FAQ k osobním údajům

Otázky a odpovědi k tématu ochrany a nakládání s osobními údaji a problematikou danou evropským nařízením tzv. GDPR.

PŘIHLÁŠKY

Jak mám zacházet se členem nebo uchazečem o členství, který si nepřeje, abychom o něm evidovali jakékoliv údaje?

Taková osoba se nemůže stát členem, respektive takový nesouhlas je překážkou dalšího členství. Bez evidování údajů pro "vnitřní činnost" nejsme schopni dostát zákonným povinnostem a zároveň kvalitně provozovat naši činnost. 

Kde získat přihlášku na akci pro dospělého nečlena?

Vzor této přihlášky nenabízíme, jelikože se jedná o značně atypickou situaci. V těchto případech si doporučujeme upravit přihlášku na akci pro neplnoletého účastníka. Je třeba ji upravit v částech, které používají pojmy "neplnoletý účastník" a "zákonný zástupce" a nahradit je pojmy účastník, respektive pojem "zákonný zástupce" vhodně odstranit. 

Musíme pro všechny členy znovu vyplňovat přihlášky a zajišťovat nové souhlasy?

Nemusíte! Přihlášky, které používáme až do května 2018 splňují požadavky původního zákona 101/2000 Sb., o ochraně osobních údajů, který je sice novým evropským nařízením GDPR od 25.5.2018 nahrazen, ale požadavky na poučení o důvodech zpracovávání osobních údajů, rozsahu zpracovávání osobních údajů, možnosti odvolat souhlas (na části údajů, které jsou zpracovávány na základě souhlasu) apod., jsou i v souladu s novým GDPR, a proto je dostatečné, že od původních členů máme původní přihlášky. Není tedy nutné po květnu 2018 znovu od všech členů zajišťovat nové přihlášky.

Nové přihlášky budou zde na Křižovatce v sekci osobním údajům zveřejněny v průběhu dubna 2018 a bude je možné pak okamžitě začít používat. Tyto nové přihlášky (s aktualizovaným textem poučení) bude zcela nutné používat po 25. květnu 2018. Do té doby je možné používat i původní přihlášky.

Můžeme měnit text přihlášky nebo poučení?

Text poučení a přihlášek do organizace, které naleznete zde neměňte. Můžete doplňovat grafiku, případně text týkající se vašeho oddílu, nicméně to jak je přihláška sestavená je v souladu se současným nařízením o ochraně osobních údajů. Vypuštěním nebou změnou textu byste mohli způsobit, že přihlášky nebudou vhodné. Stejně tak neměňte a nevypouštějte zaškrtávací políčka. Měli-by rodiče problém některé zaškrtnout, je správné řešení se o tom s nimi pobavit a vysvětlit si, co jednotlivé souhlasy znamenají pro oddíl a organizaci. Rozhodně není cesta některé části přihlášky vypouštět!

Také je důležité si uvědomit, že nejde o přihlášku pouze do vašeho oddílu, ale do celé organizace. 

Jak máme zpracovávat papírové přihlášky našich členek a členů?

Zpracovávání papírových přihlášek se děje dnes i v budoucnu stejným způsobem (už dlouho máme ke zpracovávání osobních údajů směrnici, která v této věci ani aktualizací nezmění nic zásadního). Obecně platí, že se k osobním údajům (a tedy i papírovým přihláškám) má dostávat jen omezený okruhu lidí, který to ke své činnosti potřebuje (např. je v pořádku, pokud rádce přihlášku vybere, předá ji vedoucímu oddílu a ten ji zadá do skautISu a papírově bezpečně uloží třeba do skříně ve svém zamknutém bytě). Zároveň umožňujeme (a doporučujeme) zpracovávat přihlášky ve skautISu, kam se dají naskenovat a bezpečně uložit, čímž pak odpadá problém se zbytečným předáváním papírových přihlášek mezi mnoha osobami a mnoha místy.

Jak je to s přihláškami na tábor? 

