Pravidla GDPR platí s určitými výjimkami pro každého, kdo zpracovává osobní údaje nehledě na to, zda jde o podnikatele jednotlivce, spolek, nebo velkou nadnárodní společnost. Začátek je pro všechny stejný: udělat si audit nebo přehled. Jak na to, si přečtete v prvním díle poradny ZDE.
Minule jsme se zaměřili na osoby samostatně výdělečně činné bez nebo s jedním zaměstnancem. Dnes čtete, co vás čeká, pokud provozujete mateřské centrum nebo celorepublikový spolek.
1. Mateřské centrum v malém městě
Kamarádky Petra, Sára a Katka mají malé děti. Rozhodly se provozovat takzvané mateřské centrum. Nejde o komerční aktivitu, vybrané vstupné pokrývá náklady, organizátorky tedy založily spolek. Pro jednoduchost vše řeší jen ony tři jako jediné členky a zároveň tvoří výbor.
V klubovně, kterou si za symbolickou cenu pronajaly od obecního úřadu, pořádají různé dílny, osvětové přednášky a cvičení. Kvůli omezené kapacitě je třeba se na akce hlásit, údaje z přihlášek zapisují do tabulky. Zajímá je jméno, telefon, e-mail a zaplacené vstupné. Kontakty si schovávají, jednak aby byly schopny vykázat účast obecnímu úřadu, že mateřské centrum funguje, jednak aby mohly oslovit potenciální účastníky, když nějaká akce není dostatečně obsazená.
Nepřehlédněte |
Jednotlivé programy vedou externě najatí lektoři, spolek s nimi uzavírá dohodu o provedení práce, na které je jméno, adresa, RČ a kontakt. Hospodaření spolku vede Sára, která má funkci hospodářky. Pracovní dohody za spolek může podepsat kterákoli za tří členek výboru, tak to mají ve stanovách.
Dívky si vedou adresář lektorů s kontakty, RČ, čísly účtů, odborností a poznámkami o finančních požadavcích daného lektora. Díky tomuto přehledu snáze sestavují program na další období. Na akcích centra se často fotografuje. Snímky jednotliví fotografové ukládají do internetové galerie, na kterou se lze dostat z webu mateřského centra.
Jan na to?
V rámci vnitřní organizace bude opět nezbytné na základě provedeného auditu uvést interní postupy týkající se zpracování osobních údajů do souladu s GDPR a takto je zakotvit ve vnitřním předpisu spolku. Takový předpis se může jmenovat například Směrnice o ochraně osobních údajů při činnosti Mateřského centra. Bude v ní popsáno, jaké jsou postupy a pravidla práce s osobními údaji a to, co dělat v případě narušení bezpečnosti údajů.
Smluvní dokumentace, ať už se jedná o uzavírané dohody o provedení práce s externími lektory či smlouvy o výkonu funkce, opět musí obsahovat dostatečná ustanovení o ochraně osobních údajů. Bude muset obsahovat:
- a) pravidla toho, jak bude samotné mateřské centrum zacházet s údaji konkrétních lektorů
- b) pravidla toho, jak má s údaji zacházet lektor. To může být důležité pro určení míry případné odpovědnosti. Základem každopádně bude nezpřístupnit lektorovi víc, než bude k přípravě semináře potřebovat.
Informační povinnost bude rovněž hrát důležitou roli. Web mateřského centra musí obsahovat veškeré informace požadované nařízením ve srozumitelné formě tak, aby klienti a účastníci akcí byli poučeni o svých právech a mohli učinit informované rozhodnutí, zda své údaje poskytnout či nikoli. Na přihláškách (papírových či online) poté bude třeba na tyto informace odkázat.
Zjednodušeně: Informace na webu obsahuje co se s údaji děje, zatímco interní směrnice popisuje, jak se to děje. Oba dokumenty míří na jinou cílovou skupinu.
