pátek
27. dubna 2018
Svátek slaví: Jaroslav



GDPR a jeho dopad na spolky a další NNO působící v oblasti kultury a kulturních služeb

ČR: GDPR je nařízení o ochraně osobních údajů je souborem pravidel, která se týkají ochrany osobních údajů v rámci celé EU. Nařízení bylo přijato již loni v dubnu, ale účinné bude od 25. května 2018. Jedná o nařízení,takže je automaticky platné pro všechny členské země EU .

Autor článku: 
Mgr. Kateřina Vítová

GDPR je obecné nařízení na ochranu osobních údajů a nějakým způsobem, avšak v rozdílné míře, se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU. Týká se právnických osob, ale teoreticky i jednotlivců, pokud pracují s osobními údaji, třeba zaměstnanců nebo klientů.

Nařízení ve své podstatě vlastně má přinést určitou kulturní a etickou změnu v nakládání s osobními údaji.

S přijetím Nařízení je spojena určitá míra všeobecného vyděšení, jsou pořádány nejrůznější semináře a workshopy, které jsou ve valné většině akcemi placenými. Napsal mi předseda divadelního spolku z Vysočiny. Na e-mailovou adresu spolku přišla nabídka. Nabídli mu seminář. Inu a on neví, má zaplatit pro spolek nemalou částku,vzít si v zaměstnání dovolenou a vydat se do hlavního města za vzděláním. Bojí se aby něco nezanedbal, ale spolek má peněz málo. Musí si koupit seminář, když by potřebovali spíš materiál na kulisy? Nechci bagatelizovat význam celoživotního vzdělávání a potřebnost obecného právního povědomí, ale v tomto případě bych upřednostnila nákup kulis.

Nová unijní úprava totiž většinou spíše zpřesňuje úpravu stávající. Zkrátka kdo dnes dodržuje zákon 101/2000 sb. O ochraně osobních údajů nemá důvod k vyděšení. A dopad například na spolky působící v regionální kultuře bude opravdu minimální, ne-li reálně nulový. Dopad Nařízení totiž pocítí zejména velcí správci a zpracovatelé osobních údajů, kteří pracují s velkým množstvím osobním údajů. Dále pak společnosti zabývající se marketingem, sledováním chování spotřebitele a cílenou reklamou, dále pak sociální sítě, také např. příspěvkové organizace anebo třeba právnické osoby, které pracují s citlivými údaji.

Určitou pozornost nadcházejícím změnám budou muset věnovat zaměstnavatelé, tedy i spolky jsou –li zároveň zaměstnavateli. Ovšem i zde platí,že kdo dodržuje již dnes určitá pravidla, míním tím zejména dodržuje-li zákon 101/2000 sb. O ochraně osobních údajů, nemá se čeho bát.

I dle tohoto zákona totiž například platí, že zpracovatel musí přijmout vhodná technická a organizační opatření k ochraně zpracovávaných osobních údajů, a to s přihlédnutím k rizikům, která toto zpracování představuje a s ohledem na technické a finanční možnosti. Správce i zpracovatel jsou už dle stávající právní úpravy povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato již platí a platí i po ukončení zpracování osobních údajů.

Zaměstnavatel zpracovává osobní údaje zaměstnanců většinou z několika různých zákonem definovaných důvodů.

Osobní údaje se vždy vyskytnou na pracovní smlouvě, a ta má být adekvátně uložena v elektronické či listinné podobě u zaměstnavatele. Zaměstnavatel poskytuje ze zákona osobní údaje zaměstnanců například správě sociálního zabezpečení, a to za za účelem řádné evidence (důchodové pojištění např.). Osobní údaje zaměstnanců jsou zaměstnavateli poskytovány např. zdravotním pojišťovnám. V těchto oblastech nezavádí GDPR nařízení pro zaměstnavatele žádné nové povinnosti. Oproti tomu, pokud bude chtít spolek (zaměstnavatel), zveřejnit osobní údaje svých zaměstnanců na spolkovém webu, tak bude třeba, aby takový spolek jakožto zaměstnavatel k tomuto kroku získal výslovný souhlas zaměstnanců, pokud souhlas nezíská, osobní údaje nebude moci zveřejnit.

Nařízení tedy zachovává další právní základy zpracování, jako je dodržení právní povinnosti správce (zaměstnavatel může a vlastně musí i nadále předávat relevantní informace správě sociálního zabezpečení), i nadále bude možné si např. originál smlouvy, která obsahuje osobní údaje) pro vlastní potřebu, třeba z důvodů aby mohla být tato smlouva řádně plněna atd. Každému je přece jasné, že když s někým podepíšu třeba smlouvu o provedení divadelního vystoupení, tak si tím obě strany sice vzájemně poskytnou potřebné osobní údaje a přesto je záhodno, aby si smlouvu z různých důvodů uschovaly (třeba proto, aby věděly co, kdo a jak má plnit, nebo pro případ různých kontrol třeba ze strany poskytovatele dotace atp. K takovému uschování netřeba zvláštního souhlasu. Pokud ale chci druhé straně smluvního vztahu v budoucnu posílat např. reklamní e-maily, nebo jiná upozornění na různé akce, tak k tomu už souhlas potřeba je.

Pokud tedy např. spolek má zaměstnance, pak zpracovává jejich osobní údaje, a ty musí již nyní adekvátně chránit podle zákona. Stejně tak musí chránit osobní údaje všech, kdo s ním spolupracují a v rámci spolupráce osobní údaje poskytnou. Stejně tak pokud si spolek vede nějakou databázi, třeba klub abonentů či klub přátel, pro vedení takové databáze získal jejich osobní údaje a těmi musí již dnes náležitě nakládat. Pokud v nakládání s osobními údaji spolek (nebo jiná NNO), dodržuje základní pravidla slušnosti a etiky a zákon 101/2000 sb. O ochraně osobních údajů, který platí a měl by být dodržován již řadu let, pak je více než pravděpodobné, že se do rozporu s GDPR nedostane.

Spolky mají členy a mají tedy povinnosti týkající se ochrany osobních údajů svých členů. Jsou tedy povinny zajistit si souhlas svého člena ke zpracování osobních údajů pro účely činnosti spolku (vedení seznamu členů apod.). Nařízení říká, že souhlas musí být svobodný(dobrovolný a nevázaný na přijetí nabídky), konkrétní(jasně a srozumitelně popsáno proč se souhlas uděluje), informovaný . Souhlas musí být udělen prohlášením nebo zjevným potvrzením ,ideálně třeba podpisem.

Spolky mají též určitou informační povinnost vůči svým členům, měly by tedy informovat členy třeba o tom, že jsou shromažďovány jejich osobní údaje pro účely činnosti spolku, v jakém rozsahu (jméno, příjmení, rodné číslo,ztotožnitelný e-mail atd.) a komu tyto údaje mohou být zpřístupněny. Výše uvedené povinnosti jsou však již dnes obsaženy v zákoně O ochraně osobních údajů,GDPR v podstatě jen zpřesňuje podobu a některé náležitosti souhlasu se zpracováním osobních údajů.

Pokud spolek nezpracovává tak říkajíc ve velkém určité zvláštní kategorie údajů např. rasový a etnický původ, politické názory, náboženské vyznání, údaje o sexuální orientaci,údaje o zdravotním stavu apod.(takový spolek si nedovedu představit) nemusí si jmenovat ani jmenovat pověřence na ochranu osobních údajů. Povinnost jmenovat pověřence na ochranu osobních údajů,se však naopak pravděpodobně bude týkat například příspěvkových organizací .

Zjednodušeně lze říci,že povinnost jmenovat pověřence na ochranu osobních údajů, se bude týkat velké části „ státního“ sektoru,zatímco většiny nestátních neziskových organizací se týkat nebude.

Je však vždy vhodné (tak říkajíc pro vlastní klid) si sednout a interně si zrevidovat,s jakými osobními údaji třeba konkrétní spolek pracuje a zda plní všechny své povinnosti podle současného zákona o ochraně osobních údajů, který je s GDPR vcelku kompatibilní. Stačí tedy zdravý rozum,slušnost ,dodržování již dnes platného zákona a uživatelská počítačová gramotnost.

Principál z Vysočiny,nebo od jinud, potřebuje spíše ty kulisy než seminář a pevné nervy ,aby vydržel a nesekl s tím vším,až mu zase přijde e-mail s jakousi nabídkou,která jej vyděsí.

Držím palce všem takovým principálům,sbormistrům malých dechovek,spolkům tvořivosti všeho druhu, zkrátka všem těm, kteří ve svém volném čase tvoří a chtějí tvořit. Bez nich by se česká kultura totiž neobešla.

Mgr. Kateřina Vítová
právní expert NIPOS


 


 

Mohlo by vás také zajímat...

ČR: Stylová a graficky netradiční kniha s názvem Neradost, jejímž autorem je úspěšný stratég a marketér Karel Novotný, zvítězila v soutěži o Nejkrásnější českou knihu roku 2017 a odnesla si Cenu Památníku národního písemnictví a Uměleckoprůmyslového musea v Praze pro mladé tvůrce do 30 let.

Celá ČR
Knihy, literatura, média, Soutěže a festivaly
Co se děje
26.04.2018

ČR: Již sedmým rokem probíhá celostátní projekt MÁME VYBRÁNO, který se zaměřuje na financování obnovy památek. Jeho součástí je nejen stejnojmenná konference, ale také soutěž veřejných sbírek. Soupeří se ve třech kategoriích a o jedné z cen rozhoduje veřejnost. Hlasovat lze až do půlnoci 20. května. Slavnostní vyhlášení výsledků proběhne o devět dní později v dominikánském klášteře v Praze.

Celá ČR
Instituce a kulturní zařízení, Památky, Soutěže a festivaly, Vzdělávání
Co se děje
26.04.2018

ČR-LYSÁ NAD LABEM: Vyhlášení výsledků již 3. ročníku soutěžní přehlídky turisticko-progačních materiálů TURISTPROPAG proběhlo v pátek 13. dubna 2018 na výstavišti v Lysé nad Labem během slavnostního galavečera, který se konal jako součást veletrhu Regiony, Narcis a Elegance 2018.

Celá ČR, Středočeský kraj
Cestovní ruch, Instituce a kulturní zařízení, Soutěže a festivaly
Co se děje
25.04.2018

ČR-PRAHA: Katalog o výstavě Magdaleny Jetelové, výjimečně graficky zpracovaný průvodce světem cirkusu Cirkus pictus nebo kniha o výtvarníku Svatopluku Klimešovi zvítězily v 53. ročníku soutěže Nejkrásnější české knihy roku 2017, jejíž slavnostní vyhlášení proběhlo ve čtvrtek 19. dubna 2018 v letohrádku Hvězda.

Celá ČR, Hl. m. Praha
Instituce a kulturní zařízení, Knihy, literatura, média, Soutěže a festivaly
Co se děje
24.04.2018