Časopis Myslivost

Březen / 2018

Myslivecké organizace a GDPR

Myslivost 3/2018, str. 48  Roman Ondrýsek
V časopisu Myslivost 12/2017 jsem sepsal příspěvek věnovaný problematice Nařízení GDPR, kde jsem probral základní informace o tom, co Nařízení GDPR vůbec je, důvody, proč se GDPR bude vztahovat i na myslivecké organizace (spolky, honební společenstva) a jaké nové povinnosti od května 2018 bude po všech mysliveckých organizacích požadovat. V pokračování tohoto seriálu o Nařízení GDPR se dnes proto budeme věnovat podrobněji již jednotlivým povinnostem, které musí myslivecké organizace splnit, a to nejpozději do 25. května 2018.
 
 
V první kroku je nezbytné učinit ve vaší organizaci základní kontrolu všech osobních údajů. Smyslem je získat přehled s jakými všemi osobními údaji vůbec zacházíte. Namátkou se jedná o evidenci povolenek a údaje v nich uvedené, jména, příjmení, datum narození, bydliště, telefon a další kontaktní údaje získané např. z přihlášek nebo dále podpis osob, obrazový snímek (např. fotografie lidí na webových stránkách, videozáznamy), čísla dokladů, snímky z fotopastí a další.
 
Pokud v prvním kroku úspěšně získáte přehled nad souborem osobních údajů, s nimiž zacházíte, je dalším důležitým krokem určit, na základě jakého právního titulu s těmito osobními údaji zacházíte a zda tak činíte správně. Správce osobních údajů se totiž nemůže sám svévolně rozhodnout, že bude shromažďovat osobní údaje. Vždy k tomu potřebuje legitimní (zákonné) oprávnění (viz čl. 6 odst. 1 GDPR) – například na základě plnění právní povinnosti, plnění smlouvy nebo zacházení s osobními údaji na základě souhlasu subjektů osobních údajů.
 
Pokud již víte, s jakými všemi osobními údaji zacházíte a na základě jakých právních titulů, můžete následně správně určit, jaké povinnosti vám z toho plynou. Můžete tak správně kontrolovat, zda s osobními údaji zacházíte jen za tím účelem, za jakým vám to dovoluje zákon, na jehož základě vy s osobními údaji zacházíte, nebo pokud s osobními údaji zacházíte na základě souhlasu subjektu osobních údajů, tak zda byl souhlas udělen platně (viz čl. 7 GDPR – podmínky vyjádření souhlasu) a zda byla řádně dodržena vaše informační povinnost vůči subjektům osobních údajů (čl. 12, 13 a 14 GDPR).
 
Z uvedeného je zřejmé, že abyste získali přehled o všech povinnostech, které vám z GDPR vyplývají, musíte nejprve celkově zmapovat všechny procesy zacházení s osobními údaji.
 
V další části článku si rozeberme povinnost sdělit subjektům osobních údajů určité (předpisy stanovené) informace, tj. informační povinnost správce osobních údajů podle článků 12 a násl. GDPR.
 
V první řadě je nezbytné pamatovat na to, že GDPR výslovně požaduje ve svém čl. 12 odst. 1, aby správce veškeré informace poskytoval stručně, transparentně, srozumitelně a pro subjekty osobních údajů snadno přístupným způsobem (např. vyvěšením na informační nástěnce, webových stránkách spolku nebo v tištěné podobě v sídle organizace).
Forma poskytnutí informací by měla být zásadně písemná (je dovoleno také v elektronické podobě). Za určitých výjimek i ústně.
Správce musí subjektům osobních údajů v rámci své informační povinnosti sdělit základní informace o procesech zacházení s osobními údaji, tj.:
- totožnost správce (např. Myslivecký spolek Malý Cínovec, z.s., sídlem Dlouhá 44, Krupka),
- kontaktní údaje na správce (postačí adresa sídla, příp. webové stránky, pokud má, telefonní číslo nebo e-mail),
- kontaktní údaje na pověřence, pokud byl jmenován podle čl. 37 GDPR,
- vymezit za jakým účelem správce zpracovává osobní údaje (např. organizace spolkové činnosti – seznam členů spolku, výkon práva myslivosti – evidence povolenek, apod.),
- vymezit právní důvod(y) ke zpracování osobních údajů (vybrat správně právní důvody uvedené v čl. 6 GDPR),
- zda se osobní údaje předávají dalším osobám a pokud ano, tak je vymezit - tzv. příjemci osobních údajů, nebo určit jen kategorie příjemců (např. orgány státní správy, externí účetní spolku, provozovatelé internetových služeb – www stránky, úložiště, sociálních sítí aj., pronajímatel honitby apod.),
- pokud využíváte internetové služby (tzv. cloud), při nichž nahráváte osobní údaje na servery provozovatele služby, a tento server je mimo Evropskou unii, pak máte povinnost i tuto informaci oznámit,
- dobu, po níž budete s osobními údaji zacházet (můžete určit např. přesný časový rámec – na dobu 2 let, nebo určit, že budete s osobními údaji zacházet na dobu nezbytně nutnou k dosažení účelu vymezeného v předchozím bodě).
 
Kromě základních informací, které jsem sepsal výše, máte jako správci osobních údajů ještě povinnost poučit subjekty osobních údajů o tom, jaká mají práva, tj. že mají právo na přístup k osobním údajům (čl. 15 GDPR), právo na opravu (čl. 16 GDPR), právo na výmaz osobních údajů (čl. 17 GDPR), právo na omezení zpracování (čl. 18), právo na přenositelnost (čl. 20), případně i právo vznést námitku proti zpracování (čl. 18).
 
GDPR říká, že správce musí svou informační povinnost splnit v okamžiku, kdy získává osobní údaje. V praxi správci osobních údajů svou infomační povinnost plní tím způsobem, že sepíšou jeden dokument tzv. Prohlášení o ochraně osobních údajů, ve kterém všechny nezbytné informace řádně, srozumitelně a přehledně uvedou. Tento dokument poté snadno dostupným způsobem poskytnou subjektům osobních údajů – vyvěsí na svých internetových stránkách, v tištěné podobě budou mít kdykoli k dispozici v sídle organizace a v žádostech o souhlas se se zpracováním osobních údajů poučí subjekty, že takový dokument existuje a subjektu osobních údajů ho dají k dispozici na prostudování.
 
Pokud by snad správci osobních údajů chtěli svou informační povinnost šidit, pak samotný Úřad pro ochranu osobních údajů velmi pečlivě kontroluje plnění této povinnosti a pokud zjistí, že není dodržována řádně, jedná se o porušení předpisů na ochranu osobních údajů. V takovém případě správcům osobních údajů hrozí nově pokuta až ve výši několika desítek milionů korun. Takto astronomické sankci se však lze snadno vyhnout, a to sepsáním výše uvedeného dokumentu.
 
V tomto příspěvku jsem se snažil prakticky vysvětlit, jak se ve vašich organizacích připravit a plnit základní povinnosti, které po mysliveckých organizacích bude GDPR požadovat od května 2018. Pamatujte na to, že základním stavebním kamenem je dobrá vnitřní analýza procesů zacházení s osobními údaji. Od toho se poté odvíjí určení, jaké všechny povinnosti musíte plnit.
Pamatujte na to, že informační povinnost je jednou ze základních nutností, které musí jako správci osobních údajů splnit, a pokud tak neučiníte, vystavujete se riziku, že budete sankcionování vysokou pokutou.
vychází v 7:55 a zapadá v 15:59 vychází v 14:09 a zapadá v 3:30 Nákupní košík 0
 
Zpracování dat...