GDPR v praxi, aneb jak lze aplikovat GDPR ve spolku
- Kategorie: Myslivost
- Komentáře (1)
- Autor: Kamil Jakoubek
Za poslední čtyři roky nás čeká již třetí zákonná úprava, která se velmi úzce dotýká činnosti mysliveckých spolků. V roce 2014 přišel nový občanský zákoník a s ním související transformace sdružení na spolky a povinnost podání návrhu na změnu zapsaných údajů spolku do veřejného rejstříku spolků. Poté rok 2016, kdy začala platit novela zákona o účetnictví a s tím spojená například povinnost zveřejňování účetní závěrky ve sbírce listin spolkového rejstříku. V letošním roce, konkrétně 25. května, začne platit Nařízení Evropského parlamentu a Rady o ochraně osobních údajů (známé pod zkratkou GDPR).
Jaký vliv na spolky bude mít toto nové nařízení bylo v minulosti popsáno v mnoha článcích odborných časopisů a na internetu. V těchto článcích se objevovaly informace o tom, na co by spolky neměly zapomenout, aby se dostaly do souladu se nařízením, jaká práva a povinnosti mají subjekty údajů (osoby, o kterých se uchovávají jejich osobní údaje – zpravidla členové spolku), a především jaké povinnosti mají správci údajů (v našem případě myslivecké spolky), popřípadě zpracovatelé (třetí osoby, které na základě smluvního vztahu zpracovávají osobní údaje za správce). Co mi v nich ale chybělo, byl jakýsi návod, jak postupovat při implementaci zmíněného nařízení v praxi. Tedy jaké konkrétní administrativní a procesní kroky je nutné provést, by se spolek dostal do souladu s nařízením.
Proto mi dovolte, abych i já přispěl svými poznatky a popsal postup (administrativní kroky), jakým způsobem lze postupovat při aplikaci GDPR, respektive jakým způsobem jsem postupoval ve spolku, jehož jsem členem. Otázka ochrany osobních údajů a potažmo aplikace GDPR je natolik rozsáhlá, že tento návod neberte jako závazný v tom smyslu, že při jeho dodržení bude drtivá většina spolků v souladu s uvedeným nařízením. Tak jak existují rozdíly mezi spolky, je nutné přistupovat i k tomuto návodu přistupovat z obezřetností a individuálně, aby při jeho menších či větších úpravách vyhovoval příslušnému spolku. Věřím však, že u většiny spolků nalezne shodu a výrazně jim pomůže při aplikace GDPR.
Problematika GDPR je velmi široká. Osobně si ale nemyslím (i přes výši možných sankcí), že by její dodržování někdo výrazně kontroloval na tak malé úrovni, jako jsou myslivecké spolky. Na druhou stranu jde o nařízení, které postihuje „všechny“, tedy i myslivecké spolky, a proto by mělo být v jejich zájmu, aby i u nich bylo vše aplikováno tak, jak má a dodržovalo se. Proto i já jsem k tomu přistoupil s plnou vážností tak, abychom měli ve spolku, jehož jsem členem, vše v souladu ještě před 25. květnem 2018, kdy nařízení vstupuje v platnost.
Na úvod bych všem spolkům doporučil, aby před samotnou implementací postupů souvisejících s aplikací GDPR pečlivě nastudovali příslušné nařízení tak, aby si každý, byť i laik, udělal obrázek, jak je materiál koncipován a čeho všeho se vlastně týká. České znění lze snadno dohledat i v elektronické podobě na internetu, například na stránkách https://www.gdpr.cz/gdpr/kompletni-zneni-gdpr/.
Prvním a nejdůležitějším krokem je provedení analýzy toho, kde všude a jaké osobní údaje spolek zpracovává, z jakého důvodu, za jakým účelem, na jak dlouho a kde v rámci spolku vznikají. Podle toho se pak určí důvod jejich zpracování, délka uchování, úroveň zabezpečení apod. Jde tedy o základní vymezení povinností správce ve vztahu k subjektu údajů, v našem případě členům spolku.
Ve spolku, jehož jsem členem, uchováváme osobní údaje pouze v seznamu členů spolku, který vytváříme podle stanov, a který slouží mimo evidence členů také pro potřeby mysliveckého a účetního výkaznictví. Mimo seznam členů v rámci našeho spolku, vznikají ještě seznamy účastníků honů, seznam odpracovaných brigádnických hodin členů spolku a v neposlední řadě také pořizujeme fotodokumentaci z mysliveckých akcí, která slouží pro potřeby propagace našeho spolku.
