Novinky z GDPR pro jednotky

GDPR přináší různé novinky, drtivá většina z nich však nijak nezasahuje do činnosti skautských organizačních jednotek a pro běžnou činnost se v podstatě nic nemění. V tomto článku uvádíme některé novinky z GDPR, které se mohou dotýkat přímo jednotek, nebo se o nich v médiích často hovoří a je vhodné upozornit na to, jak u nás daná věc je.

Základní pojmy a prvotní informace

Pojem osobní údaj nebyl oproti dosud platnému českému zákonu č. 101/2000 Sb., o ochraně osobních údajů, de facto nijak změněn, stejně jako správce a zpracovatel. Tedy i nadále zpracováváme stejné osobní údaje a ty jsou zpracovávány a spravovány stejnými osobami jako dosud.

Citlivé údaje - Jejich výčet je téměř totožný s výčtem citlivých údajů v původním českém zákoně č. 101/2000 Sb., o ochraně osobních údajů, až na údaj o odsouzení za trestný čin, který se naší činnosti však nedotýká. I proto se v oblasti zpracovávání citlivých údajů na úrovni jednotek nic nemění a je potřeba s nimi nakládat i nadále stále stejně obezřetně a v souladu s vnitřními i zákonnými požadavky.

Nové přístupy a povinnosti

Co znamená přístup založený na riziku a jaké nové instituty přináší?

Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob, a tomu musí přizpůsobit i zabezpečení osobních údajů. (Tento přístup platí už i v současné době za účinnosti současného českého zákona č. 101/2000 Sb., o ochraně osobních údajů.)

V pojetí obecného evropského nařízení tento přístup navíc znamená aplikaci dodatečných povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby a je tedy důvodné aplikovat tyto povinnosti. Mezi tyto nové povinnosti, o kterých nelze hovořit, že se plošně vztahují na všechny správce či zpracovatele patří:

• záznamy o činnostech zpracování,
• jmenování pověřence pro ochranu osobních údajů,
• posouzení vlivu na ochranu osobních údajů,
• předchozí konzultace s dozorovým úřadem.

Tyto zmíněné povinnosti mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů.

Novou povinností je i

• povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.

Tato povinnost se z povahy věci může týkat každého správce či zpracovatele (ten oznamuje správci), a to tehdy, pokud je porušení zabezpečení už závažnějšího charakteru, tj. musí z něj vyplývat riziko pro práva a svobody fyzických osob. Pro uplatnění povinnosti oznámit porušení zabezpečení subjektu údajů musí být takové porušení vysoce rizikové pro práva a svobody fyzických osob.

Tedy v případě činnosti v Junáku - českém skautu tuto problematiku by případně řešilo pouze ústředí a není potřeba se jí na úrovni jednotek zabývat. (Případně je v budoucnu možné, že jednotky budou mít povinnost případný dílčí problém se zabezpečením a únikem dat, které spravují v rámci jednotky, oznámit ústředí, které pak pomůže s řešením situace a vyhodnotí, zda to má vliv i na povinnosti vyplývající z GDPR).

 

Jak budu jako správce dokládat soulad zpracování?

Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správcům, jak výslovně zmiňuje obecné nařízení, napomáhat mimo jiné záznamy o činnostech zpracování a pověřenec pro ochranu osobních údajů, kodexy, osvědčení (pečetě, známky).

Základním instrumentem pro většinu správců by měly být záznamy o činnostech zpracování dle článku 30 obecného nařízení. Záznamy o činnostech zpracování obsahují obecné informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí.

Takovéto záznamy o činnostech zpracovávání v rámci povinností plynoucích z GDPR primárně vytváří pro běžné spolkové činnosti přímo ústředí pro celý Junák - český skaut, neboť osobní údaje jsou zpracovávány pro spolkovou činnost v rámci jedné organizace spojené jedněmi Stanovami, máme pro všechny jednotky stejná pravidla, provázanou organizaci a zpracováváme stejné údaje ke stejným účelům. Na úrovni běžných středisek tedy není potřeba tuto věc samostatně řešit a pouze převezmete ústředím připravené záznamy o činnosti (týkající se evidence členů a související spolkové činnosti a evidence souvisejícící s pořádáním akcí). Z pohledu jednotek je však nutné se držet všech pravidel pro nakládání s osobními údaji, jak je máme společně určeny a ošetřeny ve vnitřním právu (a jak již dnes jednotky činí v souladu se Směrnicí pro nakládání s osobními údaji).
Pozor: Pokud vaše jednotká má nějaké speciální činnosti, pak by si již ale i sama musela takový vlastní speciální záznam o činnosti vytvořit. Taková věc se však bude typicky týkat jen VOJ či ZvOJ, které mají například zaměstnance, nebo speciální "podnikatelskou" či jinou činnost nad rámec běžné spolkové činnosti společné pro všechna skautská střediska. (V případě nejasností se neváhejte obrátit na ústředí).

Pověřenec pro ochranu osobních údajů má u některých správců a zpracovatelů sloužit jako prvek mající dbát na to, aby zpracování osobních údajů u některých správců bylo v souladu s obecným nařízením. Tato pozice je v médiích často diskutována (například proto, že státní správa a samospráva ji mají nařízenou dle pravidel daných MVČR), ale skautských organizačních jednotek se nijak netýká! Na úrovni ústředí budeme řešit i agendy, které by běžně pověřenec dělal, ale dle aktuální právního výkladu oficiálně jmenovaného pověřence nepotřebujeme ani na úrovni ústředí spolku.

Co jsou záznamy o činnostech?

Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost (ústředí tuto povinnost plnilo a na ÚOOÚ jsme v minulosti byli takto hlášeni jako celý spolek), která byla obecným nařízením zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením. Jde o obecné záznamy. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Není stanovena forma těchto záznamů a je předpoklad, že záznamy o činnostech zpracování se budou lišit i v závislosti na rozpětí prováděného zpracování. Nezbytné minimum záznamů je uvedeno v článku 30 odst. 1 obecného nařízení.

Tato povinnost (jak již bylo uvedeno výše) se však běžných skautských středisek a ani běžných vyšších organizačních jednotek netýká. Tyto dokumenty zpracovává ústředí a to pro všechny agendy zpracovávání osobních údajů napříč celou organizací (a to především v návaznosti na evidenci členů a spolkovou činnost).

 

Ke stažení: Záznamy o činnostech zpracování

Součástí výše uvedených novinek agendy řádného zpracovávání osobních údajů je dle GDPR tedy i vedení tzv. záznamů o činnostech zpracovávání. V rámci běžné skautské činnosti se ve všech organizačních jednotkách řeší dvě základní činnosti - evidence členů pro spolkovou činnost a evidence související s akcemi ve vztahu ke členům i nečlenům. Pro tyto agendy musí organizační jednotka vést tabulku evidující danou činnost (pomáhá k identifikaci jaké údaje, z jakého důvodu, s jakými opatřeními, případně jak dlouho jsou údaje zpracovávánay). Uvedená podoba je povinná a odpovídající zpracovávání osobních údajů v jednotkách dle poučení na přihláškách.

Jednotky, které navíc dělají další rozšiřující činnosti (týká se jen zlomku jednotek, které cíleně dělají i další činnost) mají možnost využít další připravené vzory a ty buď přímo využít, nebo upravit - takovou aktivitou "navíc" je například pronajímání základny či vybavení a s ním související evidence osobních údajů.