Časopis Myslivost

Květen / 2018

GDPR v praxi mysliveckého spolku

Myslivost 5/2018, str. 39  Martin Helebrant
Od 25. 5. 2018 bude účinné Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, známé dnes běžně pod zkratkou GDPR nebo jako Obecné nařízení ochraně osobních údajů. Dále v textu jej budu nazývat pro stručnost Nařízením. Jako u většiny nových legislativních změn, vyrojila se celá řad fám a dohadů, co toto Nařízení znamená pro praktický život mysliveckého spolku. Následující text je popisem jednoho z mnoha možných přístupů, jak v praxi dosáhnout souladu organizace – mysliveckého Spolku s Nařízením. Není ale vyčerpávajícím návodem, spíš vodítkem, jak dosáhnout alespoň elementární shody s požadavky Nařízení a vyvarovat se tak základních, nejhrubších chyb v implementaci, které by mohly být zdrojem pokut ze strany Dozorového úřadu.
Možná popsaný postup není nejkratší, ale je univerzálně použitelný a hlavně, spolehlivě vede k výsledku.
Při přípravě Spolku doporučuji vřele seznámit se s celým zněním Nařízení. Není to krátký text, jedná se o poctivých 80 stránek právnického textu. Přesto se domnívám, že jedná se o text poměrně velmi dobře srozumitelný. Oficiální úplné znění Nařízení je k dispozici na adrese https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=EN, pokud má někdo zájem o úplné znění s podrobným výkladem k hlubšímu studiu, pak doporučuji vcelku vyčerpávající publikaci GDPR / Obecné nařízení o ochraně osobních údajů (Nulíček, Donát, Nonneman, Lichnovský a Tomášek, vydalo nakladatelství Wolters Kluver ČR v roce 2017).
 
Budu zde popisovat nejjednodušší případ, kdy Spolek kromě vlastní činnosti nemá další činnost (neprovozuje například střelnici nebo bažantnici, prodejnu zvěřiny apod.). Pokud váš Spolek podobnou činnost provozuje, pak na ni aplikujte stejný postup, dokumentace se rozšíří, ale zásady a způsob dosažení souladu je pořád stejný.
 
První věcí, kterou je třeba mít na mysli, je princip odpovědnosti (čl. 5 odst. 2 Nařízení), který říká, že Spolek musí být schopen doložit svůj soulad s Nařízením. To znamená, že musí svůj soulad dokumentovat – tedy by měl mít svá opatření vedoucí k souladu s Nařízením nějak popsaná, aby mohl v případě kontroly Dozorovým úřadem tento soulad, alespoň na systémové úrovni, doložit.
Nedoporučuji spoléhat se na to, že myslivecké spolky jsou organizace, které jsou příliš hluboko v „potravním řetězci“ než aby je Dozorový úřad kontroloval. Jako všechny dobré úmysly, i Nařízení lze zneužit k šikanózním jednáním nebo k boji o honitbu nebo k ukojení prosté mezilidské nevraživosti. Zástupci Úřadu pro ochranu osobních údajů sice hovoří o počátečním shovívavém přístupu, ale dnešní názor či příslib nemusí zítra vůbec platit.
 
Prvním krokem je vědět, kde všude Spolek s osobními údaji pracuje.
Osobním údajem je kromě jiného jakákoliv jmenovitá evidence nebo záznamy a jakákoliv činnost s nimi, i jen prosté skladování nebo udržování v aktuální stavu jsou zpracováním osobních údajů a Spolek by to měl mít podchycené. Měl by tedy sepsat seznam činností (agend), kde s osobními údaji pracuje. Minimálně to bude evidence členů, evidence vydaných povolenek k lovu a plomb a také účetnictví. Případně to může být i nějaká bodová evidence, pokud spolek váže některé požitky na bodový systém a záznamy o ulovené zvěři, pokud spolek eviduje jmenovitě, kdo a jakou zvěř kdy ulovil. A také to budou záznamy o účastnících na společných lovech.
Spolek si vypíše, jaké osobní údaje v jakých agendách zpracovává, například ve vedení členské agendy to budou minimálně jméno a příjmení, datum narození nebo rodné číslo (nebo obojí), bydliště a korespondenční adresa a do kdy subjekt údajů členem Spolku, případně jakými mimořádnými právy je ve Spolku nadán (například oprávnění jednat jménem Spolku).
 
