údajů je prováděno na základě Čl. 6 odst. 1 písm. c) GDPR - zpracování nezbytné pro plnění právní povinnosti.
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Žadatel o vidimaci nebo legalizaci, svědek, ověřující osoba provádějící vidimaci nebo legalizaci.
Základní identifikační údaje subjektů údajů. Označení dokladu totožnosti. Podpis.
Údaje nezbytné pro vedení evidence vidimací a legalizací v ověřovací knize, vedení rejstříku ověřovací knihy, vybírání správních poplatků a vedení podpisových vzorů ověřujících osob a uvádění identifikace ověřujících osob na ověřovacích doložkách.
Krajský úřad.
Ověřovací kniha se vede po dobu kalendářního roku. Ověřovací knihy jsou uloženy u úřadu po dobu 10 let od uzavření (§ 16 odst. 4 zákona o ověřování).
Agenda místního poplatku je činnost obce v přenesené působnosti. Ke zpracování osobních údajů dochází na základě Čl. 6 odst. 1 písm. e) GDPR - zpracování nezbytné pro výkon veřejné moci, kterým je obec pověřena.
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Výběr místního poplatku a související zpracování osobních údajů se řídí daňovým řádem, který vždy kladl důraz na ochranu osobních údajů v rámci daňového řízení. Ke zpracování osobních údajů dochází na základě právních předpisů a pouze v rozsahu stanoveným právními předpisy.
Údaje jsou zpracovávány po dobu trvání poplatkové povinnosti a po dobu běhu lhůty pro placení daně (§ 160 daňového řádu). Po skončení této doby se uplatní skartační lhůty stanovené spisovým a skartačním řádem.
Obec v souladu s jejím účelem zajišťuje pro veřejnost vedlejší aktivy a činnosti, které mají zlepšit, případně zpříjemnit život občanů na území obce. Jedná se tak zejména o poskytování informací na internetových stránkách obce, vydávání obecního zpravodaje, zřizování obecní knihovny, vítání občánků, gratulace k jubileím a životním událostem a pořádání kulturních a jiných akcí obcí. Níže jsou uvedeny jednotlivě záznamy takového zpracování.
V rámci této činnosti obec plní jednak zákonnou povinnost na základě Čl. 6 odst. 1 písm. e) GDPR - zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci a Čl. 6 odst. 1 písm. c) GDPR - zpracování je nezbytné pro splnění právní povinnosti. Obec na svých stránkách zveřejňuje zejména povinně zveřejňované informace na základě zákona o svobodném přístupu k informacím, ale také údaje o představitelích obce, zaměstnancích a jiných kulturních událostech. Zveřejnění zaměstnanců osob ve veřejných funkcích včetně kontaktních údajů je prováděno ve veřejném zájmu. Současně jsou na internetových stránkách zveřejňovány fotografie z akcí pořádaných obcí. Toto zpracování osobních údajů je prováděno na základě zákonné licence dle § 89 občanského zákoníku.
Hlavními zákony, na základě kterých dochází ke zpracování osobních údajů:
Osoba s relevantním vztahem k obci, člen zastupitelstva obce, úředník obce, ředitel školy nebo školského zařízení, zaměstnanec právnické osoby zřízené nebo založené obcí, osoby zúčastněné na akci pořádané obcí.
Jméno a příjmení, údaje o skutečnostech týkajících se subjektu údajů významných pro informování veřejnosti, případně podobizna.
Veřejnost.
Zpracování osobních údajů formou jejich zveřejnění trvá po dobu odpovídající povaze a formě sdělení.
Obecní zpravodaj je jednou z dobrovolných činností obce. Vzhledem k tomu, že je určen neurčitému počtu uživatelů, jeho obsah by měl mít obdobné omezení jako je pro internetové stránky obce. Podrobnosti ke zpracování – viz internetové stránky obce.
Poskytování služby obecní knihovny, respektive poskytování služeb s tímto spojených, je zpracováním osobních údajů dle Čl. 6 odst. 1 písm. b) GDPR - zpracování nezbytné pro splnění smlouvy. Veřejná knihovna založená dle zákona č. 257/2001 Sb. (knihovní zákon) zpracovává osobní údaje v souvislosti s poskytováním služeb. Za tímto účelem zpracovává osobní údaje uživatelů služeb.
Fyzická osoba využívající služeb knihovny.
Jméno, příjmení, datum narození, adresa trvalého pobytu, doručovací adresa, e-mail, telefon; číslo čtenářského průkazu, přehled výpůjček včetně historie, přehled rezervací, vrácení a upomínání; účetní údaje o provedených o peněžitých transakcích, zejména o jejich účelu, místě a čase; údaj o ZTP; identifikační údaje zákonného zástupce, je-li registrovaný uživatel mladší 15 let.
Osobní údaje nejsou předávány třetím osobám.
Správce uchovává osobní údaje po dobu nezbytnou pro uplatňování práv a plnění povinností ze závazků se subjekty údajů. Osobní údaje registrovaných uživatelů jsou uchovány po dobu registrace a 5 let poté. Osobní údaje v počítačových databázích jsou likvidovány vymazáním identifikačních údajů (anonymizace). Osobní údaje v listinné podobě jsou likvidovány dle Spisového a skartačního řádu obce.
