Evropské nařízení GDPR zavádí takzvanou zásadu minimalismu, která znamená, že bychom měli disponovat jen těmi údaji, které skutečně potřebujeme pro svou činnost nebo pro naplnění takzvaných oprávněných zájmů organizace (což mohou být například i tradice). Důležité je mít u všech osobních údajů, se kterými pracujeme, tzv. právní důvod zpracování (viz přehled právních důvodů na ÚOOÚ). To může být například zákon, smlouva, podmínky poskytovatele dotace. Praktický příklad: Když se nám hlásí děti do oddílu, prostě musíme pracovat s jejich základními osobními údaji, bez nich nelze člena zaregistrovat. Obdobně když pořádáme akci podpořenou z dotace, zpravidla nám podmínky ukládají dokládat poskytovateli prostředků seznam účastníků a založit ho také do vlastní dokumentace pro případ kontroly. Od rodičů nežádáme souhlas, ale musíme jasně říct, co a proč se s údaji jejich dětí bude dít. Pokud to nepřijmou, není možné se stát členem nebo se účastnit akce. Na druhou stranu v přihlášce obvykle požadujeme i údaje, k jejichž zpracování už je souhlas nutný…

Co to má společného s ochranou osobních údajů? Hrozně moc! Setkáváme se s postoji typu „dřív jsem to neřešil a teď to taky řešit nebudu…“. Po krátkém povídání s lidmi, kteří tohle tvrdí, ale zjistíme, že i oni používají RISP (díky čemuž nemají všechno na papíře), papírové dokumenty se jim neválí po klubovně, ale mají je v šuplíkách, údaje svých členů nevypráví každému na potkání, ale jen tomu, kdo s nimi opravdu má pracovat a tak dále… A to všechno je ochrana osobních údajů, vlastně je to její úplný základ.

Tento krok sice není nezbytný, mohou ho zastat obvyklé orgány PS, ale rozhodně je doporučeno – i když dle předpisu nemusíme mít takzvaného pověřence – najít na každé pionýrské skupině onu klíčovou osobu, která bude sledovat práci s údaji, bude si udržovat povědomí o smlouvách, o uložení a zabezpečení dokumentů apod.

Ačkoli se snažíme vás seznámit se vším podstatným, co se vás v této oblasti dotýká, samozřejmě je vždy lepší se s novými pravidly seznámit v novém rozsahu. Máme na mysli nejen samotné evropské nařízení, ale také související vnitřní předpis, který schválila Česká rada Pionýra v dubnu 2018. Je to sice hodně stránek, ale text je přehledně členěný, takže si můžete vybrat ty části, které se vás týkají. A to samé platí o přílohách.

General Data Protection Regulation / Obecné nařízení o ochraně osobních údajů je ucelený soubor pravidel pro práci s osobními údaji a jejich ochranu proti zneužití. Tato norma je od 25. 5. 2018 platná v celé Evropské unii. Ve stručnosti lze říct, že shrnuje do jednoho předpisu řadu již existujících a platných pravidel. Oproti současné úpravě v ČR přináší jen několik skutečných novinek. Kromě jistého zpřísnění lze ale očekávat, že také způsobí vyšší zájem o ochranu osobních údajů. Proto je nutné se na její vstup v účinnost důkladně připravit.

Podle GDPR v našem případě pověřená osoba není nutná. Nejsme ani orgán veřejné moci, zpracování údajů není naše hlavní činnost, ani nezpracováváme rozsáhlé množství údajů zvláštních kategorií (zdravotní – ty jen částečně v dokumentaci akcí, náboženské, etnické, genetické apod.).

Stejně jako u mnoha pravidel obsažených v GDPR, je i zde třeba zachovat klid a uplatnit zdravý rozum. Opravdu není nutné si v táborové chajdě zřizovat trezor. Jde o to, aby dokumenty, které nemají být volně přístupné (jako třeba ona zdravotní dokumentace), nebyly uložené ve společných prostorách, ale například v uzavřené krabici v prostoru pro vedoucí.

Zde hraje roli jiný „právní důvod“. Na ubytování dětí při Ledové Praze částečně přispíváme z dotací. Jejich úplný seznam, včetně dat narození, proto musí být součástí vyúčtování dotací.

Souhlas musí být odvolatelný, proto se týká jen takového zpracování údajů, ke kterému nemáme jiný právní důvod – ten může plynout ze zákona, podmínek poskytovatele dotací apod. Souhlasy se týkají například focení, používání kontaktních údajů a podobně.

Když žádáme o souhlasy, musí vždy být možnost ho neudělit. Proto například není možné, aby udělení souhlasu bylo podmínkou pro účast – podpis přihlášky a podpis souhlasu je vždy oddělen. Také nelze souhlas formulovat tak, že jedním podpisem souhlasí člověk s více věcmi, pak totiž nemůže například jednu z nich odmítnout a ostatní přijmout. Buď podepíše vše, ale část souhlasu je vynucená, nebo nepodepíše nic. Pokud chceme podepisovat souhlas jen jednou, musí u každého zpracování údajů být volba ano/ne – jako na vzorových přihláškách (focení ano/ne; zasílání informačních mailů ano/ne -+ podpis).

Pokud někdo nechce údaje vůbec poskytnout, pak není možné ho registrovat jako člena nebo přihlásit na akci, to je zjevné. Pak nezbývá, než se rozloučit. Pokud jde ale o údaj, bez kterého se lze obejít, pak musíme účast umožnit i bez něj. Jen je nutné dané dítě nefotit, rodičům neposílat maily apod. (podle toho, jaký souhlas nebyl udělen).

Pokud jde o údaje zpracovávané opravdu jen na základě souhlasu (například fotky), je nutné takové žádosti vyhovět, jeho fotky přestat užívat k prezentaci činnosti atd. Pokud ale někdo požádá o smazání svých základních identifikačních údajů (jméno a příjmení, datum narození, bydliště), které uchováváte a zpracováváte například na základě podmínek čerpání dotací, tak je nutné takovému člověku oznámit, že jeho žádosti nelze vyhovět – s tím, že pokud nesouhlasí, může se obrátit na příslušný dozorový úřad, který posoudí, zda převažuje jeho zájem o smazání údajů nebo váš právní důvod pro jejich ponechání. Tak či tak ale musí dostat odpověď do 30 dnů.

Jediná pevně stanovená podmínka je, že souhlas musí být doložitelný. K tomu by měkla postačit i kope či sken. Vždy je ale nutné, aby byl dohledatelný pro případnou kontrolu.

Ano, souhlas může být udělen i tímto způsobem, musí ale být jednoznačně doložitelný. Aplikace proto musí o jeho udělení vytvořit záznam, kde je jasně patrné kdo a k čemu udělil souhlas.

V podobných případech zatím není jasné nařízení nebo výklad, ale považujeme za vhodné, aby plnoletý člověk měl souhlas udělený přímo vlastním jménem.