Vhodnou formou přehledu zpracování osobních údajů je jednoduchá tabulka (nejspíš v počítači), kde první sloupeček bude uvádět všechny zjištěné agendy a evidence, které si Spolek vede.
Ve druhém sloupci je uvedeno, jaké osobní údaje daná agenda zpracovává. Tato tabulka se postupně stane tzv. Záznamem o zpracování. Jeho vedení není pro organizace pod 250 členů povinné, ale doporučuji ji vést, protože je přehledná a v případě kontroly ze strany Dozorového úřaduje i vynikajícím argumentačním nástrojem.
 
Dalším krokem je určení zákonnosti zpracování (čl. 6 Nařízení). Zpracování prováděné za konkrétní agendy je zákonné, pokud:
  • - se jedná o zpracování v životně důležitém zájmu subjektu údajů (tedy osoby, které údaje patří) – takový případ ale asi v našem Spolku nenastane.
  • - se jedná o zpracování při plnění úkolu ve veřejném zájmu – ani to v případě Spolku pravděpodobné.
  • - se jedná o zpracování nezbytné pro plnění právní povinnosti. Pokud se Spolek odvolává na tento zdroj zákonnosti, je vhodné uvést, na základě kterých zákonů údaje zpracovává. V našem příkladu bude takovou agendou například účetnictví (563/1991 Sb.), kde je vedení dáno zákonem nebo evidence plomb na ulovenou zvěř zákon o myslivosti (499/2001 Sb.), ale i členská evidence podle občanského zákoníku (89/2012 Sb.)
  • - je zpracování nezbytné pro plnění smlouvy – toto může být například vedení členské evidence, členství ve Spolku je jistou formou smlouvy mezi členem a Spolkem
  • - je zpracování nutné pro účely oprávněných zájmů Správce – opět se nabízí vedení členské evidence, ale také třeba bodový systém, evidence úlovků, evidence provozu spolkového traktoru… Oprávněný zájem se dá nejsnáze odvodit od stanov Spolku, které určují, proč vlastně spolek vznikl. V tomto případě je ale třeba posoudit (a o posouzení udělat záznam), zda je oprávněný zájem dostatečně významný, aby vyvážil základní práva a svobody subjektu údajů. Ve zde uvedených případech lze konstatovat, že zásah do práv subjektu údajů způsobený není tak významný, aby nebylo možné je zpracovávat, navíc nejedná se o zvláštní kategorii osobních údajů (politické názory, rasová příslušnost, sexuální orientace, zdravotní údaje apod.)
  • - subjekt údajů ke zpracování dal souhlas. Toto je nejslabší zdroj zákonnosti zpracování, protože subjekt může souhlas kdykoliv odvolat (zpracování před odvoláním ale zůstává zákonné) a Spolek pak musí zpracování těchto údajů subjektu ukončit.
 
Na jednu a tu samou agendu se může vztahovat více zdrojů zákonnosti, například v rámci účetnictví jsou osobní údaje zpracovávány jak ze zákonné povinnosti, tak v oprávněném zájmu a současně i ze smluvních důvodů. Naše tabulka – Záznam o zpracování tedy již bude mít tři sloupce: agendu, seznam osobních údajů a zdroj zákonnosti zpracování. A poroste dál.
 
