Uklidněte se. Přichází GDPR

Několik měsíců obchází neziskovky strašidlo zvané GDPR a děsí všechny přílišnou byrokracií a vysokými pokutami. Uklidněte se, není to tak žhavé, jak to vypadá.

Obecné nařízení GDPR o ochraně osobních údajů platí od 25. 5. 2018 v celé Evropské unii. Jeho cílem je chránit data občanů. Vybrala jsem pro vás nejdůležitější informace ze Základní příručky k GDPR, kterou vydal Úřad pro ochranu osobních údajů. Doplnila jsem je o praktické příklady, zejména jak tyto pravidla zapracovat do své pracovní činnosti.

Tento článek slouží primárně jako přehled tipů pro neziskové organizace, které nepracují s tzv. citlivými daty (např. data o zdravotním stavu, členství v odborech, etnickém původu, náboženských a filosofických postojích, politických postojích, trestním rejstříku, genetické nebo biometrické údaje). Také se nezabývá úplně všemi oblastmi, které GDPR řeší, protože mi nepříjdou ve vztahu k „obyčejným“ neziskovkám relevantní. Obsah článku je také co nejvíce vztažen na nástroje, se kterými běžně neziskovky pracují (e-mail, web, sociální sítě, cloudová uložiště).

Nejdříve se uklidněte, nic se vlastně nemění

“Obecné nařízení nemění základní zásady zpracování osobních údajů či základní pojmy jako jsou např. osobní údaj, subjekt údajů, správce, zpracovatel či zpracování.” Úřad pro ochranu osobních údajů

Dopad GDPR pocítí zejména velcí správci a zpracovatelé osobních údajů, jako jsou třeba banky nebo telekomunikační operátoři. Dále pak společnosti zabývající se marketingem, sledováním chování spotřebitele a cílenou reklamou, sociální sítě a organizace pracující s citlivými údaji. Pro spolky a jiné “běžné” neziskovky či třeba drobné živnostníky, kteří de facto zpracovávají osobní údaje svých zákazníků a klientů pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě a v takových případech je nutné zejména sledovat dodržování základních zásad zpracování.

Pokud jste neziskovka nebo menší firma, buďte v klidu. A udělejte následující:

Mějte pořádek v datech

Udělejte si vnitřní audit dat, pomocí kterého si zmapujete jaká data skladujete, za jakým účelem, kde, kdo k nim má přístup a zda máte souhlasy od občanů se zpracováváním jejich údajů. Pokud jste se přihlásili k odběru mého newsletteru, vzorovou tabulku na audit jsem vám poslala. Pokud ji ještě nemáte, napište mi.

Mějte pořádek v IT systémech

Udělejte si vnitřní audit svých počítačů, e-mailových schránek, online nástrojů. Jsou dostatečně zabezpečeny? Jsou online nástroje, které používáte, v souladu s GDPR?

Skladujte pouze relevantní data

K čemu držíte kontakt na účastníka kurzu z roku 2015, když jste mu od té doby nenapsali a ani se mu napsat nechystáte?

Mějte jasno, kde data skladujete a kdo k nim má přístup

Opravdu je bezpečné mít X excelových tabulek v X soukromých počítačích našich, i bývalých zaměstnanců?Jste si jistí, že k datům mají přístup pouze lidé, kteří je relevantně potřebují k výkonu své práce?

Mějte souhlas od všech, jejichž data nějakým způsobem zpracováváte

Připravte si různé typy formulářů pro získávání informovaných souhlasů. Chceme na e-mail posílat newsletter, potřebujeme souhlas. Chceme fotku vyvěsit na Facebook, potřebujeme souhlas. Souhlas může být písemný, ale stačí i souhlas elektronický (věta v e-mailu nebo zaškrtnutí pole ve formuláři a aktivní odeslání tohoto souhlasu).

