Do našich životů vpadlo Nařízení Evropského parlamentu a Rady Evropské unie č. 2016/679 – GDPR. Evropský zákon, účinný od 25. května 2018. Co znamená GDPR zkratka? General Data Protection Regulation, je v překladu Obecné nařízení o ochraně údajů. Stručně řečeno příležitost, jak si ve vlastním zájmu udělat pořádek v ochraně osobních údajů. Víte, že naprostou většinu skandálů s únikem dat mají na svědomí lidé zevnitř firem? Proškolení spolupracovníků v oblasti GDPR může být v kritické chvíli zásadním ochranou, pokud někdo lidsky a osobnostně selže. Prověřte si postupy, interní dokumentaci, obchodní a pracovní smlouvy, obchodní podmínky, webové stránky, formuláře a stav e-mailingu. Zajistěte si proškolení zaměstnanců. Připravili jsme základní informace, které mohou pomoci s implementací GDPR. Pokud budete potřebovat, jsme připraveni pomoci firmám, školám, institucím i neziskovkám .. kontaktujte nás 602 525 236 .
Vzorový příklad a obecný přístup k řešení
Vzor GDPR směrnice
Stručný průvodce problematikou GDPR
Je e-mailová adresa skutečně osobní údaj?
Odkaz na plnou verzi nařízení č. 2016/679
Vzorový příklad – osobní údaje a dětský tábor
Neziskovka z.s. – pořádá letní dětské tábory a soustředění pro děti. Při objednání služby organizace požaduje v přihlášce tyto údaje:
* jméno a příjmení
* telefonní číslo
* e-mail
* adresu, PSČ
* datum narození
* zdravotní pojišťovna
* jméno zákonného zástupce
* telefon na zákonného zástupce
* e-mail na zákonného zástupce
* poznámka o zdravotním stavu
Při nástupu na tábor dále v nástupním listu uvádí
Dítě je plavec / neplavec
Dítě má / nemá úlevu z TV – jakou?
Dítě má / nemá alergii – na co?
Dítě bere / nebere pravidelně léky?
Další důležité informace …
Přihláška probíhá elektronicky přes internetové stránky organizace, může být odevzdána i v písemné podobě. Nástupní list se předává vytištěný v písemné podobě první den při nástupu na tábor.
Zákonní zástupci, kteří si chtějí nechat uhradit část ceny tábora od zaměstnavatele, mohou pořádat o vystavení faktury.
Veškerá ostatní komunikace probíhá elektronicky přes e-mail a telefon. Zákonný zástupce dostane po přihlášení emailový kontakt ke kterému mají přístup vedoucí tábora, a telefonní kontakty na vedoucí tábora. Kontakty na vedoucí jsou uvedeny i na webové stránce s přihlašováním.
Organizace dostává na pořádání táborů dotační příspěvek od města. Veškeré účetní operace realizuje hospodářka organizace s externí účetní kancelář, včetně vyúčtování dotací.
Data z přihlášek jsou uložené v cloudu u externí společnosti. K datům mají přístup všichni vedoucí tábora, kteří se účastní daného turnusu, zdravotnice, hospodářka, a IT zaměstnanci externí společnosti.
Věk a pohlaví přijatých dětí jsou uvedeny na webové stránce organizace, aby zákonní zástupci měli přehled o struktuře táborového kolektivu a vhodnosti pro jejich děti.
Data se uchovávají po dobu neurčitou. Na táboře se děti fotí, fotografie z každého dne, z konkrétních částí programu se pro informovanost rodičů dávají na Facebook.
Jak obecně přistoupit k řešení
Před samotným vytvořením směrnice je zapotřebí definovat soubor činností a faktů. Posbírejte v rámci debaty všechny možné věci které děláte, zamyslete se nad tím jaké typy smluv uzavíráte, co od lidí vybíráte, kam které dokumenty posíláte a nebo jaká potvrzení nebo faktury vystavujete a komu je předáváte.