Ke každému výše uvedenému zpracování pak Spolek přiřadí účel zpracování, který si zaznamená v dalším sloupci. Účel musí být v souladu se zdrojem zákonnosti. Jedny a ty samé osobní údaje (navzdory obecně panujícímu mylnému laickému názoru) lze zpracovávat pro více účelů, ale vždy se tak musí dít s vědomím subjektů údajů. Spolek tedy může zpracovávat jméno a příjmení a datum narození souběžně pro evidenci členů i evidenci vydaných povolenek (obojí oprávněný zájem, účel přehled o členské základně a o vydaných povolenkách) a pro účetnictví (zákonná povinnost, účel vedení účetnictví a současně přehled o přijatých členských poplatcích).
Pokud ale Spolek nově zakoupil traktor a chce vést v evidenci jeho jízd včetně jména řidiče (zákonná povinnost i oprávněný zájem) a třeba i kategorie řidičského oprávnění, může tak udělat pouze poté, co to subjektům údajů (svým členům) oznámil, například oznámením na členské schůzi, ze které je k dispozici patřičný zápis.
Využití existujících údajů pro nové účely musí vždy předcházet posouzení, zda je nové zpracování slučitelné s původním účelem (posoudit vazbu mezi účely, okolnosti shromáždění, povahu osobních údajů a možné důsledky nového zpracování a případné záruky proti zneužití údajů (čl. 6 Nařízení odst. 4).
 
Pokud máme určené agendy zpracování, rozsah osobních údajů, se kterým pracují, zákonnost a účel jednotlivých zpracování, je třeba se zamyslet, zda pro daný účel musíme opravdu zpracovávat všechny údaje.
Nařízení nám ukládá minimalizovat rozsah osobních údajů na nezbytné potřebné minimum (čl. 5, odst. 1., písm. c) Nařízení). Nepotřebné údaje jsem povinni buď vymazat, nebo anonymizovat. To neznamená, že musíte vymazat celý archiv a záložní kopie dokumentů.
Bohatě stačí, když přijmete taková opatření, která neumožní omylem zpracovávat údaje, které již nejsou potřeba (například při obnově členské evidence ze záložního disku po havárii počítače). Například uložíte zpracujícím osobám se před zpracováním přesvědčit, zda opravdu potřebují všechna obnovená data a pokud zjistí nepotřebná data, zbavit se jich. Vrátíme se do naší tabulky a upravíme seznam zpracovávaných osobních údajů.
 
Nyní určíme, jak dlouho budeme osobní údaje zpracovávat. To je možné určit buď konkrétním datem, nebo pomocí definování podmínky zpracování (například data členů jsou udržována ještě po dva roky po ukončení členství). Zaznamenáme do dalšího sloupce tabulky.
 
Dále určíme, kdo je může s osobními údaji při zpracování pracovat (tedy vkládat je, měnit a mazat) a kdo je smí alespoň vidět – opět je třeba tak učinit průkazný způsobem, tedy nějakým zápisem nebo jen uvedeme do dalšího sloupce v tabulce.
Současně se podíváme, zda osobní údaje nepředáváme i někomu dalšímu. Opět to u jednotlivých agend zaznamenáme.
Pokud některé zpracování přenecháváme třetí straně (například účetnictví pro nás vede externí firma), pak toto zpracování osobních údajů třetí stranou (externím dodavatelem) musí být upraveno smlouvou, která určuje, kdo je Správce (Spolek), kdo je Zpracovatel (např. účetní firma), a která určuje Zpracovateli předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů osobních údajů a povinnosti a práva správce.
Zpracovatel musí být povinen zpracovávat osobní údaje pouze na základě doložených pokynů Správce, je zavázán mlčenlivostí a povinností chránit osobní údaje stejně, jako by to dělal Správce. Zpracovatel je nesmí bez vědomí Správce zapojit od Zpracování další entitu (řetězit zpracování), musí být Správci nápomocen při plnění jeho povinností a umožnit i kontrolu zpracování (audit). Po skončení zpracování Zpracovatel poskytnuté osobní údaje musí vymazat.
Správce je povinen použít jen takového Zpracovatele, který skýtá dostatečné záruky, že splní požadavky Nařízení (vit čl. 28 a 29 Nařízení). Tím je tabulka – Záznam o zpracování – hotová. Je pochopitelné, že Záznam o zpracování je třeba udržovat aktuální.
 
