GDPR - Obecné nařízení o ochraně osobních údajů

Evropský parlament a Rada Evropy vydaly v dubnu 2016 Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, které má nabýt účinnosti dne 25. května 2018.

Protože od vydání v roce 2016 nedošlo v České republice k právní úpravě, byl svaz postaven před velmi problematický úkol – zajistit aplikaci Obecného nařízení v našich organizacích, protože nařízení je bez ohledu na národní úpravu od konce května závazné!

24. března 2018 schválila Republiková rada ČZS na svém zasedání Metodický pokyn č. 1/2018, který stanoví pravidla k nakládání a zpracování osobních údajů ve smyslu nařízení EU. Metodický pokyn doplnila o potřebné formuláře včetně návodů pro ZO ČZS (použitelné i pro ÚS ČZS).

 

předchozí následující
GDPR - ochrana osobních údajů - úvod


Dne 24. dubna 2018 schválila Republiková rada ČZS na svém zasedání Metodický pokyn č. 1/2018, který stanoví pravidla k nakládání a zpracování osobních údajů ve smyslu nařízení EU. Tento materiál, bude třeba zřejmě doplňovat v návaznosti na vnitrostátní úpravu zákonem event. jinými normami v oblasti ochrany osobních údajů, které dosud nevyšly. Na internetu je sice návrh nového zákona, avšak nejsou k dispozici informace o jeho projednání ani schválení.
Metodický pokyn objasňuje zejména, co to jsou osobní údaje, co je to jejich zpracování a kdy a za jakých okolností a podmínek lze osobní údaje našich členů a ostatních fyzických osob zpracovávat. Především je třeba zdůraznit, že osobními údaji je vše, podle čeho lze fyzické osoby identifikovat, tedy od jména, data narození, rodných čísel, bydliště, až po technické údaje k osobně se vztahující, jako jsou lokalizační údaje, údaje elektronické pošty atp. Pokud jde o zpracování těchto údajů, nařízení se vztahuje na jakoukoli manipulaci s nimi, pokud není výslovně stanovena jiným zákonem, tedy pokud ji zákon nenařizuje a neukládá, jak s takovými osobními údaji v těchto případech nakládat.
Hlavní podmínkou zpracování osobních údajů je jeho zákonnost, tedy možnost zpracování jen k účelům, které vychází ze zákona upravujícího osobnost Správce, tj. osoby, která osobní údaje zpracovává.
Další podmínkou je VÝSLOVNÝ souhlas osoby, jíž se osobní údaje týkají, se zpracováním v konkrétních případech, tedy souhlas ke každému použití těchto údajů. Důležité je trvání tohoto souhlasu, tedy že subjekt osobních údajů může souhlas kdykoliv odvolat a povinnost Správce zpracování v takových případech neprodleně ukončit a osobní údaje z případných nosičů vymazat tak, aby již nebyly k dispozici. Souhlas musí být doložitelný, tedy musí o něm být uchován záznam, který musí být dohledatelný.
Doposud není vyřešeno, zda postačí úprava Metodickým pokynem, který bude platný pro celý zapsaný spolek, tedy pro celý svaz, nebo zda bude nutné, aby každý pobočný spolek upravil problematiku osobních údajů samostatně. Na jedné straně jsou pobočné spolky organizačními jednotkami jednoho, tj. hlavního spolku a všechny jeho právní akty jsou pro ně závazné, na druhé straně obecným pokynem nelze upravit např. konkrétní stanovení osobních údajů, které každá organizace jako samostatná právnická osoba – tedy Správce zpracovávaných osobních údajů – zpracovává, případně konkrétní účel, ke kterému tyto údaje Správce s osobními údaji manipuluje, resp. konkrétní způsob jejich zpracování a uchovávání. Metodický pokyn proto v čl. IV pod písm. d) doporučuje orgánům svazu přijmout vlastní předpis, kterým upraví problematiku na vlastní podmínky. Vzor takového předpisu tvoří přílohu metodického pokynu.
Právní komise svazu bude nadále právní stav ve věci aplikace Obecného nařízení EP vnitrostátní úpravou sledovat a případné aktuální změny navrhne upravit ve formě dodatků vnitrosvazové úpravy.


Postup pro organizační jednotky svazu k ochraně údajů:


  1. Vytiskněte Metodický pokyn č. 1/2018 k ochraně osobních údajů včetně přílohy a založte jej mezi vnitřní předpisy organizace. (dále jen MP )

  2. Seznamte členy organizace s Metodickým pokynem č. 1/2018 k ochraně osobních údajů na členské schůzi. Případně se doporučuje, aby jste na členské schůzi přijali vlastní vnitřní předpis (viz vzor vnitřního předpisu). Pokud již členská schůze proběhla, může vnitřní předpis přijmout výbor ZO s tím, že bude následně schválen na nejbližší členské schůzi.

  3. Získejte souhlas členů se zpracováním jejich osobních údajů (viz vzor souhlasu). - formulář je dostupný na této stránce dole.

  4. Veškeré materiály obsahující osobní údaje v listinné podobě (např. seznam členů) uložte na zabezpečeném místě (např. v uzamykatelné skříňce) tak, aby nebyly volně přístupné bez kontroly.

  5. Při elektronickém zpracování zajistěte běžné zabezpečení sítě, pokud ji používáte. Zpracované osobní údaje mějte zabezpečené heslem a šifrováním, aby nebyly volně přístupné jiným osobám.

  6. Pokud uveřejňujete osobní údaje na webu nebo je vyvěsíte na nástěnce v osadě je to z hlediska ochrany údajů v pořádku, pokud k tomuto účelu dotčené osoby daly svůj souhlas.

  7. Sledujte aktuální informace k této problematice na webu svazu ČZS.

Zpracovala: Právní komise ČZS

zpět