Obecně k ochraně osobních údajů

V tomto článku naleznete shrnuté základní informace k ochraně osobních údajů včetně vybraných aplikací do činnosti organizačních jednotek.

Do 25. května 2018 se k ochraně osobních údajů vztahuje zejména český zákon č. 101/2000 Sb., o ochraně osobních údajů ve znění pozdějších předpisů. Od 25. května to bude nařízení evropského parlamentu GDPR. Toto nařízení je v členských státech přímo použitelné - zjednodušeně řečeno má sílu zákona a je třeba se jím řídit.

Na začátek je třeba vysvětlit několik pojmů, které se ke pracování osobních údajů vztahují:

osobní údaj

Tím je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd. (ÚOOÚ)

Kromě osobních údajů existuje zvláštní kategorie osobních údajů tzv. citlivé údaje. Tyto údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina údajů, které jsou považovány vůči subjektu údajů za citlivé a jimž je poskytnuta zvýšená ochrana při jejich zpracování.

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. V naší organizaci se tak jedná zejména o zmíněné údaje o zdravotním stavu, které zpracováváme obvykle pouze na základě výslovného souhlasu člena nebo jeho zákonného zástupce. U těchto údajů je třeba maximálně důsledně dbát na to, aby byly velmi dobře zabezpečeny - nejlépe v uzamykatelné schránce (šuplíku/ skříni v klubovně, bedně na táboře), do které má přístup jasně vymezený okruh osob.

správce

Každé zpracování osobních údajů - např. na přihláškách dětí jedoucí na tábor - má svého správce. Tím je v obecné rovině každá fyzická nebo právnická osoba, která určuje účel a způsob zpracování osobních údajů. V našem případě se tak bude jednat o hlavní spolek Junák - český skaut, jakož i o jeho všechny pobočné spolky - jednotky, pokud spracovávají osobní údaje. Správci osobních údajů v případě naší organizace nejsou jednotlivé fyzické osoby - vedoucí, ale pouze jednotlivé organizační jednotky.

pověřená osoba

Správci osobních údajů jejich zpracováním dále pověřují tzv. pověřené osoby. V naší organizaci jsou to především osoby v linii řídící, tj. rádci, oddíloví vedoucí, členové rad všech stupňů. Dále se jedná i o osoby mimo řídící linii - tedy zejména zdravotníky, vedoucí akcí, tajemníky a další. Odpovědnost za zpracování osobních údajů podle daných předpisů tak v prvé řadě nese vždy organizační jednotka.

zpracovatel

Další osobou, která se může na zpracování osobních údajů podílet, je zpracovatel. Obecně je jím subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Není povinností správce najmout si zpracovatele, tj. zpracovatel není nutný prvek zpracování. Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista správce a ani jeho vnitřní útvar, tedy ani jednotliví vedoucí naší organizace). Typickým zpracovatelem pro potřeby naší organizace je externí účetní společnost nebo poskytovatel cloudového úložiště. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

subjekt údajů

Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. V našem případě je to tak nejen každý člen naší organizace, ale také osoby, které se účastní našich akcí a my o nich zporacováváme osobní údaje (děti nečleni účastnící se výprav a táborů, externí zdravotníci apod.). Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@firmaabcxyz.cz

zpracování osobních údajů

Osobní údaje mohou být zpracovány pouze

• na základě stanoveného účelu,
• na základě právního důvodu,
• v rozsahu,
  
• způsobem,

který určí správce osobních údajů.

V naší organizaci vycházíme ze směrnice pro nakládání s osobními údaji (dále jen "směrnice"). Tato směrnice standardně stanovuje většinu účelů, pro které naše organizace osobní údaje zpracovává. Jelikož se jedná o směrnici, která je součástí vnitřního práva a platí tak napříč celou organizací, není nutné tyto účely v jednotkách stanovovat nebo měnit.

Co se týče rozsahu zpracování osobních údajů, pokud jednoka neurčí jinak, platí pro každou funkci specifický rozsah stanovený přílohou směrnice - např.:

"b) vedoucí oddílu je oprávněn v plném rozsahu zpracovávat osobní údaje členů oddílu, a to včetně údajů citlivých. Ve skautISu tento rozsah zachycuje role "Vedoucí /Administrátor oddílu" či "Aktivní činovník oddílu" (jen pro čtení).

 Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?

Osobní údaje lze zpracovávat, pokud je přítomen některý z právních důvodů. Pro naši činnosti jsou relevantní zejména:

• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (evidence členů pro potřeby vedení účetnictví  - stanoveno zákonem, pro potřeby vyúčtování některých dotací, zpracování zdravotních údajů na základě občanského zákoníku a zákona o ochraně veřejného zdraví - vykonávání dohledu nad dětmi v oddíle a na táboře, poučení ostatních vedoucích o zdravotním a stravovacím omezení dětí),
• subjekt údajů udělil souhlas pro jeden či více konkrétních účelů (v naší organizaci se typicky jedná o souhlas s pořizováním a zpracováváním fotografií),
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů (týká se např. údajů pronajímatele, se kterým uzavíráte smlouvu na pronájem tábořiště).

