ČR: GDPR je nařízení o ochraně osobních údajů je souborem pravidel, která se týkají ochrany osobních údajů v rámci celé EU. Nařízení bylo přijato již loni v dubnu, ale účinné bude od 25. května 2018. Jedná o nařízení,takže je automaticky platné pro všechny členské země EU .
GDPR je obecné nařízení na ochranu osobních údajů a nějakým způsobem, avšak v rozdílné míře, se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU. Týká se právnických osob, ale teoreticky i jednotlivců, pokud pracují s osobními údaji, třeba zaměstnanců nebo klientů.
Nařízení ve své podstatě vlastně má přinést určitou kulturní a etickou změnu v nakládání s osobními údaji.
S přijetím Nařízení je spojena určitá míra všeobecného vyděšení, jsou pořádány nejrůznější semináře a workshopy, které jsou ve valné většině akcemi placenými. Napsal mi předseda divadelního spolku z Vysočiny. Na e-mailovou adresu spolku přišla nabídka. Nabídli mu seminář. Inu a on neví, má zaplatit pro spolek nemalou částku,vzít si v zaměstnání dovolenou a vydat se do hlavního města za vzděláním. Bojí se aby něco nezanedbal, ale spolek má peněz málo. Musí si koupit seminář, když by potřebovali spíš materiál na kulisy? Nechci bagatelizovat význam celoživotního vzdělávání a potřebnost obecného právního povědomí, ale v tomto případě bych upřednostnila nákup kulis.
Nová unijní úprava totiž většinou spíše zpřesňuje úpravu stávající. Zkrátka kdo dnes dodržuje zákon 101/2000 sb. O ochraně osobních údajů nemá důvod k vyděšení. A dopad například na spolky působící v regionální kultuře bude opravdu minimální, ne-li reálně nulový. Dopad Nařízení totiž pocítí zejména velcí správci a zpracovatelé osobních údajů, kteří pracují s velkým množstvím osobním údajů. Dále pak společnosti zabývající se marketingem, sledováním chování spotřebitele a cílenou reklamou, dále pak sociální sítě, také např. příspěvkové organizace anebo třeba právnické osoby, které pracují s citlivými údaji.
Určitou pozornost nadcházejícím změnám budou muset věnovat zaměstnavatelé, tedy i spolky jsou –li zároveň zaměstnavateli. Ovšem i zde platí,že kdo dodržuje již dnes určitá pravidla, míním tím zejména dodržuje-li zákon 101/2000 sb. O ochraně osobních údajů, nemá se čeho bát.
I dle tohoto zákona totiž například platí, že zpracovatel musí přijmout vhodná technická a organizační opatření k ochraně zpracovávaných osobních údajů, a to s přihlédnutím k rizikům, která toto zpracování představuje a s ohledem na technické a finanční možnosti. Správce i zpracovatel jsou už dle stávající právní úpravy povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato již platí a platí i po ukončení zpracování osobních údajů.
Zaměstnavatel zpracovává osobní údaje zaměstnanců většinou z několika různých zákonem definovaných důvodů.
Osobní údaje se vždy vyskytnou na pracovní smlouvě, a ta má být adekvátně uložena v elektronické či listinné podobě u zaměstnavatele. Zaměstnavatel poskytuje ze zákona osobní údaje zaměstnanců například správě sociálního zabezpečení, a to za za účelem řádné evidence (důchodové pojištění např.). Osobní údaje zaměstnanců jsou zaměstnavateli poskytovány např. zdravotním pojišťovnám. V těchto oblastech nezavádí GDPR nařízení pro zaměstnavatele žádné nové povinnosti. Oproti tomu, pokud bude chtít spolek (zaměstnavatel), zveřejnit osobní údaje svých zaměstnanců na spolkovém webu, tak bude třeba, aby takový spolek jakožto zaměstnavatel k tomuto kroku získal výslovný souhlas zaměstnanců, pokud souhlas nezíská, osobní údaje nebude moci zveřejnit.