Informujte své klienty a buďte jim k ruce

Buďte připraveni na situaci, kdy občan bude požadovat výpis dat, jejich úpravu nebo jejich smazání. Umíte je potom rychle smazat ze všech zařízení (opět, víte, kde všude leží) a skartovat všechny papíry? Určete si 1 – 2 kontaktní osoby, které budou případné požadavky občanů vyřizovat.

Mé doporučení ke skladování dat

Skladujte data (databáze kontaktů) v zabezpečeném cloudu a využívejte k tomu ověřené dodavatele cloudových služeb (např. Google, Microsoft, Mailchimp). Jejich role v rámci GDPR je role zpracovatelů dat, se kterými musíte mít uzavřenou smlouvu o zpracování. To je ten text, který jste odsouhlasili při registraci do služby.

Proč mít data v cloudu? Bezpečnost hodíte na jejich bedra a navíc budete mít snadný přehled o tom, komu jste data nasdíleli (automatické přehledy přístupů, snadný export, přehledné nastavení přístupových práv). V případě, že data aktualizujete, změna se projeví u všech, kteří s daty pracují. Odpadne vám ruční kontrola dat v excelových tabulkách v několika různých počítačích. Nastavíte si jednoduše typy přístupů, zabezpečíte hesly (ideálně dvoufázově, např. vstup na server přes potvrzovací kód v sms) a když vám zaměstnanec odejde, tak ho jednoduše odkliknete a zrušíte mu přístup. Přečtěte si více o tom, jak fungují cloudy a jaké cloudové systémy jsou vhodné pro neziskovky.

Mé doporučení k administrativě týkající se GDPR

Uvnitř organizace si sepište kodex chování/vnitřní směrnici, ve kterém popíšete procesy zpracovávání dat a domluvíte se v týmu, jak budete s daty přehledně a bezpečně pracovat. Určete si pravomoce, nastavte si pravidla, podepište např. na členské schůzi. Tento kodex chování je dobrovolný, ale samotné nařízení ho doporučuje. Struktura není dána, takže záleží na vás, s jakými formáty se vám lépe pracuje (dokument, tabulka nebo třeba myšlenková mapa?).
Pokud rozesíláte na své rozsáhlé databáze kontaktů hromadné e-maily s novinkami o organizaci a nemáte od příjemců informovaný souhlas (protože jste do té tabulky přepsali kontakty z vizitek, z e-mailů nebo přihlášek na akce), všechny znovu obešlete a o informovaný souhlas požádejte. Po 25. 5. 2018 novinky posílejte jen těm, kteří si o ně aktivně řekli (přihlásili se k odběru přes web, sociální síť nebo vám souhlas potvrdili e-mailem).
Pokud pořizujete na vámi organizovaných akcích fotografie, které dále zpracováváte pro propagační účely organizace, informujte o tom v pozvánce. Pokud zveřejňujete portrétovky či jiné fotky, kde lze jednoznačně identifikovat konkrétní osobu, a navíc fotku doplníte i jménem osoby, zajistěte si od ní souhlas. Stanovisko Úřadu pro ochranu osobních údajů k pořizování fotek či videozáznamu si nastudujte v tomto článku.
K přihláškám na akce (ať už papírovým nebo online, např. formou Google Formulářů) doplňte zatrhávátko se souhlasem o zpracování osobních údajů a specifikujte účel tohoto zpracování, např. údaje potřebujete pro organizační zajištění akce.
Pokud váš web zpracovává soubory cookies za účelem online marketingu (reklamy), informujte o tom návštěvníky webu oknem s tlačítkem Rozumím. Pravděpodobně však váš web žádné cookies nezpracovává. Určitě je schroustává, aby fungoval technicky správně a korektně, ale to holt potřebuje ke své existenci a na to se GDPR nevztahuje. Ověřte si, k čemu máte na webu cookies pomocí tohoto udělátka http://www.cookie-checker.com. Reklamní systémy a internetové prohlížeče (Google, Facebook Sklik apod.) by si měly tento souhlas ošéfovat samy.
Pokud provozujete nějaké placené služby (např. e-shop), sepište krátkou slohovou práci o tom, jak zpracováváte osobní údaje svých klientů a vyvěste ji na svém webu/e-shopu.

