Práce s osobními údaji (GDPR)

GDPR (General Data Protection Regulation) neboli obecné nařízení o ochraně osobních údajů stanovuje obecné povinnosti pro práci s osobními údaji.

Řídí se především Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 a Zákonem o zpracování osobních údajů č. 110/2019 Sb.

Shrnující PDF o ochraně osobních údajů je ke stažení zde.

Ochrana osobních údajů v Pionýru

Při pionýrské činnosti sbíráme a zpracováváme celou řadu osobních údajů. Jde například o evidenci členů, účastníků akcí, o informace o jejich zdravotním stavu, ale třeba i o fotky, údaje o dosažené kvalifikaci, kontakty a podobně.

Ochrana osobních údajů je významné téma a díky GDPR je stále aktuální.

Souhlasy

O práci se souhlasy mluvíme na této stránce několikrát v různých souvislostech, zde se jí ale věnujeme samostatně.

Zpracování osobních údajů můžeme provádět jen na základě požadavků právních předpisů nebo pokud nám k tomu dotčená osoba (nebo její zákonný zástupce) udělí souhlas.

Logika předpisu je taková, že tam, kde je souhlas dán, musí být možné ho odvolat. To znamená, že k údajům, které zpracováváme na základě jiného právního důvodu, souhlas nesmíme požadovat, protože ty jsou pro nás nezbytné. Musíme ale dotyčného poučit o tom, jak bude s jeho údaji (nebo spíše s údaji dítěte, zpravidla toto budeme řešit s rodiči) naloženo (viz vzory informace o rozsahu a důvodech zpracování osobních údajů – členů spolku / účastníků akcí). Pokud s takovým zpracováním údajů nesouhlasí, bohužel se nemůže stát členem nebo zúčastnit akce.

Příklady osobních údajů a právních důvodů pro zpracování

  • Základní identifikační údaje člena (jméno a příjmení, adresa trvalého bydliště a datum narození): Jsou nezbytné pro evidenci členské základny. Právní povinnost k jejich zpracování plyne zejména ze Stanov Pionýra a dále z povinnosti dokládat členskou základnu některým poskytovatelům dotací z veřejných rozpočtů. Souhlas nesbíráme!
  • Základní identifikační údaje účastníka akce (jméno a příjmení, adresa trvalého bydliště a datum narození): Jsou nutné pro dokládání účastníků činnosti poskytovatelům dotací z veřejných rozpočtů, pro zajištění průběhu akce a pro dokumentaci akce v hospodářské a účetní evidenci. Souhlas nesbíráme!
  • Údaje o zdravotním stavu účastníků akcí: Jsou zpracovávány na základě Zákona o ochraně veřejného zdraví a také na základě obecného požadavku na bezpečný průběh akce (rodiči poskytnutá informace o lécích, které dítě bere, apod.). Souhlas nesbíráme!
  • Netypické údaje, jako např. konfekční velikost: Pokud je třeba v ceně tábora oddílové tričko, potřebujete tento údaj, abyste mohli naplnit svůj závazek, nepotřebujte proto souhlas. Pokud ale takovýto důvod neexistuje, neměli byste (v duchu zásady minimalismu) takový údaj vůbec zpracovávat.
  • Doplňující údaje – kontakt na člena, účastníka, případně na zákonné zástupce: Zde záleží na způsobu využití. Pokud např. rodiče budete kontaktovat jen v nutných případech s cílem zajistit bezpečný průběh akce, jde o váš oprávněný zájem. Pokud kontaktní údaje chcete využívat i po akci – například k zasílání nabídek dalších aktivit, záleží na adresátovi.
          • Pokud jde o rodiče členů, je zasílání takových zpráv naplněním práva členů na informace a je možné i bez souhlasu – ale je nutné respektovat případnou žádost o nezasílání!
          • Pokud jde o rodiče nečlenů, je k takové rozesílce nutné mít souhlas. Ale pozor, jeho neposkytnutí nebrání v účasti!
  • Podoba – fotografie: Pokud by šlo o reportáž pro registrované médium (což je např. Mozaika) je dostatečným právním důvodem občanský zákoník, který umožňuje pořizování a zveřejňování takových fotografií i bez souhlasu. Pokud ale chcete s fotografiemi pracovat i jinak, což zpravidla chcete, je k tomu nutný souhlas (podrobněji dále). Ale pozor, jeho neposkytnutí nebrání v účasti! V aktuálních formulářích jako registrační list (vzor) či přihlášky na akce (vzor akce / vzor tábor) se můžete podívat, jak je tato změna uplatněná v praxi.