Jestliže jste dokázali rozklíčovat oblasti výskytu osobních údajů, pak v dalším kroku bude nutno zabezpečit jejich soulad s GDPR. U nás jsme museli řešit dvě hlavní oblasti:
- seznamy členů spolku, včetně seznamu odpracovaných brigádnických hodin členů,
- seznamy účastníků honů.
Samostatnou kapitolou pak byly fotografie ze společenských akcí.
Pozn.: Veškeré texty uvedené kurzívou jsou citace z příslušného Nařízení.
Seznam členů spolku, brigádnické činnosti a pořizování fotografií
Na začátku je nutné si říct, že seznamy členů spolku nemají podle nového občanského zákoníku č. 89/2012 Sb. povinnost spolky vytvářet. Jestliže jej spolek nevytváří, pak z pohledu nového nařízení nemusí nic měnit. Pokud si ale spolek ve svých stanovách zvolil, že jej bude vést, pak musí v rámci stanov udělat takové změny, které budou vyhovovat příslušnému nařízení. Upravené stanovy podle nového nařízení musí obsahovat minimálně tyto informace:
- popis způsobu zpracování (co, kdo, proč, jak a kdy s osobními údaji dělá), včetně informace, na jakém právním základě zpracování probíhá,
- účel (y) vytvoření seznamu členů spolku,
- stanovený rozsah osobních údajů (pozn.: je nutno dbát na zásadu minimalizace rozsahu zpracovávaných osobních údajů),
- způsob uložení a zabezpečení seznamu členů,
- definici procesů pro editace, výmaz a přístup k osobním údajům,
- dobu, po kterou budou osobní údaje zpracovávány (např. skartační lhůty atd.),
- případně další informace související s konkrétní podobou a charakterem zpracovávaných údajů (např.: způsob vedení záznamů o činnostech zpracování apod.).
Zpracování osobních údajů v seznamu členů je možné pouze zákonným způsobem. Právní základ zpracování má tedy velký vliv na to, jak daný popis článku, související se seznamem členů spolku ve stanovách, bude vypadat. Nařízení ve svém Článku 6 definuje tyto způsoby zákonného zpracování:
- subjekt údajů udělil souhlas se zpracováním osobních údajů; nebo
- je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů; nebo
- je zpracování nezbytné pro splnění právní povinnosti; nebo
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektů údajů; nebo
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu; nebo
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.
V případě mysliveckých spolků se nabízejí dva způsoby zákonného zpracování:
- zpracování na základě udělení souhlasu se zpracováním osobních údajů, v kombinaci se zpracováním na základě splnění nezbytné právní povinnosti (určeno správci zákonem, jde především o myslivecké a účetní výkaznictví),
- zpracování na základě účelů oprávněných zájmů spolku, opět v kombinaci se zpracováním na základě splnění nezbytné právní povinnosti.
Spolky tak mohou využít dvě varianty, jak přistoupit k definici článku související s vytvářením seznamu členů spolku ve stanovách. My jsme si po zvážení výhod a nevýhod jednotlivých možností nakonec zvolili variantu A).
VARIANTA A) Tvorba seznamu členů založená na základě udělení souhlasu členů a splnění nezbytných právních povinností. Tuto variantu je nutné, mimo definice textu článku ve stanovách, který bude obsahovat všechny potřebné náležitosti, doplnit o proces získání souhlasů podle nového nařízení. Tyto souhlasy je nutné evidovat a zabezpečit tak, jako samotný seznam členů spolku. U nás je za příslušný seznam a evidenci souhlasů odpovědný předseda spolku, což je zakotveno ve stanovách. Co vše musí obsahovat takový souhlas je přesně definováno především v článku 13, případně v článku 14 příslušného nařízení, kde je stanoveno vše, co musí být subjektu údajů v souhlasu sděleno, aby byl platný. Jde především o:
- totožnost a kontaktní údaje správce;
- případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
- oprávněné zájmy správce (pokud existují);
- případné příjemce nebo kategorie příjemců osobních údajů a
- případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
Vedle těchto informací poskytne správce subjektu údajů v okamžiku získání osobních údajů ještě tyto další informace:
- dobu, po kterou budou osobní údaje uloženy;
- existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
- existence práva odvolat kdykoli souhlas;
- existence práva podat stížnost u dozorového úřadu;
- skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů; a
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Článek související s vytvářením seznamu členů spolku ve stanovách pro variantu A) může mít například tuto podobu:
Čl. x – Seznam členů
/1/ Spolek vede za účelem evidence svých členů a brigádnické činnosti jejich neveřejný seznam. Seznam členů spolku obsahuje údaje o řádných členech, čekatelích řádného členství a adeptech spolku. Seznam členů je veden v písemné, tak i v elektronické podobě, která slouží jako záloha dat.
