Takzvané GDPR, tedy obecné nařízení o ochraně osobních údajů, se nevyhnulo ani městům. Ta kvůli němu musela přijmout řadu opatření. Před začátkem platnosti na konci května bylo GDPR poměrně velkým strašákem a provázela ho celá řada mýtů a polopravd. HlídacíPes.org zjišťoval, jaké poradenské služby využila města v Olomouckém kraji a jaké částky za ně zaplatila.

Okresní města v kraji využila pro poradenství kvůli GDPR služeb několika dodavatelů.

Konkrétně město Olomouc realizovalo poradenské služby jako součást projektu z roku 2016, který původně vypsalo na implementaci norem ISO27000 a v rámci něhož může po dobu tří let užívat poradenských služeb vítězné firmy.

Za tento projekt, který před dvěma lety vysoutěžila firma I3 Consultants, zaplatilo město 586 850 korun.

Stejnou firmou pak byla nad rámec tohoto projektu zhotovena také vstupní analýza zpracování a ochrany osobních údajů olomouckého magistrátu a Městské policie Olomouc, za kterou město zaplatilo dalších 118 580 korun.

Smlouva na provedení vstupní analýzy – Olomouc

Co je to vstupní analýza, vysvětluje advokát Jakub Dohnal:

„Jedná se o vstupní dotazník, do kterého vyplníte druh osobních údajů, se kterými nakládáte. Může se jednat například o zdravotní stav, náboženské vyznání a tak dále. Poté vyplníte, kdo k těmto datům má přístup a jak s nimi může zacházet – například ukládá je do excelu, tiskne smlouvy. A na základě této vstupní analýzy provedete potřebná interní opatření,“ přibližuje Dohnal s tím, že cena analýzy se odvíjí od času potřebného na její zhotovení.

Služeb stejné společnosti využilo také město Jeseník. Balík služeb, který sestává z přeškolení pracovníků města k problematice GDPR, vstupní analýzy, návrhu technických a organizačních opatření a školení k navrženému systému zpracovávání a ochrany osobních údajů dle GDPR, nakonec Jeseník vyšel na 235 950 korun včetně DPH.

Ceny za poskytnuté služby městu Jeseník

Město Prostějov realizovalo výběrové řízení na dodavatele poradenských služeb jako vůbec poslední z okresních měst. Nakonec však v jeho rámci zvítězila prostějovská firma Scholaservis.

Ta poskytla městu – dle informací pověřence pro ochranu osobních údajů Petra Šilhánka – služby jako audit analýzy, vytvoření směrnice či školení zaměstnanců. To vše vyšlo město pouze na 100 tisíc korun, což řadí Prostějov k městům, která za poradenské služby utratila vůbec nejméně.

Rekordmani z Přerova

Naopak město Přerov zaplatilo za služby k GDPR zřejmě nejvíce.

Nejprve realizovalo výběrové řízení, jehož vítězem se stala společnost MT Legal s.r.o., advokátní kancelář. Součástí služeb je právní analýza zpracování osobních údajů města, posouzení současného stavu zpracování osobních údajů s GDPR a návrh opatření k zajištění souladu s GDPR. Za tyto služby město zaplatilo 453 750 korun.

Výstřižek – smlouva „GDPR – analýza ICT infrastruktury Magistrátu města Přerova“

Stejné služby, nižší cena

K tomu navíc ještě Přerov vypsal další výběrové řízení na GDPR analýzu ICT infrastruktury magistrátu města Přerov, jejíž cena nakonec dosáhla 544 500 korun. Celkově tak Přerov zaplatil 998 250 korun včetně DPH, čímž se stal okresním městem, které investovalo do poradenských služeb k GDPR vůbec nejvíce.

Výběrové řízení na poradenství k GDPR vypsal i Šumperk, přičemž podle mluvčí města byla stěžejním kritériem pro výběr firmy právě cena.

Služby, které město v rámci poradenství k GDPR využilo, se v zásadě shodují se službami poskytnutými městu Přerov. Cena je však zásadně nižší.

Skládají se z kompletní analýzy procesů správy, zpracování a nakládání s osobními údaji, návrhu technických a organizačních opatření k dosažení souladu s GDPR a provedení diferencovaného školení k navrženému systému zpracování a ochrany osobních údajů dle GDPR.

Za všechny tyto služby pak nakonec město Šumperk zaplatilo 159 tisíc korun.

Práva a povinnosti měst

„V podstatě přichází s mírným zpřísněním ochrany osobních údajů. Není to taková revoluce, jak se to všude vykládá, protože jsme tady měli již zákon o ochraně ososbních údajů, jehož pravidla jsou velmi podobná,“ vysvětluje podstatu GDPR advokát Jakub Dohnal a dodává:

„Doteď to bylo tak, že se osobní údaje schraňovaly v excelovských tabulkách, přeprodávaly se. Výsledkem tohoto zákona je to, že se všechna ta pravidla výrazně zpřesňují.“

Největší změnou oproti předchozímu zákonu je podstatné zvýšení pokut. Ale dojde i ke změně dalších pravidel.

„Například se mírně změní souhlas se zpracováním osobních údajů, přibude navíc určité časové omezení. Další změnou je zrušení registrační povinnosti provozovatelů kamerových systémů u dozorujícího orgánu, kdy se ta správcovská funkce přenáší rovnou zpracovatele. Tedy jedná se o pár změn, které jsou rozepsány na desítkách stran,“ říká Dohnal.

„Města mají své databáze a tabulky, které musejí zpřesnit a učinit jistá opatření, přičemž tím nejvýznamnějším je povinnost mít pověřence pro ochranu osobních údajů. Je to člověk, který má na starosti, aby hlídal dodržování zákonem satnovených pravidel. O jednu takovou osobu se pak může na základě veřejnosprávní smlouvy dělit vícero obcí,“ vysvětluje Dohnal a dodává, že by tato osoba měla být pokud možno mimo vztah podřízenosti vůči městu, aby mohla svou funkci vykonávat skutečně nezávisle.