Pojďme více do detailů, ať se ještě více uklidníte

Co je zpracování osobních údajů

Jde o systematickou činnost, kdy daný údaj zpracováváte za určitým účelem. Např. na získaný e-mail posíláte newsletter, na telefonní číslo voláte s nabídkou služeb, ze získaných dat děláte statistiky nebo je využíváte pro personalizovanou reklamu pomocí online nástrojů.

Co je to osobní údaj
Jméno, příjmení, e-mail, IP adresa, telefon, cookies (i v ePrivacy), fotografie tváře apod.

Citlivé osobní údaje – politický názor, rasový nebo etnický původ, sexuální orientace, zdravotní stav apod. Přísný režim práce s daty se vztahuje na zdravotnická zařízení. Pokud poskytujete sociální služby, tak už byste korektní nakládání s osobními údaji měli dávno splňovat dle zákona č. 101/2000 Sb., o ochraně osobních údajů.

Co je obchodní sdělení
Jde o posílání nabídek na zboží, služby a jakýchkoliv dalších zpráv, které vedou k prodeji.

Kdo je subjekt údajů
Fyzická osoba, jejíž data přijímáte a dále zpracováváte. V tomhle článku používám slovo “občan”, příjde mi to humánnější než “subjekt”. Je to váš klient, dárce, spolupracovník, novinář, fanoušek apod.

Kdo je správce
Ten, kdo si vede databázi kontaktů a zpracovává ji pro účely vyplývající ze své činnosti.

Kdo je zpracovatel
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. V online světě to může být např. nástroj pro rozesílání newsletterů (Mailchimp, SmartEmailing apod).
Pro vás je důležité, aby veškeré online nástroje (zpracovatelé), které používáte, byly v souladu s obecným nařízením GDPR. Pravděpodobně vás už o této skutečnosti informovali e-mailem nebo najdete bližší informace na jejich webových stránkách.

Hlavní zásady GDPR

zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně.

Z toho vyplývá: Musíte mít ve svých databázích pořádek. Pokud po někom nějaké údaje chcete, musíte ho informovat o tom, proč je po něm chcete a co s nimi budete dělat. Např. pokud rozesíláte přihlášky na nějakou svou akci, jejich součástí by měl být souhlas s poskytnutím osobních údajů za účelem organizačního zajištění této akce. Pokud přihláška obsahuje i e-mail a vy na něj v budoucnu chcete zasílat další novinky a informace o organizaci, musíte do přihlášky přidat i další souhlas, tentokrát se zpracováním za účelem rozesílání pravidelného newsletteru.

omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely.

Z toho vyplývá: U příkladu přihlášky na akci, pokud chcete posílat klientům a) e-mail za účelem organizačního zajištění akce, b) e-mail za účelem rozesílání newsletteru, občan vám musí dát souhlasy dva. Na každý účel samostatný souhlas. Protože to, že se přihlašuje na konkrétní akci by nemělo automaticky znamenat, že mu v budoucnu můžete spamovat e-mail.

minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány, přesnost – osobní údaje musí být přesné.

Z toho vyplývá: Pokud chcete v přihlášce na akci např. znát i velikost bot, musí to být opravdu relevantní pro účely dané akce, např. příprava gumáků v různých velikostech pro přechod řeky. A musíte o tom občana informovat.

omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány.

Z toho vyplývá: Poté, co akce proběhne, včetně na ni navazujících akcí (např. zaslání zpětné vazby k akci), není důvod dále schraňovat data získaná od účastníků. Můžete si však nastavit různé lhůty zpracovávání a následně o nich občany informovat (třeba přímo v přihlášce, ve které žádáte o souhlas). Např. pro rozesílání newsletteru můžete data zpracovávat do té doby, než se občan z jejich odběru odhlásí. Nebo kontakty v databázi dobrovolníků můžete držet do jejich odhlášení a následně 2 roky poté. Lhůty nejsou důležité, důležité je o nich občana informovat.

integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.

