20. 3. 2018
ID: 107245upozornění pro uživatele
GDPR a veřejná finanční podpora
V souvislosti s nabytím účinnosti NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR“ nebo „Nařízení“) se začaly množit dotazy, jak se má postupovat při administraci veřejné finanční podpory. Jelikož problematika veřejné finanční podpory je nedílnou součástí fungování ekonomiky, je vhodné se zamyslet také nad tím, zda aplikace GDPR je pro tuto oblast vůbec na místě.
 |
V běžné mluvě jsou pojmy dotace, granty, veřejná podpora[1] a veřejná finanční podpora používány téměř promiscue, nicméně v právním prostředí tato zdánlivá synonyma dostávají zcela odlišný význam. V tomto článku se budeme zabývat pouze veřejnou finanční podporou, tedy právním pojmem definovaným v ustanovení § 2 zákona 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „
Reklama
Při úvaze nad aplikovatelností GDPR na oblast veřejné finanční podpory, je nutné nejdříve identifikovat, komu je veřejná finanční podpora určena,[3] resp. existuje-li varianta, že příjemcem veřejné finanční podpory bude fyzická osoba. Pouze za této situace lze totiž uvažovat o použití GDPR v oblasti veřejné finanční podpory. Příkladem veřejné finanční podpory, jejímž adresátem jsou fyzické osoby, mohou být sociální dávky, podpory poskytované z rozpočtu Státního fondu rozvoje bydlení, podpory poskytované z rozpočtu Státního fondu životního prostředí České republiky - program Nová zelená úsporám,[4] resp. jeho podprogram Výstavba rodinných domů s velmi nízkou energetickou náročností, nebo kategorie Efektivní využití zdrojů energie, která je lépe široké veřejnosti známá jako tzv. kotlíkové dotace.[5] Ve spojitosti s ochranou životního prostředí a zpřísňujícími se emisními požadavky je aktuálně diskutována možnost zavedení příspěvku na nákup nového vozidla výměnou za likvidaci vozu staršího. Adresátem tohoto příspěvku, který je známý pod pojmem šrotovné, by opět mohly být fyzické osoby.
Pro oblast památkové péče existuje také několik forem veřejné finanční podpory, jejichž způsobilými žadateli by mohly být fyzické osoby, typicky se může jednat o vlastníky nemovitostí nacházejících se v památkové zóně. Poskytovateli veřejné finanční podpory v oblasti památkové péče mohou být např. obce dle zákona 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů (dále jen „zákon o rozpočtových pravidlech územních rozpočtů“) a dle zákona 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů (dále jen „zákon o obcích“).
Pro posouzení vhodnosti aplikovatelnosti GDPR na oblast veřejné finanční podpory tedy bude nutné rozlišovat, kdo je adresátem veřejné finanční podpory. GDPR je aplikovatelné pouze na takovou veřejnou finanční podporu, o jejíž čerpání budou žádat fyzické osoby.
Správce nebo zpracovatel
Poskytovatel veřejné finanční podpory může být v postavení správce ve smyslu ustanovení článku 4 odst. 7 GDPR nebo zpracovatele osobních údajů dle článku 4 odst. 8 GDPR. V postavení správce bude poskytovatel veřejné finanční podpory tehdy, jestliže bude určovat účel a prostředky zpracování osobních údajů nebo kterému je zpracování určeno právem Unie či členského státu. Správcem může být např. obec, bude-li poskytovat veřejnou finanční podporu z rozpočtu obce. Zpracovatelem budou např. orgány kraje, v okamžiku, kdy budou v pozici tzv. zprostředkujícího subjektu administrovat veřejnou finanční podporu ze státního rozpočtu, kde správcem osobních údajů bude příslušný státní fond nebo příslušné ministerstvo.
Druhy osobních údajů
Zdrojem osobních údajů jsou zpravidla žadatelé o veřejnou finanční podporu. V žádostech o poskytnutí veřejné finanční podpory se mohou objevovat různé druhy osobních údajů subjektu údajů, a to jméno, příjmení, datum narození, trvalé bydliště, počet členů domácnosti, telefon, e-mail. Správci by však měli vždy dobře zvážit, zda pro všechny druhy osobních údajů jim svědčí právní titul zpracování a zda je zpracování určitého druhu osobního údaje pro administraci veřejné finanční podpory nezbytné.
