Poznatky ze stížností - obce

11.01.2021


1) Zveřejňování adresních či jiných identifikačních údajů žadatele ve zveřejněných odpovědích na žádost o informace dle zákona č. 106/1999 Sb.
Byť mají povinné subjekty dle § 5 odst. 3 zákona č. 106/1999 Sb. povinnost poskytnutou informaci zveřejnit způsobem umožňujícím dálkový přístup, nelze v rámci tohoto postupu zveřejňovat zároveň adresní či jiné identifikační údaje žadatele. V praxi jde nejčastěji o chybný postup spočívající v umístění celého dokumentu odpovědi (nebo zároveň i žádosti) na internetové stránky povinného subjektu či jeho naskenování bez začernění či jiné anonymizace adresních a jiných údajů žadatele.
V případě, že povinný subjekt volí variantu umístění celého dokumentu odpovědi (nebo i žádosti) na internetové stránky (tj. neumístí pouze samotnou poskytnutou informaci), je nutné věnovat pozornost i provedení správné anonymizace dokumentu, tak aby anonymizované informace nemohly být jednoduchým krokem zpřístupněny (např. prosté začernění textu v programu Word lze jednoduše uvést zpět do čitelného stavu).
Úřad v této souvislosti odkazuje na stanovisko ministerstva vnitra č. 1/2012 a manuál ministerstva vnitra pro obce k zákonu o svobodném přístupu k informacím.
2) Nedůvodné zpřístupňování již neaktuálních dokumentů obsahujících osobní údaje
Dokumenty obsahující osobní údaje by měly být veřejnosti přístupné k naplnění účelu zveřejnění dokumentu. Je nutné ověřit, zdali nejsou prostřednictvím internetových stránek zveřejňovány dokumenty, jejichž zveřejnění již nemá oporu např. ve zvláštním zákonu, či byl naplněn účel jejich zveřejnění.
V praxi se často stává, že sice správce dokument odstranil z viditelného rozhraní internetových stránek (neexistuje přímý odkaz na dokument), avšak z důvodu nedostatečného zabezpečení IT rozhraní je dokument stále vyhledatelný prostřednictvím vyhledávače, typicky po zadání jména + příjmení + město atd. Je tak nutné přijmout taková opatření, aby i po odstranění dokumentu z viditelného rozhraní internetových stránek nebyl dokument stále vyhledatelný vyhledávačem.
3) Neoprávněné nahlížení úředníků do registrů (např. obyvatel)
Nahlížení do registrů, ke kterým má konkrétní zaměstnanec přístup, se musí dít za legitimním účelem, vyplývajícím z jeho pracovní činnosti při výkonu státní správy. Do registrů nelze nahlížet za účelem uspokojení vlastní zvědavosti či zjištění informací pro osobní účely (např. rodinné spory). Závažné zneužití údajů z registrů může mít za následek i spáchání trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník.
4) Nezabezpečení osobních údajů, jejich zpřístupnění nepovolaným osobám
V rámci adekvátního zabezpečení, dle požadavků článku 32 GDPR, je nutné věnovat pozornost i pracovnímu prostředí zaměstnanců, ve vztahu k dokumentům, které mají ve své správě, zejména pokud je náplní jejich činnosti též styk s veřejností. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty, se kterými se může veřejnost nepovolaně seznámit. Za takovéto situace hrozí únik osobních údajů a informací.