Sepište si i zdánlivě nedůležité věci, které mohou mít vliv na ochranu osobních údajů. Vytvoříte si tím pracovní surovinu, kterou si sami proberte v diskuzi, a rozhodnete jak k jednotlivostem přistoupit. Stačí si na papír sepsat všechno podstatné co v rámci diskuze padne.
Důležitý je realizační tým a odpovědná osoba. Určitě by se takové měl zúčastnit statutár organizace podepisující dokumenty (smlouvy, dotace, atd.), dále účetní, a klíčoví realizátoři projektů (hlavní vedoucí tábora, šéftrenér, atd.). Jako základní vodítko pro vlastní řešení lze použít tento seznam klíčových otázek, na které musíte umět odpovědět:
1) Koho se OÚ týkají
2) Kde se OÚ získávají
3) Jaké OÚ se získávají
4) Účel zpracování
5) Právní titul ( právní tituly zpracování )
6) Citlivost a rizikovost
7) Kde se OÚ uchovávají
8) Forma uchování
9) Délka uchování
10) Zabezpečení
11) Osoby s přístupem
12) Komu se OÚ předávají
13) Reflexe práv subjektů
Pokud zjistíte, že například v rámci přihlašování dítěte do oddílu nebo na tábor požadujete i zbytečné informace, zbavte se jich. Na druhou stranu pokud si myslíte, že je opravdu potřeba informace z opodstatněného důvodu nadále požadovat, dobře toto odůvodněte. Nebojte se popsat důvody, které Vás k tomu vedou, nařízení je poměrně flexibilní.
Velkou pozornost věnujte k tomu kdo má přístup k osobním údajům, jestli je skutečně nutné aby například seznam e-mailů byl dostupný komukoliv, jestli všichni umí odeslat email tak, aby v příjemcích e-mailu nebyly viditelné všechny e-mailové adresy třeba rodičů, nebo členů spolku, a aby se rozhodně nezneužily osobní údaje k nějakým soukromým komerčním nabídkám.
Dobře se zamyslete nad tím jak máte údaje zabezpečené, jestli se neválejí seznamy členů s osobními údaji někde na stole, kde k tomu má přístup kdokoliv kdo jde kolem, nebo uklízečka. Pokud máte údaje v datové podobě, zajímejte se o to kde je hostujete, jestli jste je třeba neumístili na cloud, který fyzicky leží za hranicemi EU. Seriózní služby Vám na otázku fyzické lokace dat bez problému odpoví.
Pokud budete pracovat s dětmi, uvědomte si, že už vstupujete do kategorie zvláštních osobních údajů.
GDPR je nařízení, které je primárně o tvorbě směrnic. O zdůvodnění a transparentnosti věcí, které děláte. Může vás samotné překvapit, co všechno vyžadujete, co schraňujete, a kde tyto informace všude kolují. Není nutné nařízení vnímat negativně, berme to jako příležitost udělat si ve věcech trochu pořádek. Jako příklad řešení konkrétního příkladu jsme připravili směrnici pro GRYF z.s..
Vzor GDPR směrnice
Směrnice pro pořádání táborů a sportovních soustředění (ochrana osobních údajů podle Nařízení Evropského parlamentu a Rady Evropské unie č. 2016/679)
V souladu s výše uvedeným nařízením, ustanovujeme pravidla a informační povinnost za účelem ochrany fyzických osob v oblasti zpracování a volného pohybu osobních údajů. Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů), například jméno, identifikační číslo, lokační údaje, síťový identifikátor, e-mail, údaje o zdravotním stavu, a další údaje viz. nařízení.
Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji, prováděná s pomocí nebo bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenání, uspořádání, strukturování, uložení přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, šíření, nebo jakékoliv zpřístupnění seřazení, či zkombinování, omezení, výmaz nebo likvidace údajů.