Právní titul zpracování osobních údajů
Právním titulem zpracování osobních údajů při administraci veřejné finanční podpory bude v souladu s článkem 6 odst. 1 písm. c) GDPR splnění právní povinnosti, která se na správce vztahuje. Splnění právní povinnosti může vyplývat zejména ze zákona o rozpočtových pravidlech územních rozpočtů, ze zákona o obcích, ze zákona 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, ze zákona 211/2000 Sb., o Státním fondu rozvoje bydlení, ve znění pozdějších předpisů, ze zákona 388/1991 Sb., o Státním fondu životního prostředí České republiky, ve znění pozdějších předpisů.
Rozsah zpracování osobních údajů bude vždy záviset na požadavcích poskytovatele veřejné finanční podpory, které by měly být přiměřené účelu zpracování osobních údajů.
S ohledem na výše uvedené lze doporučit, aby souhlas subjektu údajů byl vyžadován jen v případech, kdy pro daný účel zpracování osobních údajů nelze využít jiný právní titul, uvedený v článku 6 GDPR.
Povinnosti správce
Poskytovatelé veřejné finanční podpory poskytované fyzickým osobám jsou při její administraci povinni splňovat požadavky, které na ně budou kladeny GDPR. Poskytovatelé podpory budou po nabytí účinnosti Nařízení povinni poskytovat subjektům údajů informace dle článku 13 GDPR. Informace a poučení dle článku 13 GDPR o nezbytnosti a potřebě zpracovávat osobní údaje je nutné sdělit subjektům údajů v okamžiku získání osobních údajů, a to při splnění požadavků k obsahu a formě informací a sdělení dle článků 12 a 13 GDPR.
Poskytovatelé veřejné finanční podpory budou muset upravit vnitřní procesy, tak aby subjekt údajů mohl uplatnit svá práva uvedená v článcích 15 až 19 GDPR, (právo na přístup k osobním údajům, právo na opravu či výmaz osobních údajů, právo na omezení zpracování, oznamovací povinnost), např. prostřednictvím přijetí interního předpisu zajistit vhodná technická a organizační opatření k zabezpečení ochrany zpracovávaných osobních údajů.
Poměrně problematickým se může v oblasti veřejné finanční podpory v budoucnu jevit požadavek tzv. pseudonymizace osobních údajů vyplývající z Nařízení.[6] Zvláště pak za situace, kdy správce osobních údajů, bude chtít použít shromážděné osobní údaje k jinému účelu, než byly shromážděny.[7] Rovněž bude zajímavé sledovat, jak se zákonodárce postaví k požadavkům vyplývajícím z článku 25 GDPR,[8] např. v kontextu se zněním vyhlášky 286/2007 Sb., o centrální evidenci dotací, ve znění pozdějších předpisů, kdy v příloze č. 1 této vyhlášky jsou stanoveny povinně zveřejňované údaje o příjemcích dotací, návratných finančních výpomocích a dalších obdobných transferech poskytnutých ze státního rozpočtu, státních fondů, státních finančních aktiv a Národního fondu.
V souladu s článkem 30 GDPR bude muset každý poskytovatel veřejné finanční podpory jako správce vést záznamy o činnostech zpracování.
Dochází-li při administraci veřejné finanční podpory prováděné prostřednictvím informačních systémů ke zpracování osobních údajů, budou muset poskytovatelé podpor před nabytím účinnosti GDPR zkontrolovat smlouvy, které mají uzavřeny se svými poskytovateli informačních systémů, resp. jiných IT služeb, aby i dodavatelé systémů zajistili potřebný standard ochrany osobních údajů. Při kontrole je nutné se zaměřit na způsoby zpracování osobních údajů, možnosti přístupu jednotlivých osob do systému, zabezpečení osobních údajů, a to po celou dobu jejich zpracování, jakož i po dobu případné archivační lhůty.
Poskytovatelé veřejné finanční podpory by měly vždy dbát, aby zpracování osobních údajů při administraci veřejné finanční podpory probíhalo v souladu se zásadami zpracování osobních údajů uvedenými v článku 5 Nařízení, tedy na základě zásady zákonnosti, korektnosti a transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení a integrity a důvěrnosti.