Nyní je načase, si udělat jednoduchý Pokyn o zpracování osobních údajů v rámci Spolku. Pokyn by měl obsahovat zmínku o existenci tabulky Záznamu o zpracování - jako primárním přehledu práce s osobními údaji ve sdružení, měl by ukládat všem členům Spolku povinnost ochránit dokumenty osobními údaji – tedy neumožnit neoprávněným osobám přístup k osobním údajům, bezpečně ukládat listinné dokumenty s osobními údaji mimo přímou kontrolu oprávněných osob například v uzamčených schránách (zásuvka, skříň, trezor na zbraně …) a elektronické údaje zpracovávat pouze na počítačích nebo serverech s řádnou antivirovou ochranou a s heslem chráněným přístupem.
Může zde být ustanovena i povinnost nějakým způsobem označovat dokumenty s osobními údaji (pokud se k takovému kroku Spolek rozhodne).
Měla by zde být zmíněna i povinnost zpracovatelů zálohovat údaje (vhodným způsobem zálohování listinných údajů může být například jejich skenování nebo fotografování a ukládání v zabezpečeném úložišti (např. na externím disku s řízeným přístupem, nebo na externím disku ukládaném v trezoru), a povinnost snažit se vždy pracovat s aktuálními a ověřenými údaji.
V Pokynu lze i určit, kdo jednotlivé agendy vede, to lze udělat buď formou odkazu na údaje v tabulce Záznamů o zpracování, nebo přímým vyjmenováním zpracovatelů.
 
Pokud přesto dojde k porušení zabezpečení zpracování, musí mít Spolek připravený mechanismus, který mu umožní nahlásit narušení zabezpečení zpracování do 72 hodin Dozorovému úřadu (v ČR to bude Úřad na ochranu osobních údajů), takže v Pokynu může být popsáno, co dělá člen Spolku, když zjistí narušení (například vykradenou kancelář) a kdo provede hlášení (měl by to být jednatel Spolku nebo jím určená osoba).
Narušení se nemusí hlásit, pokud je nepravděpodobné, že by narušení zabezpečení mělo za následek riziko pro práva a svobody fyzických osob (například osobní údaje byly zničeny při vyplavení kanceláře) Naopak, hackerský útok na data hlásit třeba je. Pokud naopak hrozí porušením zabezpečení zpracování vysoké riziko pro subjekty údajů (například při hackerském útoku), je Správce povinen o porušení informovat bez zbytečného odkladu i dotčené subjekty údajů. Obsah hlášení je definován v čl. 33 Nařízení.
 
Tohle všechno jsou opatření a činnosti, které jsou zaměřené dovnitř Spolku. Ale Nařízení vyžaduje po Spolku i opatření zaměřená směrem ven, k veřejnosti. Spolek musí především zajistit transparentnost zpracování, tj. Spolek musí subjekty údajů informovat o zpracování. Informace o zpracování musí obsahovat (viz č. 13 a 14 Nařízení):
A) totožnost a kontaktní údaje správce a jeho případného zástupce;
B) kontaktní údaje pověřence pro ochranu osobních údajů, pokud ho Spolek má. Zde je namístě upozornit, že myslivecké Spolky nemají povinnost Pověřence ustavovat a platit, nejsou ani veřejný subjekt, ani nezpracovávají osobní údaje ve velkém rozsahu.
C) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování (ty snadno najdeme v Záznamu o zpracování);
D) oprávněné zájmy Správce nebo třetí strany v případě, že je zpracování založeno na tomto zdroji zákonnosti
E) případné příjemce nebo kategorie příjemců osobních údajů;
F) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci (tady mě napadá jediný případ, kdy se tato povinnost mohla vztahovat na myslivecký Spolek – Spolek čerpal dotaci z evropských fondů a musí její čerpání dokladovat orgánům EU).
 
