Odpověď
Na orgán veřejné správy se pravidla v GDPR vztahují, když zpracovává osobní údaje týkající se fyzické osoby. Odpovědností vnitrostátních správních orgánů je pomoci regionální a místní správě s přípravou na uplatňování GDPR.
Většina osobních údajů, kterou mají v držení orgány veřejné správy, je obvykle zpracovávána z důvodů splnění právní povinnosti nebo do té míry, v níž je to nezbytné pro plnění úkolů prováděných ve veřejném zájmu nebo při výkonu veřejné moci, kterou byly pověřeny.
Při zpracovávání osobních údajů musí orgán veřejné správy dbát na to, aby respektoval klíčové zásady jako je:
- spravedlivé a zákonné zpracování,
- účelové omezení,
- minimalizace údajů a uchovávání osobních údajů.
V případě zpracovávání na základě práva by toto právo už mělo zaručit dodržování uvedených zásad (např. typy údajů, doba uložení a vhodné záruky).
Před zpracováním osobních údajů musí být fyzické osoby o zpracování informovány, například o jeho účelech, typech shromažďovaných osobních údajů, příjemcích a o právech těchto fyzických osob v oblasti ochrany osobních údajů.
Orgán veřejné správy musí jmenovat pověřence pro ochranu osobních údajů, i když jeden pověřenec pro ochranu osobních údajů může být určen pro několik veřejných orgánů, a tudíž mezi nimi může být sdílen, nebo může tuto práci svěřit externímu pověřenci pro ochranu osobních údajů. Musí také zajistit zavedení náležitých technických a organizačních opatření za účelem zajištění osobních údajů. Pokud jsou části zpracování svěřena externí organizaci (tzv. „zpracovatel“), musí existovat smlouva nebo jiný právní akt zajišťující to, že zpracovatel poskytne dostatečné záruky k zavedení náležitých technických a organizačních opatření dle norem GDPR.
V případech, kdy dojde k náhodnému nebo protiprávnímu prozrazení osobních údajů v držení neoprávněným příjemcům nebo pokud jsou tyto osobní údaje dočasně nedostupné nebo jsou pozměněny, o porušení zabezpečení musí být bez zbytečného odkladu informován úřad pro ochranu osobních údajů, a to nejpozději do 72 hodin poté, co se o porušení zabezpečení orgán veřejné správy dozví. Je možné, že o tom orgán veřejné správy bude také muset informovat příslušné fyzické osoby.
Další informace o povinnostech orgánů veřejné správy podle GDPR najdete v části „Podniky a organizace“.