Na tábory můžete použít vzory přihlášek, které jsou k dispozici na Křižovatce (ve spisovně a v sekci táborů). Platí, že přihlášky na tábor našich členů nemusí a neřeší znovu poučení a souhlasy k nakládání s osobními údaji, neboť to řeší již sama přihláška do organizace (přihláška na tábor pro členy řeší hlavně závazné přihlášení, že dítě pojede, rodič zaplatí, jak je řešeno případné storno a že rodič aktualizuje údaje včetně údajů zdravotních, které se ale již zpracovávájí na základě poučení z přihlášky do organizace). Přihlášky na tábory s novým poučením jsou potřeba pro nečleny.

Řešíme příměstské tábory, na které budeme vybírat přihlášky on-line na webu od dubna až do konce června. Jak to máme udělat?

Pokud jde o příměstský tábor, kterého se účastní nečlenové a přihlášky budete vybírat pro část před a po část začátku účinnosti GDPR (po 25.5.2018), tak tam používejte nejpozději do 25. května 2018 dnešní přihlášku na tábor pro nečleny (dle vzoru, který máme od loňska).  Tento vzor můžete jako on-line webovou přihlášku použít už nyní pro všechny, kdo se přihlásí. Zároveň si však pohlídejte právě datum 25. května a pokud byste s přihlašováním na příměstské tábory pokračovali i po něm, bude nutné změnit text poučení na nový vzor. Nový vzor poučení k přihláškám na tábory pro nečleny zveřejníme zde na Křižovatce během dubna 2018 spolu s ostatními vzory přihlášek do organizace a dalšími vzory.

FOTOGRAFIE  

Pokud rodič udělí souhlas s pořizováním fotografií svého dítěte a jejich umístěním na nástěnky a na webové fotogalerie, ale už neudělí souhlas se zveřejněním na sociálních sítích, je možné např. na facebooku sdílet odkaz na webovou fotogalerii?

Máme za to, že nikoliv. Odkaz na webovou fotogalerii umístěný na FB tyto fotky na facebook nepřímo zveřejňuje, respektive se jedná o tak úzké propojení, že uvedení odkazu by bylo obcházení neudělení tohoto souhlasu. Pokud by však byla fotogalerie dostupná např. pouze přes heslo členům oddílu, odkaz jako takový by vadit neměl. Další možností je rozmazat obličej tohoto dítěte a pak není problém odkaz sdílet. Rozmazání obličeje je obvykle dostatečnou metodou pro zveřejnění fotografie člena kdekoliv, kde k tomu nedal souhlas. 

Jak je to s používáním fotografií z naší činnosti? Můžeme dávat fotky na oddílový web?

Problematiku fotografií musíme řešit již dlouho a GDPR nepřináší úplně nové věci, pouze některé zpřesňuje a přizpůsobuje se dnešní "digitální době". Na našich přihláškách (původních platných do roku 2018 i těch co budou zveřejněny aktualizované během dubna 2018 pro GDPR) máme poučení i souhlas se zpracováváním a používáním fotografií jakožto dokumentování naší skautské spolkové činnosti. Díky tomu je bez problémů možné používat fotky z činnosti i na oddílových webech apod. právě z důvodu dokumentování naší činnnosti. Není tedy vůbec problém zveřejnit fotografie zachycující naše členky a členy při činnosti v oddíle, na výpravách apod. Ovšem v žádném případě už nedoporučujeme zveřejňovat fotografie jednotlivých osob, u kterých by bylo v popiscích uváděno o jaké přesné osoby se jedná s doplněním dalších údajů jasně identifikující jednotlivé osoby. Pokud do popisku fotografie použijete přezdívky dětí, nejedná se obvykle o dostatečnou identifikaci dané osoby, a tedy by s popiskem obsahující přezdívky pod fotografií více dětí neměl být problém.