Doporučení:

Při zpracování osobních údajů je dobré nezapomínat na zdravý „selský“ rozum. Co je ale konkrétně nutné udělat, abyste si mohli oddechnout a říct si, že alespoň základ máte podchycený? Co se smí a co se nesmí?

Několik základních pravidel

Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Jen nutné si uvědomit, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.

Zvláštní kategorie údajů jsou osobní údaje vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a dále genetické údaje, biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby a osobní údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Tyto údaje máme zakázáno zpracovávat, pokud k tomu nemáme jasný ze zákona plynoucí oprávněný zájem (například informace o zdravotním stavu účastníků na akci, plynoucí ze zákona o ochraně veřejného zdraví).

Evropské nařízení GDPR zavádí takzvanou zásadu minimalismu, která znamená, že bychom měli disponovat jen těmi údaji, které skutečně potřebujeme pro svou činnost nebo pro naplnění takzvaných oprávněných zájmů organizace (což mohou být například i tradice). Důležité je mít u všech osobních údajů, se kterými pracujeme, tzv. právní důvod zpracování, kterých je, dle nařízení, celkem šest:

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Praktický příklad: Když se nám hlásí děti do oddílu, prostě musíme pracovat s jejich základními osobními údaji, bez nich nelze člena zaregistrovat. Obdobně když pořádáme akci podpořenou z dotace, zpravidla nám podmínky ukládají dokládat poskytovateli prostředků seznam účastníků a založit ho také do vlastní dokumentace pro případ kontroly. Od rodičů nežádáme souhlas, ale musíme jasně říct, co a proč se s údaji jejich dětí bude dít. Pokud to nepřijmou, není možné se stát členem nebo se účastnit akce. Na druhou stranu v přihlášce obvykle požadujeme i údaje, k jejichž zpracování už je souhlas nutný…

Co to má společného s ochranou osobních údajů? Hrozně moc! Setkáváme se s postoji typu „dřív jsem to neřešil a teď to taky řešit nebudu…“. Po krátkém povídání s lidmi, kteří tohle tvrdí, ale zjistíme, že i oni používají RISP (díky čemuž nemají všechno na papíře), papírové dokumenty se jim neválí po klubovně, ale mají je v šuplíkách, údaje svých členů nevypráví každému na potkání, ale jen tomu, kdo s nimi opravdu má pracovat a tak dále… A to všechno je ochrana osobních údajů, vlastně je to její úplný základ.

Tento krok sice není nezbytný, mohou ho zastat obvyklé orgány PS, ale rozhodně je doporučeno – i když dle předpisu nemusíme mít takzvaného pověřence – najít na každé pionýrské skupině onu klíčovou osobu, která bude sledovat práci s údaji, bude si udržovat povědomí o smlouvách, o uložení a zabezpečení dokumentů apod.

Sběr souhlasů je ideální spojit s jinými dokumenty, zpravidla půjde o registrační listy (vzor) a přihlášky na akce (vzor akce / vzor tábor). K jakým údajům ale souhlas potřebujeme? Jednou ze základních vlastností souhlasu je dle GDPR jeho odvolatelnost. Proto je možné ho vyžadovat jen u takového zpracování údajů, ke kterému není jiný právní důvod (například podmínky poskytovatele dotací, o kterých už jsme mluvili), protože v takovém případě by bylo odvolání souhlasu problematické nebo dokonce nemožné. Zpravidla se jedná o focení a zveřejňování fotografií nebo o užívání kontaktních údajů. Pozor! Pokud souhlas nebude udělen, účasti na akci to nebrání, jen je třeba si dát pozor při focení a zveřejňování fotek a následně neposílat informace těm, kdo o ně nestojí. Souhlas musí být jasný, konkrétní a nesmí být vynucený (viz otázky a odpovědi).