Čtěte takéV rubrice Práce a podnikání přinášíme rozhovory se zástupci zajímavých profesí. |
Dívky musí pamatovat na to, že budou-li chtít v zájmu naplnění kapacity akcí oslovovat potenciální účastníky, ať už telefonicky či mailem, musí pro tento účel získat platný souhlas daných osob. Naopak souhlas nebude nutný pro zpracování údajů za účelem samotné organizace akcí, jelikož se v takovém případě jedná o plnění smlouvy.
Problém může nastat s poskytováním kontaktů účastníků obecnímu úřadu. Pro vykazování účasti na akcích není nezbytné zpracovávat detailní osobní údaje, jelikož postačí pouhé sdělení počtu účastníků, případně data v anonymizované podobě. Anonymizací se údajům odeberou určité vlastnosti, nebude tak možné identifikovat konkrétního člověka. Takže z Jana Nováka, kterému je 50 let a bydlí na adrese Janáčkova 45, se stane zkrátka Jan Novák.
Na malých městech to může být samozřejmě marné. Bude důležitá domluva s úřadem a ujasnění toho, co budou nadále požadovat. Pokud by zástupci města trvali na stávajícím rozsahu, nedá se nic dělat a centrum bude muset účastníky informovat o tom, že úřad vyžaduje předložení těchto údajů a že k nim má přístup.
Stejně tak adresář lektorů nemůže obsahovat rodná čísla a vhodná nejsou ani čísla účtů, neboť obojí není pro sestavování programu na další období nezbytné. Existuje-li potřeba tyto údaje evidovat (u rodných čísel pro daňové účely, u čísel účtů kvůli vyplácení odměn), měly by být vedeny ve speciálních oddělených databázích, k nimž bude přístup omezen jen pro autorizované osoby.
Protože se v našem případě jedná o opravdu malý spolek, na jehož chodu se dívky podílejí prakticky stejnou měrou, nebude problém s tím, že jako členky budou mít přístup ke všem údajům. Smyslem přísné úpravy je zamezit situacím, kdy by například údržbář měl přístup k číslům účtů a adresám všech klientů. Vždy je třeba vyhodnocovat riziko a na jeho základě přijímat přiměřená opatření. Není nutné, aby se v takovýchto případech omezoval vnitřní chod společností či spolků nepřiměřenou administrativou.
Samozřejmostí je dobré zabezpečení počítače a dodržování základních zásad bezpečnosti.
Fotografie bude většinou rovněž osobním údajem, jelikož jejím prostřednictvím lze identifikovat konkrétní osobu. Bude-li mateřské centrum chtít pokračovat ve zveřejňování fotek z akcí na svých webových stránkách, musí nejprve získat souhlas účastníků. V případě dětí udělují souhlas jejich zákonní zástupci. Vhodným nástrojem k obstarání souhlasů se zveřejněním fotografií bude například podpisový arch s nezbytnými informacemi podepsaný účastníky před konáním akce.
Například: „Na akci „Vycházka širokým údolím“ konané dne 25. května 2018 se bude fotografovat. Svým níže uvedeným podpisem souhlasím s pořízením fotografií a jejich následným zveřejněním na webu Mateřského centra. Uvedený souhlas uděluji rovněž ve vztahu k fotografiím osob, jejichž jsem zákonným zástupcem.“ Jméno, podpis. S archy potom bude třeba zacházet jako s ostatní dokumentací obsahující osobní údaje - uložit na bezpečné místo mimo dosah nepovolaných očí.
2. Celorepublikový spolek
Parta kamarádů založila spolek, jehož cílem je sdružovat lidi, kteří mají stejné hobby - fotografují hmyz. Spolek má 163 členů po celé republice. Přihlašování a registrace probíhají elektronicky, administrativní systém vytvořil jeden z členů výboru.
Do systému mají přístup všichni členové, mohou editovat údaje o sobě a vidí jména ostatních členů. Členové voleného výboru vidí v administrativním systému informace o všech členech. Informace v systému jsou: jméno, adresa, datum narození, telefon, e-mail.