Zveřejňovat fotografie členů z naší činnosti by nebylo možné, pokud bychom k tomu na přihlášce neměli souhlas (zákonný zástupce dítěte by nám tento souhlas na přihlášce nedal, nebo ho dodatečně prokazatelně - písemně odvolal).  

Takže když rodiče nezaškrtnou, že souhlasí se zeveřejňováním fotek svého dítěte na webu nebo facebooku, musím pečlivě procházet, že fotky s tímto dítětem nezveřejním?

Primárně doporučujeme se s rodiči domluvit, z jakých důvodů s tím nesouhlasí (může se stát, že kolonku prostě přehlédli). Případně jim vysvětlit, k čemu a proč fotky používáte, je možné, že si představují něco strašidelnějšího, než o co ve skutečnosti jde. Pokud ani po domluvě nebudou rodiče souhlasit, je potřeba fotky s dítětem nezveřejňovat. Můžete na to myslet i tak, že ho ani nebudete fotit.    

Můžeme hezkou fotku zachycující členy naší skautské družiny použít k propagaci našeho oddílu a rozvěsit náborové plakáty po městě?

S fotkami je to komplikovanější v tom, že je potřeba posuzovat, jestli daná situace vede k identifikaci jedné konkrétní osoby (což by byl problematičtější stav), nebo je to jen dokumentování činnosti (viz předchozí otázka).  Každopádně obecně máme na přihláškách již zmiňované obecné využití fotek pro dokumentování činnosti, takže hezkou fotku skautské družiny při činnosti (jde o skupinovou fotku, není to jen jedna osoba u které byste napsali její konkrétní jméno) je určitě možné použít pro zveřejnění na webových stránkách, v rámci plakátku pro nábor do oddílu apod. Takovou fotku (doplněno informacemi k náboru do oddílu) tedy můžete použít jako plakátek i po městě/obci. Ale v situaci, kdy by na fotografii byly zobrazeny třeba jen 1-2 osoby jako hlavní postavy (a ne tedy zachycení běžné činnosti družiny v oddíle) a zároveň byste z toho chtěli udělat opravdu velkou "reklamní kampaň" s tisíci plakáty, placenou inzercí v novinách a na FB, a tedy cílili na opravdu velkou skupinu lidí, které chcete oslovit, tak je třeba mít již souhlas k využití přímo této konkrétní fotky pro tyto účely od zákonných zástupců, případně daných osob na fotografii (pokud by byly dospělé).

OSOBNÍ ÚDAJE A ZACHÁZENÍ S NIMI

Proč se rozlišují zvláštní kategorie osobních údajů?

Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů (danou osobu) samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina údajů, které jsou považovány vůči subjektu údajů za citlivé (např. zdravotní stav, politická příslušnost apod.) a jimž je poskytnuta zvýšená ochrana při jejich zpracování.

Zvýšená ochrana se projevuje zejména ve stanovených zvláštních právních důvodech, na základě kterých je lze zpracovávat, vázanost některých institutů na jejich zpracování (např. posouzení vlivu, ustavení pověřence, vyhotovit záznamy o činnostech zpracování), důraz na jejich zvýšené zabezpečení.

Tyto citlivé údaje při skautské činnosti o našich členech zpracováváme a potřebujeme je např. k zajištění bezpečí a zdraví našich členů na táborech apod. (bez znalosti základních informací o zdravotním stavu, alergii či pravidelně požívaným lékům, bychom nemohl vzít danou osobu na tábor či jinou skautskou akci). 

Je fotografie nositelem citlivých údajů? Vždyť z ní dokážu vydedukovat údaj o zdravotním stavu či rase.

Fotografie může být nositelem různých informací. Podstatné je, jak je s těmito informacemi nakládáno a zdali vůbec. Nakládání s fotografií není a priori zpracování citlivých údajů (vysvětlení kategoirií údajů dále) o subjektu údajů. O zpracování zvláštních kategorií osobních údajů by se jednalo až tehdy, pokud by z fotografie byly tyto údaje cíleně zpracovávány ve vztahu ke konkrétní fyzické osobě. Např. by fotografie sloužily jako zdroj získávání informací o nemoci pleti pro lékařský výzkum ve vztahu k identifikovaným či identifikovatelným osobám. 