Spolu s přihláškami (vzor akce / vzor tábor) či registračními listy (vzor) vždy předávejte rodičům tzv. poučení (neboli informace o rozsahu a důvodech zpracování osobních údajů (členů spolku / účastníků akcí). Je nutné, aby se s ním prokazatelně seznámili. Obecně je vhodné takovouto informaci vyvěsit i veřejně například na webu pionýrské skupiny, ať se s ní může každý seznámit předem.

Může se zdát, že jde o zbytečnou „prudu“, ale není to tak. Tento pravidelný úkon nám naopak pomůže klidně spát. Se zmapováním toho, jaké všechny údaje sbíráme a jak je zpracováváme, nám pomohou karty, které jsou přílohami směrnice. Každá z nich zachycuje jednu činnost, při které se údaje zpracovávají (např. evidence členů, evidence účastníků akcí, účetnictví apod.). Když dáme dohromady ty, které se nás týkají, vyplyne například:

  • Jaké údaje máme mít,
  • na základě jakého právního titulu je máme zpracovávat,
  • komu tyto údaje máme či můžeme předávat dál,
  • jak dlouho máme které údaje uchovávat…

Srovnáním se skutečným stavem nám snadno vyplyne, jestli nám něco chybí, přebývá, zda je vše uloženo tak, jak má být. No a po odstranění případných nedostatků je hotovo. Takto vytvořený přehled už stačí pravidelně „oprášit“, odškrtat si vše, co zůstalo beze změn, a pokud máme například nové smlouvy, ze kterých nám plynou povinnosti ve vztahu ke zpracování osobních údajů, tak se ujistíme, že máme tyto novinky v pořádku. Pokud doběhly lhůty pro uchování některých údajů, tak je zlikvidujeme, atd.

Jistě, je to práce navíc, ale rozhodně je to lepší, než na nějakou nesrovnalost přijít až ve chvíli, kdy se změní v průšvih.

Ačkoli se snažíme vás seznámit se vším podstatným, co se vás v této oblasti dotýká, samozřejmě je vždy lepší se s pravidly seznámit v rozumném rozsahu. Máme na mysli nejen samotné evropské nařízení, ale také související vnitřní předpis, který schválila Česká rada Pionýra. Je to sice hodně stránek, ale text je přehledně členěný, takže si můžete vybrat ty části, které se vás týkají. A to samé platí o přílohách.

Vadí/nevadí

Focení na akcích

Jestli focení vadí nebo nevadí, záleží jednak na tom, o jaké fotky jde, a také, co se s nimi poté stane. Hromadné fotky dětí (ne detailní portréty), které slouží pro zpravodajství (např. do Mozaiky) jsou podle Občanského zákoníku v pořádku i bez souhlasu. Ale použít je později například na propagační materiál by už byl problém. Proto je vždycky lepší mít od všech souhlasy (viz výše). Pokud jde o otevřené akce, kde je získání souhlasu obtížné, je možné využít například takováto oznámení umístěná ve všech přístupech do prostoru akce. Odlišná situace nastává, když je s fotografií spojeno více osobních údajů – pak jde o evidenci osob a podléhá přísnějším pravidlům. To se nás ale zpravidla netýká.

Nahrávání fotek na Facebook

Pokud máte souhlas (viz výše), tak fotky můžete zveřejnit například na webu PS nebo na jejím profilu na Facebooku. Ale pozor, ne na svém soukromém profilu, dokonce ani když ho používáte víceméně jako skupinový. Souhlas ke zveřejnění fotek je totiž vždy dán pořadateli akce, tedy zpravidla PS, ne vám jako fyzické osobě. Bavíme se samozřejmě o běžných fotkách z činnosti, fotografie soukromé povahy, nevhodného obsahu atd. samozřejmě nezveřejňujeme bez ohledu na souhlas.

Posílání mailů rodičům

Se souhlasem to samozřejmě není problém. Pokud jde o rodiče členů, neměl by to být problém ani bez souhlasu – lze vycházet z předpokladu, že kdo je členem spolku (anebo jeho zákonným zástupcem), má zájem o činnost tohoto spolku, takže informace o chystané akci není žádný spam. Nicméně se budeme opakovat – vždycky je jednodušší si souhlas pořídit. I na rodiče takový postup bude patrně působit lépe.