Spolek pořádá odborné semináře, výstavy a víkendové workshopy. Jednotlivé programy vedou externě najatí lektoři, spolek s nimi uzavírá dohodu o provedení práce, na které je jméno, adresa, RČ a kontakt. Hospodaření spolku vede hospodářka spolku, DoPP podepisuje předseda či místopředseda.
Agendu jednotlivých akcí mají upravenou elektronicky pomocí Google formulářů. K tabulkám, které jsou výsledkem vyplněných přihlášek, mají přístup členové výboru (včetně hospodáře) a lektor (v přihlašovacím formuláři jsou kromě kontaktních údajů i odborné dotazy, aby se mohl lektor připravit předem).
Jak na to?
Na spolek sdružující rekreační fotografy hmyzu se aplikují stejná pravidla jako v předchozím případu, avšak vzhledem k pokročilejšímu technickému řešení bude nutné klást větší důraz na vhodné IT nástroje jakožto technologická opatření.
Administrační systém musí především poskytovat dostatečné bezpečnostní garance, a to tak, aby bylo zabráněno nechtěnému úniku dat či jejich jinému zneužití. Co je takovou garancí? Například zelený zámeček protokolu https:// je jednou z nich - signalizuje, že protokol používá v rámci přenosu dat šifrování.
Garancí může být samozřejmě víc - online aplikace a poskytovatelé softwaru jsou podle GDPR přinejmenším zpracovateli osobních údajů a musí rovněž dodržovat povinnosti podle nařízení. Záleží na obsahu licenčních smluv, podmínek užívání, zásad ochrany osobních údajů, serverech, kde jsou data uložena, možnostech zálohy dat a dalších faktorech (správcům se základními technickými znalostmi postačí, že služba běží na bezpečném protokolu (zámeček), že jsou databáze chráněné bezpečným heslem a podobně.
Nastavení editačních oprávnění v popsané podobě bude vyhovující, vzhledem k tomu, že běžní členové nemohou kromě jmen zobrazit další údaje ostatních členů, podle nichž by tito členové byli následně identifikovatelní.
Zásadní součástí řešení bude v tomto případě způsob uložení dat. Poskytovatel úložiště musí garantovat vyhovující úroveň zabezpečení uložených dat včetně jejich šifrování tak, aby v případě úniku nemohly být údaje zneužity.
Vhodné je rovněž zálohovat data na separátních serverech, aby v případě selhání jednoho z nich mohla být data bezpečně obnovena. Nutností je využívání bezpečných komunikačních protokolů pro přenos dat. Například FTP (File Transfer Protocol) se ve světle GDPR jeví jako nedostatečný.
Spolek musí rovněž na svém webu či v administračním systému splnit zmíněnou informační povinnost a vyhodnotit, zda nebude pro určité účely zpracování potřebovat souhlas registrovaných členů.
Právních důvodů ke zpracování osobních údajů je celkem šest, přičemž souhlas je jen jedním z nich. Bude ho tedy potřeba získat jen tam, kde pro konkrétní zpracování nebude možné použít jiný právní důvod.
Postup je takový, že se u všech údajů zjistí účely zpracování a k nim se přiřadí jednotlivé důvody. Tím se zjistí, kde bude potřeba souhlas. V případě spolku by souhlas mohl být potřeba například ke zveřejnění fotek na webu.
Ačkoli Google formuláře nejsou nejsofistikovanějším nástrojem správy osobních údajů, při správném nastavení oprávnění nedojde jejich používáním k porušení GDPR. Kupříkladu externí lektor by však neměl mít přístup ke kompletním účastnickým tabulkám se všemi údaji.
Pro účely jeho domácí přípravy bohatě postačí sdělení počtu účastníků a výpis položených dotazů, což může pověřený člen výboru z tabulek vyfiltrovat a následně lektorovi zaslat v samostatném souboru. Smyslem je, aby se jednotliví uživatelé dostali jen k takovému objemu osobních údajů, který bude pro jejich práci nezbytně nutný.
Konzultace: Advokátní kancelář Slaninová Vokál