Jaké údaje spadají do zvláštní kategorie osobních údajů?

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. Jejich výčet je téměř totožný s výčtem citlivých údajů v původním zákoně č. 101/2000 Sb., o ochraně osobních údajů.

Musím mít zaheslované počítače, mobily, plus třeba i mazání dat na dálku?

Dnes i v budoucnu platí věci v podstatě stejně - máte dbát na bezpečnost dat, máte používat prostředky, které jsou přiměřené k daným situacím a uloženým údajům. Takže je běžné a normální, že máte na počítači heslo, v mobilu pin či otisk prstu apod. Stejně tak je normální, že hesla na webové stránky ukládáte jen ve vlastním počítači a ně někde ve škole apod. Na tyto věci prosím pamatujte a dbejte na to, aby data nebyla "veřejně přístupná".

Šifrované disky v počítači ani nutnost mít možnost vymazat data v zařízení "dálkově" nutné nejsou. Jsou to jen další preventivní stupně, které se mohou v některých situacích hodit (např. na ústředí některé osoby pracující s osobními údaji mají svá zařízení i na úrovni disku šifrována, mají vícefaktorové přihlašování do některých služeb apod.), ale určitě není nutné to mít na běžné vybavení používané pro běžnou činnost na úrovni oddílu či střediska. 

Můžeme ukládat údaje o členech do Google tabulek?

Obecně platí, že primárním místem pro správu a ukládání dat o členech je skautIS (se všemi pravidly, rolemi, účty jen osob, žádné poskytování hesla někomu jinému atd.) O ten ústředí intenzivně pečuje a dbá na jeho bezpečnost a zajištění potřebného zabezpečení.

Pokud si nějaké osobní údaje ukládáte on-line, tak je ukládejte a se svými úzkými týmy sdílejte (uvážlivě a opatrně) jen pomocí skautského Google disku a pomocí skautských Google účtů! (ne pomocí osobních gmail.com, yahoo.com, seznam.cz apod. mailů). Jen u "firemních skautských google služeb" máme smluvně zaručeno, že jsou data např. jen na serverech v EU a ne někde jinde a že jsou splněny všechny povinnosti, které GDPR vyžaduje. 

Můžeme osobní údaje členů předávat např. městu při žádosti o dotaci?

Předávání údajů třetím subjektům může být na základě právní povinnosti nebo na základě souhlasu členů. V případech žádostí o dotaci obvykle města nepotřebují znát osobní údaje našich členů a výslovný souhlas s předáním údajů našich členů naše přihlášky neobsahují. Pokud po Vás tedy město chce seznam členů, mělo by postačovat předání pouze souhrnných informací typu:  "našimi členy je X dětí ve věku od - do, Y ve věku od - do".

Pokud se jako jednotka účastníte nějaké akce pořádané někým jiným, tak z pohledu členů jste primárně pořadatelem vy (pokud je to skautská akce), a pak pokud je z nějakého důvodu nutné a musí být údaje předány i pořadatelům, tak máte zvážit, jak velikou skupinu údajů opravdu je třeba předat a hlavně v takovém případě své členy o tom informujete (nedovedu si představit, že by se to v oddílech/středi scích nedělo, že by to nebylo v informacích na pozvánce na akci apod., že akce je pořádána někým jiným než skauty). 

Můžeme osobní údaje předávat jiným třetím osobám, které s námi spolupracují? Co např. externí účetní nebo známý neskaut, který nám dělá zdravotníka?

Můžete, pokud je to potřeba k zajištění naší činnosti (tím se to odlišuje od výše uvedeného příkladu). Jelikož ale danou činnost provádí třetí osoba, je nutné s ní mít uzavřenou smlouvu o zpracování osobních údajů (vybrané vzory ke stažení na Křižovatce). Třetí osobou se myslí každá osoba, která není členem organizace, i pokud by se jednalo o Vašeho dobrého kamaráda neskauta nebo rodinného příslušníka.