/2/ Údaje ze seznamu členů spolku jsou využívané pro potřeby interního chodu spolku. Dále pak jsou údaje zpracovávané za účelem splnění nezbytných právních povinností, především pro potřeby sestavení všech povinných mysliveckých výkazů ve smyslu zákona o myslivosti, v platném znění, a pro potřeby vedení účetnictví a sestavování účetních výkazů ve smyslu zákona o účetnictví, v platném znění. Za zpracování, evidenci, ochranu a bezpečné uložení těchto výkazů je zodpovědný myslivecký
a finanční hospodář.
/3/ Člen, čekatel řádného členství a adept svým členstvím ve spolku uděluje spolku, podle Zákona
o ochraně osobních údajů, v platném znění a podle Nařízení Evropského parlamentu a Rady
o ochraně osobních údajů (známé pod zkratkou GDPR), v platném znění, souhlas se zpracováním osobních údajů, a to i po dobu jednoho roku od zániku členství. Na údaje a výkazy vedené na základě nezbytných právních povinností se vážou zákonem stanovené skartační lhůty.
/4/ V seznamu členů se o členovi vedou tyto údaje: jméno a příjmení, rodné číslo, datum narození, adresa trvalého bydliště, poštovní a elektronická doručovací adresa, telefonní kontakt, rok vzniku členství v ČMMJ a ve spolku, typ vykonávané funkce ve spolku, číslo loveckého lístku, informace
o loveckém psu a seznam udělených zásluh a ocenění. Jeho součástí je také evidence souhlasů se zpracováním osobních údajů. Neposkytnutí těchto údajů znamená porušení členských povinností, a je postupováno podle Čl. 7, těchto stanov. Pozn.: jde o článek: „Důsledky porušení členských povinností“
/5/ Zápisy, změny a výmazy v seznamu členů se provádí na základě usnesení členské schůze nebo výboru spolku poté, co se dozví a vzniku nebo zániku členství nebo o změně údajů zapsaných v seznamu členů. Zápisy, změny a výmazy v seznamu členů provádí předseda.
/6/ Člen je povinen oznámit členské schůzi nebo výboru spolku každou změnu údajů evidovaných
v seznamu členů bez zbytečného odkladu poté, co změna nastala.
/7/ Seznam členů je zpřístupněn pouze členům spolku, a to v sídle spolku nebo v jiném místě, které určí předseda. Předseda je zároveň odpovědný za jeho ochranu a bezpečné uložení a je pověřen ke komunikaci s dozorovým úřadem.
/8/ Každý člen, a to i bývalý, obdrží na svou žádost od spolku na jeho náklady potvrzení s výpisem ze Seznamu členů obsahující údaje o své osobě, popřípadě potvrzení, že tyto údaje byly na základě žádosti člena změněny nebo vymazány. Na místo zemřelého člena může o potvrzení požádat jeho manžel, manželka, dítě nebo rodič, a není-li žádný z nich, může o vydání potvrzení žádat jiná osoba blízká nebo dědic, prokáží-li zájem hodný právní ochrany.
Výhodou tohoto řešení je z pohledu spolku fakt, že do souhlasu lze zakotvit mimo základního účelu zpracování osobních údajů také ty dodatečné, jako je např. pořizování fotografií z mysliveckých akcí, které spolek využívá pro svou propagační činnost, případně další, které by jinak musely být zakotveny složitě do stanov. Z pohledu členů je pak výhodou to, že se při jeho podpisu dozví všechny potřebné informace související se zpracováním osobních údajů, včetně svých práv. Nevýhodou této varianty je větší „byrokracie“ související se získáním souhlasů a možnost, že samotný souhlas má právo subjekt údajů (člen) odvolat. Toho bych se ale osobně neobával, protože se zpravidla všichni ve spolcích velmi dobře znají a se seznamy, které spolky vedly bez souhlasu, neměli do této doby žádný problém.
VARIANTA B) Tvorba seznamu členů založená na základě účelů oprávněných zájmů spolku (dáno stanovami) a splnění nezbytných právních povinností. Pro tuto variantu je nutné pouze vydefinovat text článku ve stanovách, který bude obsahovat všechny potřebné náležitosti.
