Města i firmy v Plzeňském kraji stojí přípravy na GDPR statisíce

Rektorát i části Západočeské univerzity analyzují činnosti souvisejících se zpracováním osobních údajů, aktualizují informační systémy a revidují zpracovatelské smlouvy a souhlasy. „Jmenovaný pověřenec pro ochranu osobních údajů ZČU poskytuje poradenství studentům, zaměstnancům i třetím osobám," uvedla mluvčí Šárka Stará. Na webu školy bude také sekce věnovaná GDPR, která zajistí plnění informační povinnosti vůči subjektům osobních údajů.

„GDPR podle našeho názoru cílí primárně na jiné subjekty, viz například kauza Facebook a Cambridge Analytics, než jsou vysoké školy. Z hlediska pokroku IT technologií a rozmachu sociálních sítí jde sice o krok správným směrem, vysokým školám ale jednoznačně přináší zvýšenou administrativní i finanční zátěž," řekla mluvčí. Náklady na zavedení budou v desetitisících korun měsíčně.

„Intenzivně řešíme práci s fotodokumentací, která je do určité míry šedou zónou. Výklad, co ještě je a není osobní údaj, je někdy sporný," dodala Šárka Stará. Problém představuje hlavně zpětné získávání souhlasů s uveřejněním fotografií, pokud škola potřebuje fotky pořízené dříve použít znovu do svých materiálů nebo na webové stránky. K tomu vydala metodiku práce s foto a videozáznamy a vzory souhlasů. Na velkých akcích, třeba majálesu, jsou zase informační tabule.

„Díky tomu, že ZČU se řídí zákonem o ochraně osobních údajů, nebude docházet k zásadním změnám v tom, jaké údaje budou či nebudou veřejně dostupné. Promítne se to hlavně do vnitřních procesů," doplnila mluvčí Stará.

Na GDPR se musely připravit i PMDP nebo Prazdroj

Plzeňské dopravní podniky si loni nechaly zpracovat externí analýzu zpracování a ochrany osobních údajů a jejich souladu s GDPR, uvedl mluvčí René Vávro. Podnik, který jmenoval pověřence pro ochranu osobních údajů, stále reviduje smluvní dokumenty včetně pracovních smluv a smluv o zpracování osobních údajů s externími subjekty. Odpovědné zaměstnance proškolil. Celkové náklady se pohybují ve statisících korun.

Na veřejnosti už se nebudou objevovat informace, k jejichž zveřejnění nebude právní důvod. Firma musela zajistit úpravu některých softwarů a aplikací tak, aby plnily požadavky plynoucí z GDPR.

Prazdroj nastavil systémy a proškolil zaměstnance. „Jsme připravení procesy dolaďovat podle konkrétní agendy, která nastane se spuštěním," uvedla mluvčí Jitka Němečková. Opatření přináší administrativní zátěž, ale chápe je jako součást důležitého tématu ochrany spotřebitele. Firma už teď respektuje veškeré platné normy a nařízení a velké změny nečeká. Správce dat bude podle ní dále dobře zvažovat, jaká data a v jakých souvislostech sdílet, poskytovat a zveřejňovat.

„K velkým změnám nedochází. Nechali jsme si zpracovat pouze analýzu souladu dosavadního stavu s nařízením za 165 tisíc korun," uvedla mluvčí Plzeňského kraje Alena Marešová. Nařízení nepřipraví občany o informace z činnosti kraje, který provádí interní audit mapující vnitřní procesy.

Ochrana osobních údajů zasáhne také rodiče a děti na školách

Školy postupují dle příručky ministerstva. Zlepší se hlavně zabezpečení počítačových sítí, školy nakoupí licence na softwarové řešení papírových agend a uzamykatelné skříně na spisy. Řada z nich je již dostatečně vybavena a náklady budou jen v tisících Kč. Nejvíce půjde na pověřence, kterého musí mít každá škola. Kraj zajistí centrálně zabezpečení počítačových sítí škol pokročilými firewally.

„Celkové náklady dosáhnou 15 milionů," řekla Alena Marešová. Školy už by neměly na webu zveřejňovat například jmenné výsledky testů a rozvrhy se jmény učitelů. Už teď je má většina škol skryté, viditelné až po přihlášení žáků nebo rodičů.

„Upravují se pouze souhlasy se zpracováním osobních údajů, dochází k úpravě vnitřních norem, aktualizují se zpracovatelské smlouvy," uvedla Eva Barborková, mluvčí plzeňské radnice, která má stejně jako kraj pracovní skupinu a pověřence i pro příspěvkové organizace. Domažlická radnice stále zvažuje, k jakým činnostem je potřeba souhlas se zpracováním osobních údajů, když neplynou přímo ze zákona.