I přesto, že ve vzorech ministerstva vnitra je uvedeno, že zpracování pro tyto účely je dáno dle Čl. 6 odst. 1 písm. e) GDPR – zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, domnívám se, že zákon dnes nedostatečně řeší zpracování osobních údajů pro tyto účely a k jejich zpracování je nezbytný souhlas subjektu údajů. Přání zástupce obce je prováděno na základě vzájemné znalosti občanů obce, případně na požádání rodiny jubilanta.
Pořádá-li obec akci pro občany obce, v jejíž souvislosti dochází ke zpracování osobních údajů nad rámec smluvního nebo zákonného zmocnění, je nezbytné, aby takové zpracování bylo obsahem smluvního závazku, tedy toto zpracování bude v souladu s dle Čl. 6 odst. 1 písm. b) GDPR – zpracování nezbytné pro splnění smlouvy. Podrobnosti ke zpracování – viz soukromoprávní vztahy. Pokud obec provádí zpracování osobních údajů v souvislosti s konáním této akce pro účely následného informování v obecním tisku nebo na webových stránkách pomocí fotografií, činí tak na základě zákonné licence dle § 17 zákona č. 110/2019 Sb., o zpracování osobních údajů.
Fyzické osob zúčastněných na veřejně přístupných akcích konaných obcí.
Podobizna, případně jméno a příjmení fyzických osob.
Veřejnost.
Uplatní se skartační lhůty stanovené spisovým a skartačním řádem.
Vedení kroniky je povinností obce dle zákona č. 132/2006 Sb., o kronikách obcí. Zákon vymezuje vedení kroniky k zaznamenávání zpráv „o důležitých a pamětihodných událostech v obci pro informaci i poučení budoucím generacím“. Součástí mohou být písemné, obrazové nebo zvukové dokumenty doplňující zápis v kronice. Zpracování osobních probíhá v souladu s Čl. 6 odst. 1 písm. e) GDPR - zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.
Občan obce, který je svojí osobou, činností nebo skutkem významnou měrou přispěl k důležité nebo pamětihodnotné události v obci.
Jméno a příjmení, případně bydliště nebo jiný pro záznam významný údaj.
Veřejnost.
Uplatní se skartační lhůty stanovené spisovým a skartačním řádem.
Jedná se o zpracování osobních údajů na dle Čl. 6 odst. 1 písm. c) GDPR - zpracování nezbytné pro splnění právní povinnosti. Zákonná povinnost vzniká na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
Obec poskytuje osobní údaje v souladu s právními předpisy upravující jejich ochranu. Současně však jako správce eviduje osobní údaje o žadatelích o poskytnutí informace. Předmětem zpracování jsou osobní údaje žadatele o informaci.
Základní identifikační údaje subjektů údajů, označení dokladu totožnosti, podpis.
Žadatel o informaci.
Uplatní se skartační lhůty stanovené spisovým a skartačním řádem.
Obec plní svou informační povinnost zveřejněním povinných informací na svých webových stránkách u kontaktních údajů a současně poskytuje tyto informace v sídle správce. Informace obsahují i způsob uplatnění práv subjektů údajů.
I přesto, že mají jednotlivé kategorie osobních údajů vyšší či nižší stupeň ohrožení, správce provádí ochranu osobních údajů subjektů údajů pro obec finančně a technicky možné nejvyšší kvalitě.
Vstup do nebytových prostor obce je chráněn elektronickým zabezpečovacím systém, kdy přístupové údaje májí pouze zaměstnanci obce. Každá kancelář je samostatně uzamykatelná a každá kancelář je vybavena uzamykatelnou schránkou/skříní pro účely uložení písemných dokumentů. Klíče jsou předávány na základě předávacího protokolu.
Údaje v elektronické podobě jsou uchovávány ve výpočetní technice, která je v uzamykatelné místnosti a přístup do těchto zařízení je chráněn heslem. Tyto hesla znají pouze zvolení zástupci města – starostka, místostarosta a dále zaměstnanci pověření ke zpracování příslušné agendy, při které dochází ke zpracování osobních údajů.
Služební telefony jsou užívány výhradně osobou, které je zařízení svěřeno a přístup to zařízení je chráněn heslem.
Za účelem ochrany osobních údajů vydala obec vnitřní směrnici, která stanovuje závazný postup pro osoby provádějící zpracování osobních údajů. V místnosti, kde se setkává veřejnost se zaměstnanci obce je ochrana zajištěna přepážkou, za kterou mají přístup pouze pověření zaměstnanci. Každý zaměstnanec je pravidelně proškolen a je povinen postupovat tak, aby neumožnil třetím osobám přístup ke zpracovávaným osobním údajům.
Obec provádí pravidelnou aktualizaci technických a organizačních bezpečnostních opatření a provádí školení zaměstnanců v oblasti ochrany osobních údajů při jejich zpracování.
Město Hrádek provádí ochranu osobních údajů dle technických a finančních možností. Osobní údaje v na listinných dokumentech jsou uchovávat v místě, kde je minimální riziko jejich odcizení. Osobní údaje v elektronické podobě správce uchovává pouze na jeho zařízení a přístup k těmto zařízením je omezen pouze pro pověřené osoby nebo zaměstnance správce. Každé zařízení je chráněno přístupovým heslem.
Uchování dokumentu je limitováno zákonnou povinností provádět archivaci dokumentů v souladu s přijatým spisovým a skartačním řádem.