10.6.2018
Orientační článek - Ochrana osobních údajů (GDPR) od 25.5.2018 - doporučení pro členské spolky
Ochrana osobních údajů (GDPR) od 25.5.2018
Svaz potápěčů Moravy a Slezska, z.s.
Doporučení pro členské spolky
vhodná pro pobočné spolky SPMS
a další sportovní subjekty
vypracovaná v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Dne 25.5.2018 vstoupí v účinnost Obecné nařízení EU č. 2016/679 (dále jen „GDPR“), které přináší pobočným spolkům (dále jen „subjektům“) nové povinnosti.
K tomu, abyste si mohli být jisti, že Váš subjekt zpracovává osobní údaje v souladu s GDPR, je třeba provést vnitřní audit. To znamená zjistit, jaké osobní údaje zpracováváte, za jakým účelem, z jakého právního důvodu, jakou dobu je uchováváte, a konečně jakým způsobem je máte zabezpečeny. V případě, že jste dosud datový audit neprovedli, SPMS Vám důrazně doporučuje k tomuto kroku přistoupit co nejdříve. Na podkladě výstupů zjištěných auditem je třeba posoudit, zdali osobní data zpracováváte legitimním způsobem, a současně vše zdokumentovat tak, abyste byli připraveni pro případ kontroly soulad s GDPR doložit.
S ohledem na shora popsanou problematiku, v situaci, kdy audit nebude mít pravděpodobně nikdo hotový, Vám doporučujeme od 25.5.2018 začít dodržovat minimálně tato základní pravidla:
- Zpracování osobních údajů musí být založeno na některém z právních důvodů. Zpracovávejte jen ty osobní údaje, které nezbytně potřebujete pro splnění zákonné povinnosti (například pojištění člena spolku dle zákona o pojišťovnictví nebo údaje zaměstnance nutné z důvodu pracovněprávní/mzdové agendy atd.), v souvislosti se smluvním plněním (například smlouvy spolku se zaměstnanci nebo s dodavateli - fyz. osobami), nebo na základě souhlasu dotčené osoby v kvalitě požadované GDPR (Informace o zpracování osobních údajů a Souhlas se zpracováním osobních údajů).
- Je třeba jasně vymezit, jaký záměr je zpracováním, uchováním osobních údajů sledován, tzn. je třeba určit účel zpracování osobních údajů. Tím je u spolku například vedení evidence členů spolku, vedení údajů k žádosti o finanční příspěvek z veřejných zdrojů, údaje potřebné k přihláškám/soupiskám ke sportovním soutěžím, vedení vnitřní personální agendy, vedení kontaktních údajů rodičů pro případ nahodilé události v rámci účasti dítěte na soutěžích, výcvikových táborech atd., propagace spolku/soutěží atd.
- Všechny způsoby a formy, rozsah zpracování a doba uchování osobních údajů musí být vždy přiměřené účelu zpracování. Tzn. uvádět pouze nezbytné údaje k dosažení účelu, např. na přihlášce do soutěže není nutné vyplňovat údaje o vzdělání, rodinných a majetkových poměrech atd. Současně ihned poté, co účel zpracování pomine, je třeba osobní údaje bezodkladně vymazat.
- Je třeba informovat členy spolku o zpracování osobních údajů a vyžádat souhlas se zpracováním osobních údajů. Vzorový formulář je v příloze. Souhlas je potřeba získat od stávajících i nových členů. Souhlas je potřeba uchovávat v takové podobě, aby byl doložitelný pro účely kontroly (elektronicky nebo písemně).
- Veškeré zpracovávané osobní údaje mějte náležitě zabezpečeny. Osobní údaje v papírové formě uchovávejte v uzamykatelných skříňkách. Osobní údaje v elektronické formě zabezpečujte standardními metodami – dbejte na to, aby měl každý člen své individuální heslo pro vstup do PC, stejně jako uživatelské jméno a další heslo pro vstup do informačních systémů, kde se nacházejí osobní údaje. Po ukončení práce v informačních systémech svůj profil vždy odhlaste.
- Nikdy nezálohujte osobní údaje členů z informačních databází na nezabezpečený externí disk.
- Nikdy nezpřístupňujte osobní údaje členů spolku třetím osobám, aniž by k tomu byl stanovený důvod zákonným či interním předpisem, případně smlouvou.
- Proveďte základní revizi smluv s Vašimi smluvními partnery a ujistěte se, že Vám uvedené smluvní dokumentace garantují, že osobní data členů budou vašimi partnery zpracovávána v souladu s GDPR.
- Bez souhlasu sportovců lze umisťovat jejich fotografie a jiné osobní údaje na webové stránky (sociální sítě nebo do tištěných zpravodajů) pouze za účelem zpravodajství z těchto sportovních událostí. Zdůrazňujeme, že se jedná pouze o fotografie pořízené v průběhu sportovního klání.
- Naopak pouze se souhlasem sportovců je možné prezentovat jejich fotografie a jiné osobní údaje na webové stránky (sociální sítě nebo do tištěných zpravodajů) za účelem marketingu (patří sem i pozvánky na sportovní akce). Zde není rozhodné, zda se jedná o fotografii pořízenou v průběhu sportovního klání či nikoliv.
- Vnitřní předpisy (stanovy nebo vnitřní směrnice) spolku by jako jednu z podmínek členství měly obsahovat souhlas členů s využitím jejich rodného čísla pro celou strukturu SPMS a SPČR za účelem evidence členů. Pokud tomu tak není (v současné době ve většině případů), je potřeba situaci výhledově řešit změnou obsahu stanov spolku nebo doplněním směrnic.
- V případě, že dojde k úniku osobních údajů, nebo k tomu máte pouze podezření, informujte neprodleně Úřad pro ochranu osobních údajů, a to do 72h od doby, kdy jste se o události dozvěděli.
- V případě, že si nevíte rady nebo potřebujete pomoci s provedením vnitřního auditu a vytvořením vnitřních předpisů dokládajících soulad s nařízením nebo naplněním některého z výše uvedených bodů, obraťte se na společnost GDPR Solutions a.s. https://www.gdprsolutions.cz/kontakty/.