Soubory s osobními údaji posílané mailem

Zde je nutné uplatnit onen selský rozum a posoudit míru závažnosti. Pokud je riziko zanedbatelné – tedy jde o údaje, které lze těžko zneužít (například jen jména, případně adresy), samozřejmě je možné poslat soubor mailem. Ovšem pochopitelně jen tomu, kdo má mít k těmto údajům přístup! S rostoucím rizikem (kompletní identifikační údaje, kontakty na rodiče atd.) je třeba přijmout odpovídající kroky – údaje posílat v zaheslovaném archivu, využívat zabezpečené systémy jako RISP (který také umožňuje předávání souborů) atd. Často se také setkáváme s využíváním služeb jako je bezplatná verze Google Drive (a jiné s ním spojené). Pro uchovávání dat PS tato služba ale není vhodná. Google totiž specifikuje, že tyto služby zdarma jsou určeny výhradně pro osobní využití, uchovávání dat pobočných spolků je tedy obecně jednání proti podmínkám služby/služeb. Potřebujete-li efektivní způsob pro uchovávání dat pobočného spolku, který souhlasí s GDPR, zažádejte buďto u Google o G Suite pro neziskové organizace zdarma, nebo u webmastera ÚP o přístup k G Suite doméně Pionýra.

Počítač, který používá víc lidí

Pokud na něm máte uživatelský účet chráněný heslem a všechny osobní údaje uchováváte ve složkách chráněných pod tímto účtem, tak to není velký problém. Ideální je samozřejmě situace, kdy jsou osobní údaje v zařízení, které používá jen jedna oprávněná osoba, ale to zkrátka není vždy možné…

Otázky a odpovědi

General Data Protection Regulation / Obecné nařízení o ochraně osobních údajů je ucelený soubor pravidel pro práci s osobními údaji a jejich ochranu proti zneužití. Tato norma je od 25. 5. 2018 platná v celé Evropské unii. Ve stručnosti lze říct, že shrnuje do jednoho předpisu řadu již existujících a platných pravidel. Základní výklad a postupy při ochraně osobních údajů poskytuje Úřad na ochranu osobních údajů zde.

Podle GDPR v našem případě pověřená osoba není nutná. Nejsme ani orgán veřejné moci, zpracování údajů není naše hlavní činnost, ani nezpracováváme rozsáhlé množství údajů zvláštních kategorií (zdravotní – ty jen částečně v dokumentaci akcí, náboženské, etnické, genetické apod.).

Stejně jako u mnoha pravidel obsažených v GDPR, je i zde třeba zachovat klid a uplatnit zdravý rozum. Opravdu není nutné si v táborové chajdě zřizovat trezor. Jde o to, aby dokumenty, které nemají být volně přístupné (jako třeba ona zdravotní dokumentace), nebyly uložené ve společných prostorách, ale například v uzavřené krabici v prostoru pro vedoucí.

Obecně vzato osobní údaje nejen získáváme a uchováváme, ale také je musíme někdy předávat dalším osobám a subjektům. V takových situacích je potřeba mít jistotu, že po nás nikdo nechce údaje, na které nemá nárok, a my bychom mu je neměli dát.

V tomto konkrétním případě se požadavek identifikace hostů u ubytování poskytovaných za úplatu řídí buď zákonem č. 326/1999 Sb., o pobytu cizinců na území České republiky nebo u občanů ČR zákonem č. 565/1990 Sb. o místních poplatcích. Z něj ve stručnosti plyne, že údaje, které má ubytovatel shromažďovat, jsou jméno, příjmení, trvalé bydliště, datum narození a číslo občanského průkazu nebo pasu (což se ale zpravidla bude týkat jen osob nad 15 let) a pochopitelně dobu pobytu. Navíc osoby do 18 let jsou od poplatku osvobozeny.