Z toho vyplývá: Udržujte databáze v bezpečí. Mějte přehled o tom, kdo k nim má přístup a zda je tento přístup relevantní. GDPR nevyžaduje, abyste rovnou šifrovali e-mailovou komunikaci, ale nabádá k pořádku a takovému zabezpečení, které je ve vašich silách. Např. pokud skladujete papírové záznamy o klientech (z různých důvodů), měli byste je mít v trezoru. Zaměstnanci, kteří budou mít k záznamům přístup, by měli být vázáni mlčenlivostí a přistupovat k nim pouze v případě, že je to relevantní pro výkon jejich práce. Doporučuji to ošetřit dodatkem k pracovní smlouvě. Pokud je skladujete v cloudu, měli byste si být jisti, že je cloud dostatečně zabezpečený. Většina cloudových služeb už zapracovala vyšší zabezpečení a vydala nové obchodní podmínky v souladu s GDPR (Google, Microsoft, Dropbox, Mailchimp a další velcí poskytovatelé online uložišť).

Kdy tedy můžeme data zpracovávat?

Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

subjekt údajů udělil souhlas pro jeden či více konkrétních účelů, např. sám se aktivně přihlásil k odběru newsletteru přes váš web a ideálně prošel procesem tzv. double opt-in (potvrdil při zadání e-mailu svůj souhlas klikem na odkaz, který mu do e-mailu následně přišel a tím svůj souhlas 2x potvrdil) nebo zaškrtne souhlas ve formuláři (papírovém či online) a aktivně formulář podepíše/odešle.
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů, Např. u zaměstnanců, dobrovolníků, ale i zákazníků nakupujících ve vašem e-shopu.
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje, např. zákonná povinnost, povinnost vyplývající z příjmu dotace.
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. když jste záchranáři, hasiči, sociální služby a hlídáte zdravotní stav či bezpečí vašeho klienta.
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, např. pokud jste úřad, soud, policie apod.
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. Např. přímý marketing je oprávněný zájem (posílání newsletteru). Ale posílání newsletteru na e-mail dítěte už vám neprojde.

Musíme mít ke každému zpracování osobních údajů souhlas subjektu údajů?

Ne, nemusíte. Zejména tam, kde je zpracování nezbytné pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti se souhlas se zpracováním osobních údajů nevyžaduje. Jedná se třeba o zpracování nezbytné např. pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů zaměstnanců pro pracovněprávní účely (pro plnění pracovní smlouvy či plnění zákonem stanovených povinností ze strany zaměstnavatele).

Na co mám jako občan právo a co jako správce musím občanovi zajistit?

Přístup k údajům a právo na opravu

Kdykoliv mohu požádat o výpis svých údajů nebo jejich opravu. Pokud jste správce, musíte být na tuto situaci připraveni a schopni rychle a jednoduše takovýto export nebo opravu učinit.

Právo na výmaz (právo být zapomenut)

Jedná se o povinnost správce údaje zlikvidovat pokud:

už není důvod údaje zpracovávat,
občan požádá o smazání z databáze (odvolá souhlas),
občan vznese námitky proti zpracování,
osobní údaje byly zpracovány protiprávně,
osobní údaje musí být vymazány ke splnění právní povinnosti,
osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení.

Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.

Potřebujete pověřence?

Ne, pokud nejste orgán veřejné moci nebo velká IT firma systematicky zpracovávající a monitorující data. Bližší informace o nutnosti mít pověřence najdete v odpovědích Úřadu pro ochranu osobních údajů.

Musíte vést záznamy o činnosti?

Jde o obecné záznamy o činnosti práce s údaji, které prokazují soulad zpracování s obecným nařízením. Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob.