....

Chyba na stránce: FAQ k osobním údajům - Křižovatka"

URL: https://krizovatka.skaut.cz/stredisko/administrativa/ochrana-osobnich-udaju/3843-faq?autologin=1"

FAQ k osobním údajům

FAQ k osobním údajům

Otázky a odpovědi k tématu ochrany a nakládání s osobními údaji a problematikou danou evropským nařízením tzv. GDPR.

 

Musíme pro všechny členy znovu vyplňovat přihlášky a zajišťovat nové souhlasy?

Nemusíte! Přihlášky, které používáme až do května 2018 splňují požadavky původního zákona 101/2000 Sb., o ochraně osobních údajů, který je sice novým evropským nařízením GDPR od 25.5.2018 nahrazen, ale požadavky na poučení o důvodech zpracovávání osobních údajů, rozsahu zpracovávání osobních údajů, možnosti odvolat souhlas (na části údajů, které jsou zpracovávány na základě souhlasu) apod., jsou i v souladu s novým GDPR, a proto je dostatečné, že od původních členů máme původní přihlášky. Není tedy nutné po květnu 2018 znovu od všech členů zajišťovat nové přihlášky.

Nové přihlášky budou zde na Křižovatce v sekci osobním údajům zveřejněny v průběhu dubna 2018 a bude je možné pak okamžitě začít používat. Tyto nové přihlášky (s aktualizovaným textem poučení) bude zcela nutné používat po 25. květnu 2018. Do té doby je možné používat i původní přihlášky.

 

Jak máme zpracovávat papírové přihlášky našich členek a členů?

Zpracovávání papírových přihlášek se děje dnes i v budoucnu stejným způsobem (už dlouho máme ke zpracovávání osobních údajů směrnici, která v této věci ani aktualizací nezmění nic zásadního). Obecně platí, že se k osobním údajům (a tedy i papírovým přihláškám) má dostávat jen omezený okruhu lidí, který to ke své činnosti potřebuje (např. je v pořádku, pokud rádce přihlášku vybere, předá ji vedoucímu oddílu a ten ji zadá do skautISu a papírově bezpečně uloží třeba do skříně ve svém zamknutém bytě). Zároveň umožňujeme (a doporučujeme) zpracovávat přihlášky ve skautISu, kam se dají naskenovat a bezpečně uložit, čímž pak odpadá problém se zbytečným předáváním papírových přihlášek mezi mnoha osobami a mnoha místy.

 

Jak je to s přihláškami na tábor? Musí být na tábory 2018 nějak speciální?

Na letošní (rok 2018) tábory můžete klidně použít vzory přihlášek, které jsou k dispozici na Křižovatce (ve spisovně a v sekci táborů), protože předpokládáme, že budete přihlášky vyplňovat a získávat ještě před 25. květnem (tedy je v pořádku, že používáte na letošní tábor současné přihlášky rozdávané už nyní).

Zároveň platí, že přihlášky na tábor našich členů nemusí a neřeší znovu poučení a souhlasy k nakládání s osobními údaji, neboť to řeší již sama přihláška do organizace (přihláška na tábor pro členy řeší hlavně závazné přihlášení, že dítě pojede, rodič zaplatí, jak je řešeno případné storno a že rodič aktualizuje údaje včetně údajů zdravotních, které se ale již zpracovávájí na základě poučení z přihlášky do organizace). Přihlášky na tábory s novým poučením jsou potřeba pro nečleny a to jen pokud byste je získávávali až po 25.5.2018 (ale v té době už většina táborů má typicky přihlášky vybrané).

 

Řešíme příměstské tábory, na které budeme vybírat přihlášky on-line na webu od dubna až do konce června. Jak to máme udělat?

Pokud jde o příměstský tábor, kterého se účastní nečlenové a přihlášky budete vybírat pro část před a po část začátku účinnosti GDPR (po 25.5.2018), tak tam používejte nejpozději do 25. května 2018 dnešní přihlášku na tábor pro nečleny (dle vzoru, který máme od loňska).  Tento vzor můžete jako on-line webovou přihlášku použít už nyní pro všechny, kdo se přihlásí. Zároveň si však pohlídejte právě datum 25. května a pokud byste s přihlašováním na příměstské tábory pokračovali i po něm, bude nutné změnit text poučení na nový vzor. Nový vzor poučení k přihláškám na tábory pro nečleny zveřejníme zde na Křižovatce během dubna 2018 spolu s ostatními vzory přihlášek do organizace a dalšími vzory.