Z důvodu transparentnosti a odpovědného přístupu k ochraně osobních údajů, a zajištění požadavků výše uvedeného nařízení, vydává GRYF z.s. tuto směrnici, která naplňuje informační povinnost a definuje konkrétní aplikaci zapsaného spolku pro pořádání příměstského tábora.
1. Koho se OÚ týkají?
Směrnice na ochranu osobních údajů získaných v rámci přípravy a realizace příměstského tábora zapsaného spolku GRYF z.s. se týká osob mladších 16, respektive 13 let, tj. subjektů spadajících do zvláštní kategorie osobních údajů. Z tohoto důvodu je nezbytnou podmínkou přihlášení a účasti na příměstském táboře souhlas zákonného zástupce dítěte. Tento souhlas je součástí procesu přihlašování na příměstský tábor, ať v elektronické, nebo v písemné podobě.
Dále se směrnice týká zákonných zástupců dětských účastníků tábora, a skupiny osob z realizačního týmu příměstského tábora, tj. hospodář, zdravotník, vedoucí, hlavní vedoucí, účetní a přístup k osobním údajům má i statutární orgán sdružení – předseda.
2. Kde se OÚ získávají?
Osobní údaje získáváme prostřednictvím internetového online formuláře přihlášky na příměstský tábor, případně z písemně podané přihlášky na příměstský tábor, dále z vytištěného nástupního listu a potvrzení o bezinfekčnosti, a u personálu tábora z dohod o provedení práce.
3. Jaké OÚ se získávají?
Jméno a příjmení
Telefonní číslo
Email
Adresa bydliště
PSČ
Datum narození
Zdravotní pojišťovna
Jméno zákonného zástupce
Telefon na zákonného zástupce
E-mail na zákonného zástupce
Poznámka o zdravotním stavu
4. Jaký je účel zpracování OÚ?
Účelem zpracování jsou kontaktní údaje na účastníka příměstského tábora, respektive jeho zákonného zástupce, údaje pro pojišťovnu za účelem vyřízení pojištění účastníka tábora (datum narození), informace o zdravotních rizicích za účelem zajištění bezpečnosti účastníka tábora, a informace o zdravotní pojišťovně z důvodu potřeby ošetření účastníka tábora u lékaře.
5. Jaký je optimální právní titul pro získávání OÚ?
Závazná přihláška je dokumentem potvrzujícím smluvní vztah. Osobní údaje se zpracovávají z právního titulu plnění smlouvy.
6. Jaká je úroveň citlivosti a rizikovosti OÚ?
S ohledem na bezpečnost dětských účastníků tábora je součástí přihlášky i informace o zdravotním stavu dítěte, například o alergiích, astmatu, epilepsii, užívaných lécích a jejich dávkování, a informace o jejich fyzickém stavu, tj. o případných úlevách v oblasti tělesné výchovy, nebo je-li dítě plavec či neplavec. Výše uvedené údaje spadají do zvláštní kategorie osobních údajů a vyžadují ze strany osob s přístupem k osobním údajům zvláště obezřetný přístup.
7. Kde se OÚ uchovávají?
Osobní údaje účastníků příměstského tábora jsou uložené na serveru www.gryfliberec.cz, který je umístěn na hostingu v destinaci EU, a pracovní kopie osobních údajů, sloužící ke sledování úhrady tábora a k přípravě podkladů pro pojišťovnu a vyúčtování tábora je umístěna v počítači hospodáře příměstského tábora v destinaci EU. Papírové přihlášky, dohody o provedení práce pro personál příměstského tábora, nástupní listy a prohlášení o bezinfekčnosti jsou uloženy v místě bydliště u hospodáře tábora. Účetní dokumentace je uchovávána u účetní zapsaného spolku.
8. Jaké je zabezpečení OÚ?
Písemné dokumenty s osobními údaji jsou uloženy v plechové uzamykatelné skříni v bydlišti hospodáře příměstského tábora. Osobní údaje v datovém formátu jsou zabezpečené zaheslovaným přístupem, který má k dispozici správce webu, hospodář příměstského tábora a statutární orgán sdružení – předseda.