Existují i další právní důvody pro zpracování osobních údajů (všechny jsou uvedeny v čl. 6 nařízení GDPR), avšak ty pro naši činnost nemají takový význam. V případě souhlasu jako jednoho z právních důvodů platí, že osoba jej standardně může odvolat a tím správce ztrácí právo na zpracování těchto údajů (týká se zejména uvedených fotografií). Dále je třeba si uvědomit, že v mnoha případech v rámci naší činnosti zpracováváme osobní údaje na základě zákonného důvodu - tedy pro splnění právní povinnosti - viz. výše a zpracování osobních údajů na základě souhlasu je ve specifických případech.

V případě údajů zpracovávaných na základě souhlasu musí být souhlas dán transparentním a dobrovolným způsobem. Právě k tomu slouží námi doporučené vzory dokumentů. Stejně tak, pokud se na základě souhlasu rozhodnete svým členům nebo podporovatelům posílat nějaký zpravodaj, newsletter apod., je třeba do každé takové zprávy (obvykle do patičky emailu) připojit možnost tento zpravodaj odhlásit. Pokud na webu schromažďujete videa a fotografie osob k veřejné propagaci, je vhodné na stránky připojit informaci o tom, že tyto materiály jsou zpracovány na základě souhlasu členů.

Důrazně tak doporučujeme využívat pro standardní potřeby doporučené vzory přihlášek a dalších dokumentů a nepokoušet se dělat vzory zvláštní. Zvláště nedoporučujeme se pokoušet vytvářet vzory dokumenty s generálním souhlasem na zpracování veškerých osobních údajů, jelikož tato praxe je v přímém rozporu s nařízením GDPR, se zásadou transparentnosti.

Jakým způsobem je možné zpracovávat osobní údaje?

Kromě dodržení výše uvedených pravidel musí správce přijmout s ohledem na povahu, rozsah a účely zpracování taková technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.

V praktické rovině bude rozdíl ve zpracování seznamu přezdívek členů družiny, u kterých není problém, aby např. viseli na nástěnce v klubovně. V případě jmen a adres dětí bude nutné přijmout větší opatření, např. tyto údaje neposílat emailem vyjma skautského emailu nebo služeb, která neuchovávají data v EU. Dále papírové podoby těchto údajů zpřístupnit pouze vybranému okruhu osob v souladu se směrnicí. V případě citlivých údajů - typicky údajích o zdravotním stavu členů je nezbytné zajistit, aby byly velmi dobře elektronicky i fyzicky zabezpečeny, aby k nim měl okruh úzký počet osob, které je opravdu pro svou činnost nezbytně potřebují.

Doporučujeme proto zpracovávat osobní údaje zejména ve skautISu v souladu s čl. (29) a ostatními články směrnice, kde jsou vymezeny pravidla zpracování osobní údajů. Dále doporučujeme zajistit ochranu elektronické podoby údajů alespoň zaheslováním všech zařízení, ke kterým jednotlivé pověřené osoby k osobním údajům přistupují. Tedy poučit vedoucí, aby se odhlašovali ze skautISu a skautských G Suite, pokud přistupují k údajům z externího PC, svůj telefon, PC a jiné měli chráněny heslem a ochranným softwarem (antivir, firewall a jiné). Samozřejmostí je sdílení těchto údajů pouze s osobami, které k nim mají mít přístup.

Ostatní pojmy

Ve veřejném prostoru, v textu nařízení a na stránkách Úřadu pro ochranu osobních údajů jste se mohli se tkat s dalšími pojmy a instituty související s ochranou osobních údajů, zejména s kodexy a osvědčeními, pověřencem pro ochranu osobních údajů a dalšími. Tyto instituty řeśíme zejména z pozhledu a pozice ústředí a není nutné se jimi zabývat, jelikož pro jednotky nejsou relevantní.

Shrnutí

Pokud důsledně dodržujete pravidla, která jsou stanovena současným zákonem o ochraně osobních údajů, jakož i směrnicí pro nakládání s osobními údaji, mnoho věcí se pro Vás nemění. Bude třeba začít používat nové vzory dokumentů a poučit jednotlivé vedoucí o pravidlech zpracování a pokud shromažďujete fotografie a videa na volně přístupných webových tsránkách, měli byste na nich uvést, z jakého důvodu jsou zpracovány (na základě souhlasu členů). Dále dbejte na možnost odhlásit se ze zpravodajů a newsletterů, které posíláte. Pokud má Vaše jednotka externího zaměstnance (účetní, zdravotník na táboře) mohou osobní údaje zpracovávat pouze na základě smlouvy o zpracování osobních údajů, ve které musí být vymezen rozsah a způsob zpracování.

Užitečné odkazy a zdroje:

web Úřadu pro ochranu osobních údajů

Informace byly čerpány zejména ze webu Úřadu pro ochranu osobních údajů (ÚOOÚ), dále ze zákona č. 101/2000 Sb., o ochraně osobních údajů, z obecného nařízení 2016/679 o ochraně osobních údajů a ze seminářů o ochraně osobních údajů.

V případě jakýchkoliv dotazů pište na registrace@skaut.cz