Zde hraje roli jiný „právní důvod“. Na ubytování dětí při Ledové Praze částečně přispíváme z dotací. Jejich úplný seznam, včetně dat narození, proto musí být součástí vyúčtování dotací.

Téma: Souhlas se zpracováním osobních údajů

Souhlas musí být odvolatelný, proto se týká jen takového zpracování údajů, ke kterému nemáme jiný právní důvod – ten může plynout ze zákona, podmínek poskytovatele dotací apod. Souhlasy se týkají například focení, používání kontaktních údajů a podobně.

Když žádáme o souhlasy, musí vždy být možnost ho neudělit. Proto například není možné, aby udělení souhlasu bylo podmínkou pro účast – podpis přihlášky a podpis souhlasu je vždy oddělen. Také nelze souhlas formulovat tak, že jedním podpisem souhlasí člověk s více věcmi, pak totiž nemůže například jednu z nich odmítnout a ostatní přijmout. Buď podepíše vše, ale část souhlasu je vynucená, nebo nepodepíše nic. Pokud chceme podepisovat souhlas jen jednou, musí u každého zpracování údajů být volba ano/ne – jako na vzorových přihláškách (focení ano/ne; zasílání informačních mailů ano/ne -+ podpis).

Pokud někdo nechce údaje vůbec poskytnout, pak není možné ho registrovat jako člena nebo přihlásit na akci, to je zjevné. Pak nezbývá, než se rozloučit. Pokud jde ale o údaj, bez kterého se lze obejít, pak musíme účast umožnit i bez něj. Jen je nutné dané dítě nefotit, rodičům neposílat maily apod. (podle toho, jaký souhlas nebyl udělen).

Pokud jde o údaje zpracovávané opravdu jen na základě souhlasu (například fotky), je nutné takové žádosti vyhovět, jeho fotky přestat užívat k prezentaci činnosti atd. Pokud ale někdo požádá o smazání svých základních identifikačních údajů (jméno a příjmení, datum narození, bydliště), které uchováváte a zpracováváte například na základě podmínek čerpání dotací, tak je nutné takovému člověku oznámit, že jeho žádosti nelze vyhovět – s tím, že pokud nesouhlasí, může se obrátit na příslušný dozorový úřad, který posoudí, zda převažuje jeho zájem o smazání údajů nebo váš právní důvod pro jejich ponechání. Tak či tak ale musí dostat odpověď do 30 dnů.

Jediná pevně stanovená podmínka je, že souhlas musí být doložitelný. K tomu by měkla postačit i kope či sken. Vždy je ale nutné, aby byl dohledatelný pro případnou kontrolu.

Ano, souhlas může být udělen i tímto způsobem, musí ale být jednoznačně doložitelný. Aplikace proto musí o jeho udělení vytvořit záznam, kde je jasně patrné kdo a k čemu udělil souhlas.

V podobných případech zatím není jasné nařízení nebo výklad, ale považujeme za vhodné, aby plnoletý člověk měl souhlas udělený přímo vlastním jménem.

Vnitřní předpis

Oblast nakládání s osobními údaji ve spolku řeší především Směrnice pro registraci členů a členské příspěvky, evidenci členů a dalších osob účastnících se činnosti spolku Pionýr, o ochraně osobních údajů a nakládání s nimi.

Ta je sice poměrně obsáhlá, protože řeší mnoho oblastí naší práce, ale propojuje pionýrské postupy a zákonem stanovená pravidla. K tomu navíc nabízí řadu praktických příloh. Jedna velká skupina příloh jsou takzvané karty, na kterých je vždy zachycena jedna činnost (např. evidence členů) a popsáno, jaké údaje se sbírají, kam se ukládají, kdo k nim má přístup apod. Přehled všech příloh v aktuálním znění je zde.

Dále uvádíme jen ty se vztahem k GDPR:

ÚOOÚ, odkazy a ke stažení

ÚOOÚ neboli Úřad pro ochranu osobních údajů je ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném zákonem. Na odkazech níže můžete najít i stanoviska tohoto Úřadu k problematice GDPR.

Také zde najdete různé odkazy, ať už ryze informační nebo spíše pro zajímavost, které vám mohou pomoci s orientací v předpisech a jejich praktickém uplatnění.