9. Jaká je forma uchování OÚ?
Osobní údaje uchováváme v písemné i datové podobě.
10. Jaká je stanovená lhůta pro uchování OÚ?
Osobní údaje jsou s ohledem na vazby k vyúčtování dotací a pro splnění právní povinnosti uchovávány po dobu 10 let.
11. Které osoby mají k OÚ přístup?
Přístup k osobním údajům účastníků příměstského tábora mají hospodář tábora, zdravotník, vedoucí oddílu, hlavní vedoucí, účetní, statutární orgán sdružení – předseda, a správce webových stránek, který je jako externí zpracovatel osobních údajů vázán smluvním vztahem.
12. Komu se OÚ předávají?
V případě poskytnutí dotace získává přístup k osobním údajům i poskytovatel dotace tj. například Český svaz karate, Shikon Budo Kai ČR, Magistrát města Liberec, a Krajský úřad Libereckého kraje, respektive jeho kontrolní orgán, pojišťovna realizující hromadné pojištění účastníků tábora. Osobní údaje konkrétních účastníků tábora mohou být předány, na vyžádání zákonného zástupce, ve formě potvrzení o účasti či ve formě faktury zaměstnavateli zákonného zástupce, nebo zdravotní pojišťovně, jako subjektům poskytujícím příspěvek na úhradu ceny nebo části ceny příměstského tábora.
13. Jak jsou reflektována práva subjektů?
V souladu s nařízením reflektujeme všechna práva subjektů, a naším zájmem je maximální transparentnost.
Právo na informace – směrnice se všemi relevantními informacemi je zveřejněna na webových stránkách pořadatele příměstského tábora (dále jen správce osobních údajů).
Právo na přístup k osobním údajům – účastník příměstského tábora nebo jeho zákonný zástupce (dále jen subjekt údajů), má právo na přístup k osobním údajům na základě písemné žádosti, za podmínky prokázání své identifikace a oprávněnosti.
Právo na opravu – máte právo požádat správce osobních údajů o možnost opravy chybných, či neúplných osobních údajů, na základě písemné žádosti, za podmínky prokázání své identifikace a oprávněnosti.
Právo na výmaz – máte právo na výmaz osobní údajů (OÚ) pokud již nejsou osobní potřebné pro účel, pro který byly shromažďovány nebo zpracovávány, nebo byl odvolán souhlas na jehož základě bylo zpracování OÚ založeno, pokud neexistuje žádný další právní důvod pro jejich zpracování, nebo pokud byly OÚ zpracovány protiprávně.
Oznamovací povinnost správce v případě hrubého selhání ohrožujícího subjekt – v případě že by došlo k narušení bezpečnosti údajů, které bude znamenat riziko pro práva a svobody fyzických osob, nejpozději do 72 hodin od okamžiku kdy se dozvíme o incidentu nahlásíme únik, či ohrožení bezpečnosti Úřadu pro ochranu osobních údajů. Pokud by došlo k úniku údajů ohrožujících bezpečnost subjektu údajů, budeme neprodleně kontaktovat i dotčené subjekty údajů.
Právo na omezené zpracování – můžete uplatnit své právo na omezení zpracování OÚ pokud je popřena přesnost příslušných osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit, nebo pokud odmítáte výmaz osobních údajů, nebo pokud již údaje nejsou zapotřebí pro původní účel, ale ještě je nelze odstranit z právních důvodů, nebo pokud rozhodnutí o vaší námitce proti zpracování dosud není vyřízeno.
Právo vznést námitku – pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, má právo vznést námitku ohledně omezeného zpracování těch údajů, které jsou předmětem uplatněné námitky. Lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
Právo na přenositelnost – máte právo na přenositelnost údajů vložených prostřednictvím formuláře online přihlášky v podobě konkrétního řádku excelové tabulky na jiného správce osobních údajů.
Směrnici vydal v Liberci, dne 21.. května 2018
GRYF z.s.