 

Jak je to s používáním fotografií z naší činnosti? Můžeme dávat fotky na oddílový web?

Problematiku fotografií musíme řešit již dlouho a GDPR nepřináší úplně nové věci, pouze některé zpřesňuje a přizpůsobuje se dnešní "digitální době". Na našich přihláškách (původních platných do roku 2018 i těch co budou zveřejněny aktualizované během dubna 2018 pro GDPR) máme poučení i souhlas se zpracováváním a používáním fotografií jakožto dokumentování naší skautské spolkové činnosti. Díky tomu je bez problémů možné používat fotky z činnosti i na oddílových webech apod. právě z důvodu dokumentování naší činnnosti. Není tedy vůbec problém zveřejnit fotografie zachycující naše členky a členy při činnosti v oddíle, na výpravách apod. Ovšem v žádném případě už nedoporučujeme zveřejňovat fotografie jednotlivých osob, u kterých by bylo v popiscích uváděno o jaké přesné osoby se jedná s doplněním dalších údajů jasně identifikující jednotlivé osoby. Pokud do popisku fotografie použijete přezdívky dětí, nejedná se obvykle o dostatečnou identifikaci dané osoby, a tedy by s popiskem obsahující přezdívky pod fotografií více dětí neměl být problém.

Zveřejňovat fotografie členů z naší činnosti by nebylo možné, pokud bychom k tomu na přihlášce neměli souhlas (zákonný zástupce dítěte by nám tento souhlas na přihlášce nedal, nebo ho dodatečně prokazatelně - písemně odvolal). 

 

Můžeme hezkou fotku zachycující členy naší skautské družiny použít k propagaci našeho oddílu a rozvěsit náborové plakáty po městě?

S fotkami je to komplikovanější v tom, že je potřeba posuzovat, jestli daná situace vede k identifikaci jedné konkrétní osoby (což by byl problematičtější stav), nebo je to jen dokumentování činnosti (viz předchozí otázka).  Každopádně obecně máme na přihláškách již zmiňované obecné využití fotek pro dokumentování činnosti, takže hezkou fotku skautské družiny při činnosti (jde o skupinovou fotku, není to jen jedna osoba u které byste napsali její konkrétní jméno) je určitě možné použít pro zveřejnění na webových stránkách, v rámci plakátku pro nábor do oddílu apod. Takovou fotku (doplněno informacemi k náboru do oddílu) tedy můžete použít jako plakátek i po městě/obci. Ale v situaci, kdy by na fotografii byly zobrazeny třeba jen 1-2 osoby jako hlavní postavy (a ne tedy zachycení běžné činnosti družiny v oddíle) a zároveň byste z toho chtěli udělat opravdu velkou "reklamní kampaň" s tisíci plakáty, placenou inzercí v novinách a na FB, a tedy cílili na opravdu velkou skupinu lidí, které chcete oslovit, tak je třeba mít již souhlas k využití přímo této konkrétní fotky pro tyto účely od zákonných zástupců, případně daných osob na fotografii (pokud by byly dospělé).

 

Proč se rozlišují zvláštní kategorie osobních údajů?

Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů (danou osobu) samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina údajů, které jsou považovány vůči subjektu údajů za citlivé (např. zdravotní stav, politická příslušnost apod.) a jimž je poskytnuta zvýšená ochrana při jejich zpracování.

Zvýšená ochrana se projevuje zejména ve stanovených zvláštních právních důvodech, na základě kterých je lze zpracovávat, vázanost některých institutů na jejich zpracování (např. posouzení vlivu, ustavení pověřence, vyhotovit záznamy o činnostech zpracování), důraz na jejich zvýšené zabezpečení.

Tyto citlivé údaje při skautské činnosti o našich členech zpracováváme a potřebujeme je např. k zajištění bezpečí a zdraví našich členů na táborech apod. (bez znalosti základních informací o zdravotním stavu, alergii či pravidelně požívaným lékům, bychom nemohl vzít danou osobu na tábor či jinou skautskou akci).

 

Je fotografie nositelem citlivých údajů? Vždyť z ní dokážu vydedukovat údaj o zdravotním stavu či rase.

Fotografie může být nositelem různých informací. Podstatné je, jak je s těmito informacemi nakládáno a zdali vůbec. Nakládání s fotografií není a priori zpracování citlivých údajů (vysvětlení kategoirií údajů dále) o subjektu údajů. O zpracování zvláštních kategorií osobních údajů by se jednalo až tehdy, pokud by z fotografie byly tyto údaje cíleně zpracovávány ve vztahu ke konkrétní fyzické osobě. Např. by fotografie sloužily jako zdroj získávání informací o nemoci pleti pro lékařský výzkum ve vztahu k identifikovaným či identifikovatelným osobám.

 

Jaké údaje spadají do zvláštní kategorie osobních údajů?

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. Jejich výčet je téměř totožný s výčtem citlivých údajů v původním zákoně č. 101/2000 Sb., o ochraně osobních údajů.

 

Musím mít zaheslované počítače, mobily, plus třeba i mazání dat na dálku?

Dnes i v budoucnu platí věci v podstatě stejně - máte dbát na bezpečnost dat, máte používat prostředky, které jsou přiměřené k daným situacím a uloženým údajům. Takže je běžné a normální, že máte na počítači heslo, v mobilu pin či otisk prstu apod. Stejně tak je normální, že hesla na webové stránky ukládáte jen ve vlastním počítači a ně někde ve škole apod. Na tyto věci prosím pamatujte a dbejte na to, aby data nebyla "veřejně přístupná".

Šifrované disky v počítači ani nutnost mít možnost vymazat data v zařízení "dálkově" nutné nejsou. Jsou to jen další preventivní stupně, které se mohou v některých situacích hodit (např. na ústředí některé osoby pracující s osobními údaji mají svá zařízení i na úrovni disku šifrována, mají vícefaktorové přihlašování do některých služeb apod.), ale určitě není nutné to mít na běžné vybavení používané pro běžnou činnost na úrovni oddílu či střediska.

 

Můžeme ukládat údaje o členech do Google tabulek?

Obecně platí, že primárním místem pro správu a ukládání dat o členech je skautIS (se všemi pravidly, rolemi, účty jen osob, žádné poskytování hesla někomu jinému atd.) O ten ústředí intenzivně pečuje a dbá na jeho bezpečnost a zajištění potřebného zabezpečení.

Pokud si nějaké osobní údaje ukládáte on-line, tak je ukládejte a se svými úzkými týmy sdílejte (uvážlivě a opatrně) jen pomocí skautského Google disku a pomocí skautských Google účtů! (ne pomocí osobních gmail.com, yahoo.com, seznam.cz apod. mailů). Jen u "firemních skautských google služeb" máme smluvně zaručeno, že jsou data např. jen na serverech v EU a ne někde jinde a že jsou splněny všechny povinnosti, které GDPR vyžaduje.

 

Můžeme osobní údaje členů předávat např. městu při žádosti o dotaci?

Předávání údajů třetím subjektům může být na základě právní povinnosti nebo na základě souhlasu členů. V případech žádostí o dotaci obvykle města nepotřebují znát osobní údaje našich členů a výslovný souhlas s předáním údajů našich členů naše přihlášky neobsahují. Pokud po Vás tedy město chce seznam členů, mělo by postačovat předání pouze souhrnných informací typu:  "našimi členy je X dětí ve věku od - do, Y ve věku od - do".

Pokud se jako jednotka účastníte nějaké akce pořádané někým jiným, tak z pohledu členů jste primárně pořadatelem vy (pokud je to skautská akce), a pak pokud je z nějakého důvodu nutné a musí být údaje předány i pořadatelům, tak máte zvážit, jak velikou skupinu údajů opravdu je třeba předat a hlavně v takovém případě své členy o tom informujete (nedovedu si představit, že by se to v oddílech/středi scích nedělo, že by to nebylo v informacích na pozvánce na akci apod., že akce je pořádána někým jiným než skauty).

 

Můžeme osobní údaje předávat jiným třetím osobám, které s námi spolupracují? Co např. externí účetní nebo známý neskaut, který nám dělá zdravotníka?

Můžete, pokud je to potřeba k zajištění naší činnosti (tím se to odlišuje od výše uvedeného příkladu). Jelikož ale danou činnost provádí třetí osoba, je nutné s ní mít uzavřenou smlouvu o zpracování osobních údajů (vybrané vzory ke stažení na Křižovatce). Třetí osobou se myslí každá osoba, která není členem organizace, i pokud by se jednalo o Vašeho dobrého kamaráda neskauta nebo rodinného příslušníka.

 

Můžeme osobní údaje dítěte předat zaměstnavateli, pokud od něj žádá rodič dítěte příspěvek na tábor?

Pro zaměstnavatele by mělo být plně dostatečné, pokud na faktuře bude uvedené, že táborový poplatek je za "syna/dceru vašeho zaměstnance Jméno + Příjmení" (kdy zaměstnavatel stejně eviduje osobní údaje daného rodiče). Mám za to, že zaměstnavateli není nic do toho, jaké jsou konkrétní osobní údaje našeho člena = dítěte, takže se domnívám, že na tyto údaje nárok nemá (v souladu se zásadou "minimalizace údajů" - čl. 5, odst 1 c) GDPR) a zároveň tyto ani další údaje nesmíme bez souhlasu rodičů třetímu subjektu poskytovat (tedy pokud by nám např. přišla žádost o fakturu přímo od zaměstnavatele bez toho, aby nám o tom dali rodiče vědět). Obecně bych ale na fakturu určitě nepsal datum narození a nic dalšího ohledně toho dítěte. V některých případech je možné, že zaměstnavatel finančně podporuje třeba jen tábory, pokud se jich účastní děti do nějakého věku. Pak je zřejmě vhodné domluvit s rodičem, co na fakturu napsat (viz. souhlas výše), aby to zaměstnavatel proplatil a zároveň jste zbytečně na fakturu nevypisovali osobní údaje člena, které nejsou pro zaměstnavatele nutné (takže např. neuvádět jméno dítěte a pouze připojit informaci o jeho datu narození nebo fakturu doplnit nějakým čestným prohlášením rodiče o věku jeho dítěte). Pokud s tím ale bude rodič výslovně souhlasit, resp. na tom bude kvůli zaměstnavateli trvat, může se na faktuře objevit i jméno a datum narození dítěte.

 

Jak je to s rodnými čísly? Je vůbec legální, že je od našich šlenů sbíráme?

RČ potřebujeme a je to povinný údaj, neboť jej po nás pro identifikaci osob vyžaduje stát - plním zákonnou povinnost (např. pro vyúčtování některých dotací ze státního rozpočtu musíme být schopni státu doložit seznam účastníků vč. rodných čísel; stejně tak např. činovníci jsou zapisováni do spolkového rejstříku, kde je RČ ze zákona povinným údajem apod.) SkautIS pro jednoznačnou identifikaci využívá úplně jiný interní údaj a RČ je prostě evidováno jako základní osobní údaj z důvodů viz. zákonná povinnost.

 

Kdy lze zvláštní kategorie osobních údajů zpracovávat?

Zvláštní kategorie osobních údajů lze zpracovávat, pokud:

  • subjekt údajů udělil výslovný souhlas,
  • zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
  • zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
  • zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
  • zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
  • zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
  • zpracování je nezbytné z důvodu významného veřejného zájmu,
  • zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.,
  • zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
  • zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce. Například pro zaměstnavatele pro zpracování zvláštních kategorií osobních údajů (typicky údaj o zdravotním stavu) v případě nezbytnosti představuje oprávnění druhý bod.

 

 Jak na transparentní účty a platby na ně?

Bez ohledu na GDPR už několik let naše Směrnice pro nakládání s osobními údaji na problematiku transparentních účtů pamatuje a to konkrétně v článku (45): 
Při využívání transparentních bankovních účtů, jejichž pohyby jsou zveřejňovány na internetu, je třeba:
a) neidentifikovat jmény osob odchozí platby, nevyjádří-li s tím dotyční souhlas,
b) upozorňovat možné plátce na transparentnost bankovního účtu OJ,
c) nabízet možnost provedení úhrady také způsobem, při kterém nedojde ke zveřejnění osobních údajů (např. vkladem na pobočku s variabilním symbolem či platbou na netransparentní účet).
Pokud tedy pro platby za tábory, členské příspěvky a pro další platby používáte transparentní účet, počítejte s tím, že se na webu automaticky u příchozích plateb zobrazuje "název účtu", což ale nemusí nutně znamenat jméno osoby, ale může to být firma či jiné označení (což nemusí být osobní údaj a z pohledu bank je to tedy OK). Pokud byste ovšem nutili plátce do poznámky (která se na webu také bude zobrazovat) dávat jméno, datum narození či něco podobného, co jasně identifikuje osobu, tak by to mohlo být problematické, pokud by o tom předem nevěděli.
Proto doporučujeme (i s ohledem na naši směrnici), pokud platba probíhá na transparentní účet, tak na to v pokynech pro platbu (tábora apod.) vždy upozorňujte! (viz písm. b) Zároveň nabídněte i alternativní způsob platby - na jiný účet, nebo hotově, pokud jiný než transparentní účet nemáte (viz písm. c). Stejně tak zvažte, zda není vhodnější než "nutit" vkládat osobní údaje do poznámky, lepší přidělit jednotlivým platbám nějaké neosobní číselné variabilní symboly - vy budete vědět jaké číslo které osobě patří, ale nikdo jiný nebude tušit, kdo platbu za jakým účelem provedl.
 
 
 
Jak je to s volitelným souhlasem na přihláškách týkající se "marketingu"? Co když rodič/člen souhlas s marketingem nedá?
 
Běžné členské benefity a informace související čistě s činností jsou již pokryty základní přihláškou a poučeními v ní uvedenými, v takovém případě totiž nejde o marketing. Tento doplňkový souhlas k zasílání informací k marketingu by měl využití jen v nějakých velmi okrajových situacích, které by "nijak nesouviseli s činností" a přesto by bylo zajímavé takové věci skautům nabídnout (například nějaká sleva mimo běžnou činnost v nějakém obchodě - prostě komerční sdělení). Takové věci se však v podstatě nedějí a je to velmi okrajová část. Akorát GDPR vyžaduje, aby souhlas s případným marketingem byl výslovný a nemůže být podmínkou pro členství, proto je takto vyčleněn zvlášť.
Pokud takový souhlas od člena nedostaneme, nebudou mu takové věci v budoucnu posílány (není nutné, aby to jednotky nějak zvlášť řešily v rámci své činnosti).
 
 
 
Jak je to s ostatními volitelnými souhlasy? Je rozdíl mezi zveřejňováním fotek na nástěnce, webu oddílu a fb?
 
Z pohledu dopadu zveřejnění je nástěnka oddílu někde na veřejném místě (na budově v ulici apod.) v podstatě úplně stejná věc jako zveřejnění na webových stránkách, proto je to dohromady. Pod stejným souhlasem by klidně mohly být i ty sociální sítě, ale protože víme, že mnoho rodičů si nepřeje, aby fotky jejich dětí byly "na zlém Facebooku" (to samozřejmě může mít zcela relevantní opodstatnění), tak jsme záměrně sociální sítě dali zvlášť (protože to je zveřejnění na on-line službách, kde nemáme vůbec žádnou kontrolu nad zveřejněným obsahem).
Naším cílem totiž je, aby běžně rodiče ten souhlas se zveřejňováním fotek dávali a pokud už ho omezili, tak jen na místa, kde to nebude zbytečně komplikovat vedoucím oddílům běžné fungování. Proto je to záměrně rozděleno takto.
 
logo

Článek publikoval

Zobrazeno: 2269x

Práce s článkem

4
kladných hlasů

Diskuse o článku

21 Názorů
Komentáře jsou dostupné jen přihlášeným členům Junáka.