Článek související s vytvářením seznamu členů spolku ve stanovách pro Variantu B) může mít například tuto podobu:
Čl. x - Seznam členů
/1/ Spolek vede za účelem evidence svých členů a brigádnické činnosti jejich neveřejný seznam. Seznam členů spolku obsahuje údaje o řádných členech, čekatelích řádného členství a adeptech spolku. Seznam členů je veden v písemné, tak i v elektronické podobě, která slouží jako záloha dat. Seznam členů je veden po dobu jednoho roku od zániku členství. Na údaje a výkazy vedené na základě nezbytných právních povinností se vážou zákonem stanovené skartační lhůty.
/2/ Údaje ze seznamu členů spolku jsou využívané primárně pro potřeby interního chodu spolku
a jsou zpracovány pro účely oprávněných zájmů spolku, které jsou definované těmito stanovami. Dále pak jsou údaje zpracovávané za účelem splnění nezbytných právních povinností, především pro potřeby sestavení všech povinných mysliveckých výkazů ve smyslu zákona o myslivosti, v platném znění, a pro potřeby vedení účetnictví a sestavování účetních výkazů ve smyslu zákona o účetnictví, v platném znění. Za zpracování, evidenci, ochranu a bezpečné uložení těchto výkazů je zodpovědný myslivecký a finanční hospodář.
/3/ V seznamu členů se o členovi vedou tyto údaje: jméno a příjmení, rodné číslo, datum narození, adresa trvalého bydliště, poštovní a elektronická doručovací adresa, telefonní kontakt, rok vzniku členství v ČMMJ a ve spolku, typ vykonávané funkce ve spolku, číslo loveckého lístku, informace
o loveckém psu a seznam udělených zásluh a ocenění. Neposkytnutí těchto údajů znamená porušení členských povinností, a je postupováno podle Čl. 7, těchto stanov. Pozn.: jde o článek: „Důsledky porušení členských povinností“
/4/ Zápisy, změny a výmazy v seznamu členů se provádí na základě usnesení členské schůze nebo výboru spolku poté, co se dozví a vzniku nebo zániku členství nebo o změně údajů zapsaných v seznamu členů. Zápisy, změny a výmazy v seznamu členů provádí předseda.
/5/ Člen je povinen oznámit členské schůzi nebo výboru spolku každou změnu údajů evidovaných
v seznamu členů bez zbytečného odkladu poté, co změna nastala.
/6/ Seznam členů je zpřístupněn pouze členům spolku, a to v sídle spolku nebo v jiném místě, které určí předseda. Předseda je zároveň odpovědný za jeho ochranu a bezpečné uložení a je pověřen ke komunikaci s dozorovým úřadem.
/7/ Každý člen, a to i bývalý, obdrží na svou žádost od spolku na jeho náklady potvrzení s výpisem ze Seznamu členů obsahující údaje o své osobě, popřípadě potvrzení, že tyto údaje byly na základě žádosti člena změněny nebo vymazány. Na místo zemřelého člena může o potvrzení požádat jeho manžel, manželka, dítě nebo rodič, a není-li žádný z nich, může o vydání potvrzení žádat jiná osoba blízká nebo dědic, prokáží-li zájem hodný právní ochrany.
Návrh možné podoby příslušného souhlasu a vzorů textu článku související s vytvářením seznamu členů spolku ve stanovách pro variantu A) i B) tak, jak jsem je vytvořil pro účely našeho spolku, si můžete stáhnout za tímto článkem, a to včetně návrhu podoby samotného seznamu členů a dalších příloh. Důležité je, aby byly souhlasy podle nového nařízení získány odděleně od každého člena.
Výběr vhodné varianty je čistě na vás a odráží se od potřeb spolku. Je ale důležité si pamatovat, že pro obě tyto varianty je vždy nutné upravit ve stanovách článek související se seznamem členů spolku, který musí mít potřebné náležitosti. Samotná podoba textu článku je závislá od potřeb spolku, tedy od účelu a rozsahu zpracování osobních údajů ve spolku. V případě varianty A) je navíc nutné dát podepsat souhlas se zpracováním osobních údajů všem členům spolku, který u varianty B) odpadá, což je hlavní výhodou této varianty.