Nařízení tedy zachovává další právní základy zpracování, jako je dodržení právní povinnosti správce (zaměstnavatel může a vlastně musí i nadále předávat relevantní informace správě sociálního zabezpečení), i nadále bude možné si např. originál smlouvy, která obsahuje osobní údaje) pro vlastní potřebu, třeba z důvodů aby mohla být tato smlouva řádně plněna atd. Každému je přece jasné, že když s někým podepíšu třeba smlouvu o provedení divadelního vystoupení, tak si tím obě strany sice vzájemně poskytnou potřebné osobní údaje a přesto je záhodno, aby si smlouvu z různých důvodů uschovaly (třeba proto, aby věděly co, kdo a jak má plnit, nebo pro případ různých kontrol třeba ze strany poskytovatele dotace atp. K takovému uschování netřeba zvláštního souhlasu. Pokud ale chci druhé straně smluvního vztahu v budoucnu posílat např. reklamní e-maily, nebo jiná upozornění na různé akce, tak k tomu už souhlas potřeba je.
Pokud tedy např. spolek má zaměstnance, pak zpracovává jejich osobní údaje, a ty musí již nyní adekvátně chránit podle zákona. Stejně tak musí chránit osobní údaje všech, kdo s ním spolupracují a v rámci spolupráce osobní údaje poskytnou. Stejně tak pokud si spolek vede nějakou databázi, třeba klub abonentů či klub přátel, pro vedení takové databáze získal jejich osobní údaje a těmi musí již dnes náležitě nakládat. Pokud v nakládání s osobními údaji spolek (nebo jiná NNO), dodržuje základní pravidla slušnosti a etiky a zákon 101/2000 sb. O ochraně osobních údajů, který platí a měl by být dodržován již řadu let, pak je více než pravděpodobné, že se do rozporu s GDPR nedostane.
Spolky mají členy a mají tedy povinnosti týkající se ochrany osobních údajů svých členů. Jsou tedy povinny zajistit si souhlas svého člena ke zpracování osobních údajů pro účely činnosti spolku (vedení seznamu členů apod.). Nařízení říká, že souhlas musí být svobodný(dobrovolný a nevázaný na přijetí nabídky), konkrétní(jasně a srozumitelně popsáno proč se souhlas uděluje), informovaný . Souhlas musí být udělen prohlášením nebo zjevným potvrzením ,ideálně třeba podpisem.
Spolky mají též určitou informační povinnost vůči svým členům, měly by tedy informovat členy třeba o tom, že jsou shromažďovány jejich osobní údaje pro účely činnosti spolku, v jakém rozsahu (jméno, příjmení, rodné číslo,ztotožnitelný e-mail atd.) a komu tyto údaje mohou být zpřístupněny. Výše uvedené povinnosti jsou však již dnes obsaženy v zákoně O ochraně osobních údajů,GDPR v podstatě jen zpřesňuje podobu a některé náležitosti souhlasu se zpracováním osobních údajů.
Pokud spolek nezpracovává tak říkajíc ve velkém určité zvláštní kategorie údajů např. rasový a etnický původ, politické názory, náboženské vyznání, údaje o sexuální orientaci,údaje o zdravotním stavu apod.(takový spolek si nedovedu představit) nemusí si jmenovat ani jmenovat pověřence na ochranu osobních údajů. Povinnost jmenovat pověřence na ochranu osobních údajů,se však naopak pravděpodobně bude týkat například příspěvkových organizací .
Zjednodušeně lze říci,že povinnost jmenovat pověřence na ochranu osobních údajů, se bude týkat velké části „ státního“ sektoru,zatímco většiny nestátních neziskových organizací se týkat nebude.
Je však vždy vhodné (tak říkajíc pro vlastní klid) si sednout a interně si zrevidovat,s jakými osobními údaji třeba konkrétní spolek pracuje a zda plní všechny své povinnosti podle současného zákona o ochraně osobních údajů, který je s GDPR vcelku kompatibilní. Stačí tedy zdravý rozum,slušnost ,dodržování již dnes platného zákona a uživatelská počítačová gramotnost.
Principál z Vysočiny,nebo od jinud, potřebuje spíše ty kulisy než seminář a pevné nervy ,aby vydržel a nesekl s tím vším,až mu zase přijde e-mail s jakousi nabídkou,která jej vyděsí.
Držím palce všem takovým principálům,sbormistrům malých dechovek,spolkům tvořivosti všeho druhu, zkrátka všem těm, kteří ve svém volném čase tvoří a chtějí tvořit. Bez nich by se česká kultura totiž neobešla.
Mgr. Kateřina Vítová
právní expert NIPOS