Můžeme osobní údaje dítěte předat zaměstnavateli, pokud od něj žádá rodič dítěte příspěvek na tábor?

Pro zaměstnavatele by mělo být plně dostatečné, pokud na faktuře bude uvedené, že táborový poplatek je za "syna/dceru vašeho zaměstnance Jméno + Příjmení" (kdy zaměstnavatel stejně eviduje osobní údaje daného rodiče). Mám za to, že zaměstnavateli není nic do toho, jaké jsou konkrétní osobní údaje našeho člena = dítěte, takže se domnívám, že na tyto údaje nárok nemá (v souladu se zásadou "minimalizace údajů" - čl. 5, odst 1 c) GDPR) a zároveň tyto ani další údaje nesmíme bez souhlasu rodičů třetímu subjektu poskytovat (tedy pokud by nám např. přišla žádost o fakturu přímo od zaměstnavatele bez toho, aby nám o tom dali rodiče vědět). Obecně bych ale na fakturu určitě nepsal datum narození a nic dalšího ohledně toho dítěte. V některých případech je možné, že zaměstnavatel finančně podporuje třeba jen tábory, pokud se jich účastní děti do nějakého věku. Pak je zřejmě vhodné domluvit s rodičem, co na fakturu napsat (viz. souhlas výše), aby to zaměstnavatel proplatil a zároveň jste zbytečně na fakturu nevypisovali osobní údaje člena, které nejsou pro zaměstnavatele nutné (takže např. neuvádět jméno dítěte a pouze připojit informaci o jeho datu narození nebo fakturu doplnit nějakým čestným prohlášením rodiče o věku jeho dítěte). Pokud s tím ale bude rodič výslovně souhlasit, resp. na tom bude kvůli zaměstnavateli trvat, může se na faktuře objevit i jméno a datum narození dítěte. 

Jak je to s rodnými čísly? Je vůbec legální, že je od našich šlenů sbíráme?

RČ potřebujeme a je to povinný údaj, neboť jej po nás pro identifikaci osob vyžaduje stát - plním zákonnou povinnost (např. pro vyúčtování některých dotací ze státního rozpočtu musíme být schopni státu doložit seznam účastníků vč. rodných čísel; stejně tak např. činovníci jsou zapisováni do spolkového rejstříku, kde je RČ ze zákona povinným údajem apod.) SkautIS pro jednoznačnou identifikaci využívá úplně jiný interní údaj a RČ je prostě evidováno jako základní osobní údaj z důvodů viz. zákonná povinnost.

Kdy lze zvláštní kategorie osobních údajů zpracovávat?

Zvláštní kategorie osobních údajů lze zpracovávat, pokud:

• subjekt údajů udělil výslovný souhlas,
• zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
• zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
• zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
• zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
• zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
• zpracování je nezbytné z důvodu významného veřejného zájmu,
• zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.,
• zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
• zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce. Například pro zaměstnavatele pro zpracování zvláštních kategorií osobních údajů (typicky údaj o zdravotním stavu) v případě nezbytnosti představuje oprávnění druhý bod.

TRANSPARENTNÍ ÚČTY

 Jak na transparentní účty a platby na ně?

Při využívání transparentních bankovních účtů, jejichž pohyby jsou zveřejňovány na internetu, je třeba:
a) neidentifikovat jmény osob odchozí platby, nevyjádří-li s tím dotyční souhlas,
b) upozorňovat možné plátce na transparentnost bankovního účtu OJ,
c) nabízet možnost provedení úhrady také způsobem, při kterém nedojde ke zveřejnění osobních údajů (např. vkladem na pobočku s variabilním symbolem či platbou na netransparentní účet).

VOLITELNÉ SOUHLASY