Závěr
Byť by se na první pohled mohlo zdát, že problematika poskytování veřejné finanční podpory, nemá nic společného s ochranou osobních údajů fyzických osob. Ze stručného rozboru obsaženého v tomto článku lze dospět k názoru, že i na tuto oblast aplikace GDPR dopadá. Správci či zpracovatelé osobních údajů vyskytujících se při administraci agendy veřejné finanční podpory by před nabytím účinnosti GDPR měli především identifikovat, v jakých souvislostech se osobní údaje subjektů údajů objevují, jaké jsou jejich zdroje, jaký je právní titul jejich zpracování, případně jak bude s osobními údaji nakládáno, jakmile dojde k poskytnutí veřejné finanční podpory, rovněž by následně měli přijmout vhodná interní opatření, která subjektům údajů budou zajišťovat uplatnění jejich práv vyplývajících z GDPR.
Mgr. Michal Mazel,
advokát
Advokátní kancelář Mazel & Směja
Vinohradská 938/37
120 00 Praha 2
Tel.: +420 222 220 117
e-mail: office@mazel-smeja.cz
___________________________________
[1] Veřejnou podporou se dle definičních znaků veřejné podpory obsažených v ustanovení článku 107 odst. 1 Smlouvy o fungování Evropské unie, (dále jen „SFEU“) rozumí: „podpory poskytované v jakékoli formě státem nebo ze státních prostředků, které narušují nebo mohou narušit hospodářskou soutěž tím, že zvýhodňují určité podniky nebo určitá odvětví výroby, jsou, pokud ovlivňují obchod mezi členskými státy, neslučitelné s vnitřním trhem, nestanoví-li Smlouvy jinak.“
[2] Těmito právnickými osobami se rozumí organizační složka státu, která je účetní jednotkou podle zvláštního právního předpisu, státní příspěvková organizace, státní fond, územní samosprávný celek, městská část hlavního města Prahy, příspěvková organizace územního samosprávného celku nebo městské části hlavního města Prahy a jiná právnická osoba zřízená k plnění úkolů veřejné správy zvláštním právním předpisem nebo právnická osoba zřízená na základě zvláštního právního předpisu, která hospodaří s veřejnými prostředky.
[3] Na rozdíl od veřejné finanční podpory je veřejná podpora určena výhradně podnikům. Byť připouštíme, že veřejná finanční podpora může být veřejnou podporou ve smyslu článku 107 odst. 1 SFEU, nesdílíme názor, že veřejnou podporu je možné poskytovat fyzickým osobám. Fyzickým osobám sice může být poskytnuta např. podpora de minimis (nebo také podpora malého rozsahu) ta však není považována za veřejnou podporu, protože vzhledem k její nízké částce má Evropská komise za to, že nenaplňuje poslední dva znaky definice veřejné podpory – neměla by ovlivnit obchod a narušit hospodářskou soutěž mezi členskými státy (srov. https://www.uohs.cz/cs/verejna-podpora/podpora-de-minimis.html). Pro úplnost uvádíme, že podnikem je jakýkoli subjekt vykonávající hospodářskou činnost nezávisle na právním postavení tohoto subjektu a způsobu jeho financování. Srov. rozsudek ve věci Ministero dell´Economia e delle Finanze v. Cassa di Risparmio di Firenze SpA et al., C-222/04, Sb., rozh. 2006, s. I-289, nebo příloha č. 1 NAŘÍZENÍ KOMISE (EU) č. 651/2014 ze dne 17. června 2014, kterým se v souladu s články 107 a 108 Smlouvy prohlašují určité kategorie podpory za slučitelné s vnitřním trhem (dále jen „GBER“), dle které se podnikem rozumí každý subjekt vykonávající hospodářskou činnost, bez ohledu na svou právní formu. K těmto subjektům patří zejména osoby samostatně výdělečně činné a rodinné podniky vykonávající řemeslné či jiné činnosti a obchodní společnosti nebo sdružení, která pravidelně vykonávají hospodářskou činnost.
[4] Dostupné na www, k dispozici >>> zde.
[5] Žadateli a příjemci podpory mohou být pouze vlastníci a stavebníci rodinných domů, a to jak fyzické osoby, tak i právnické osoby.
[6] Srov. článek 28 recitálu GDPR, dle kterého: „použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.“ Pojem pseudonymizace je vysvětlen v článku 4 odst. 5 GDPR.
[7] Viz ustanovení článku 6 odst. 4 písm. e) GDPR., ze kterého vyplývá, že: „pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v článku 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné: a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování; b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem; c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10, d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů; e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.“
[8] Článek 25 odst. 1 GDPR uvádí, že: „S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.“ Dle článku 25 odst. 2 GDPR je správce povinen zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