Uvedené formulace textů stanov, které souvisí s článkem Seznam členů spolku, neobsahují informace o povinnosti vést záznamy o činnosti zpracování. V této otázce je výklad nařízení nejednoznačný. Podle mého názoru tyto záznamy spolky vést nemusí. V některých odborných článcích se však můžete dočíst opak. Proto nechávám na zvážení všem spolkům, zda vedení těchto seznamů do příslušných textů zahrnou či nikoli.
Seznamy účastníků akcí pořádaných spolkem (např.: účastníků honů, poplatkových lovů, střeleckých soutěží, zkoušek psů, dětí na dětském dnu apod.)
Seznamy účastníků společných akcí pořádaných spolkem musejí být opět pořizovány zákonným způsobem. Pro tento typ seznamů je podle mého názoru nejlépe použitelný způsob založený na tom, že subjekt údajů udělil souhlas se zpracováním osobních údajů. Zde je to tedy podobné jako u varianty A) související s tvorbou seznamu členů spolku. Jestliže se spolek rozhodne vytvářet seznam účastníků na společných akcích, který obsahuje více informací, než je pouhé jméno a příjmení, a příslušný seznam nevyplývá ze stanov nebo ze zákona, pak musí počítat s tím, že součástí daného seznamu musí být vždy žádost o udělení souhlasu se zpracováním osobních údajů pro každého účastníka společné akce. Tuto žádost lze vyhotovit stejným způsobem jako u seznamu členů, pouze je nutné ji upravit tak, aby vyhovovala potřebám příslušného seznamu. Alternativou by mohlo být použití zákonného zpracování založené na základě účelů oprávněných zájmů spolku, které by bylo dáno opět stanovami spolku. Oproti standardnímu seznamu členů spolku je však jeho definice podstatně složitější, především z pohledu definice konkrétního zájmu spolku. (Pozn.: Pozor u osobních údajů dětí, ty jsou brány jako velmi citlivé a jejich míra zpracování a zabezpečení je posuzována mnohem přísněji než u dospělých.)
Nicméně pokud tyto seznamy slouží jen pro potřeby příslušné akce (honu či naháňky), dále se nezpracovávají a nearchivují (po konci společné akce jsou skartovány), pak nevidím důvod je takto složitě vést. Proto doporučuji v podobných případech vést pouze jmenný seznam účastníků akce, který poslouží pouze pro evidenci plateb související s honem a eventuálně pro potřeby případného mysliveckého soudu na poslední leči. Tímto způsobem se vyhnete nutnosti získávání souhlasů, případně jiných úprav s tím souvisejících. Protože samotné jméno a přímení, pokud není doplněné o jiný údaj, který jednoznačně identifikuje danou osobu, není osobním údajem. Tyto seznamy tedy doporučuji vytvářet co nejjednodušeji tak, aby svým charakterem neobsahovaly osobní údaje, tedy nebyly doplněny například o číslo loveckého lístku, číslo zbrojního průkazu či pojištění, které lze kontrolovat pouze vizuálně bez nutnosti jejich zápisu.
Jsem si vědom, a chtěl bych, aby i ostatní spolky si byly vědomy toho, že tento návod administrativních úkonů není konečným řešením aplikace uvedeného nařízení, ale že je důležité dbát na to, aby byly definované procesy neustále dodržovány a kontrolovány tak, aby byl spolek neustále v souladu s tímto nařízením. Správce musí vždy jasně určit, jak má zpracování v definovaných oblastech probíhat, na jakém základě, jak mají být údaje zabezpečené. Zároveň musí pravidelně kontrolovat, že se tak v rámci spolku skutečně děje. Z tohoto důvodu doporučuji, aby si každý spolek ze svých řad zajistil jednoho svého člena (např. předsedu, či jiného člena výboru či spolku), který by na dodržování těchto procesů ve vztahu k právům a po povinnosti správce osobních údajů definovaných v tomto Nařízení dohlížel. Pokud to není v silách spolku zajistit, pak se tu nabízí možnost jmenování Pověřence pro ochranu osobních údajů.
Na závěr připomínám, že upravené stanovy musejí být schválené členskou schůzí spolku a musejí být zveřejněny ve sbírce listin spolkových rejstříků, kterou vedou krajské soudy (viz podání návrhu na změnu zapsaných údajů spolku do veřejného rejstříku spolku, které spolky absolvovaly poprvé před čtyřmi lety).
Autor:
Ing. Kamil Jakoubek
Myslivecký spolek Dobronín
Ilustrační foto Jaroslav Vogeltanz
Komentáře
RSS informační kanál komentářů k tomuto článku.