Dále doporučuji pro jednoduchost rovnou v informaci o zpracování uvést další údaje (najdete je částečně i v Záznamu o zpracování):
A) dobu, po kterou jsou osobní údaje zpracovány / ukládány, nebo, není-li ji možné určit, kritéria použitá pro stanovení této doby;
B) existenci práva požadovat od Správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
C) pokud je zpracování založeno na souhlasu subjektu údajů, existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
D) existenci práva podat stížnost u Dozorového úřadu;
E) existenci práva odvolat kdykoliv souhlas se zpracováním osobních údajů
F) kdy je poskytování osobních údajů zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
G) pokud nebyly údaje získány přímo od subjektu údajů, pak zdroj osobních údajů (nejčastější a nejméně problematické bude získání údajů z veřejných zdrojů – například živnostenský nebo obchodní rejstřík).
 
Tyto informace mají být k dispozici subjektu údajů již v okamžiku, kdy jeho osobní údaje Spolek získává. Pokud údaje nejsou získány přímo od subjektu, pak Správce informuje v přiměřené lhůtě, nejdéle však do měsíce od získání údajů, nejpozději však při první komunikaci se subjektem nebo při prvním zpřístupnění osobních údajů, podle toho, co nastane nejdříve.
Vhodnou formou zajištění transparentnosti je například informace na webových stránkách Spolku. Pokud je Spolek nemá, pak to může být informace vytištěná na papíře a přístupná v sídle Spolku. Je vhodné, aby subjekt údajů mohl na vyžádání obdržet kopii informace.
 
 
 
V informaci pro subjekty údajů jsou uvedena práva subjektů. Považuji za vhodné, aby Spolek popsal způsob naplnění práv subjektů například v již zmíněném Pokynu o zpracování osobních údajů. Práva subjektu údajů musí být uspokojena včas, což znamená podle Nařízení do 30 dnů. Proto považuji za vhodné, aby Spolek vedl evidenci žádostí s tím, co a kdy subjekt žádal a kdy byla jeho žádost uspokojena. Pokud tomu brání např. technické překážky - např. aktualizace databáze je možná jen v určená data, která přesahují 30denní lhůtu – pak je nutné před uplynutím lhůty subjektu údajů sdělit alespoň tuto skutečnost a s ní informaci, kdy bude jeho právo realizováno.
Je na uvážení Spolku a na jeho zvyklostech, zda Pokyny bude chtít schválit členskou schůzí či zda se rozhodne s Pokyny členy jen seznámit (třeba přečtením na členské schůzi). Vždy by se tak ale mělo stát průkazným způsobem (např. zmínkou v zápisu z členské schůze a prezenční listinou) a doporučuji, aby členům Spolku byl umožněn k Pokynu co nejsnazší, trvalý přístup.
 
Záznam o zpracování, Pokyny pro zpracování osobních údajů a Informace subjektům jsou základní dokumenty, kterými Spolek může dokladovat svůj soulad s Nařízením. Výše uvedený text ukazuje, že dosažení souladu s Nařízením není na jednu stranu žádné „raketové inžynýrství“, spíš že je to vytrvalá aplikace zásad, které Nařízení jasně definuje. Dosažení souladu je nepochybně poměrně pracné a náročné na čas. Přece jenom se musí připravit nemalé množství dokumentace, byť ve většině případů jedná se o poměrně jednoduché tabulky a dokumenty či prohlášení. Pokud tuto práci ale zanedbáme, je zde riziko nemalých sankcí, kterým je dobré se vyhnout.
Celý zde uvedený text není vyčerpávající, samo Nařízení má 100 článků a vytištěné zabere skoro 80 stránek A4. Časopisecký rozsah neumožňuje podrobný výklad celého Nařízení, a tak je pravděpodobné, že v praxi mysliveckých spolků se při aplikaci požadavků Nařízení se může vyskytnout (a u takto nové agendy jistě i vyskytne) celá řada nejasností. S tímto vědomím se redakce Myslivosti rozhodla na omezenou dobu otevřít na svých webových stránkách Poradnu zaměřenou na aplikaci Nařízení (GDPR) v podmínkách mysliveckých spolků.

Martin Helebrant

Přiložené dokumenty

tabulka tabulka (11,17 KB)
vychází v 7:11 a zapadá v 16:17 vychází v 12:52 a zapadá v 22:03 Nákupní košík 0
 
Zpracování dat...