Rozcestník článku:

• Obecný úvod do tematiky GDPR
• Zásady a zákonnost zpracování osobních údajů
• Vzor souhlasu (ČUS) a pokyny k jeho aplikaci

Obecný úvod do tematiky GDPR

Nařízení Evropského parlament a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (zkráceně GDPR) začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Cílem vzniku Nařízení GDPR bylo hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i spolků, jednotlivců a online služeb, které zpracovávají data uživatelů.

Ač ochrana osobních údajů u nás platí od roku 1992 a úřad zřízený zákonem o ochraně osobních údajů  kontroluje povinnosti tímto zákonem uložené už téměř dvě desetiletí, pro ty, kteří si se zákonem starosti nedělali, jako by šlo o novou věc. Mediální kampaň, která se v posledních měsících kolem GDPR rozpoutala, vyvolává u mnohých téměř hysterické reakce, podobně jako tomu bylo před několika lety při zavádění nových hygienických předpisů. Kampaň přitom provází řada nesprávných a zavádějících informací, šířených v médiích a zaznívajících i na některých přednáškách. Informace v tomto článku vycházejí jen a pouze z následujících pramenů, kterými jsou: samotný text Nařízení GDPR (dostupný v češtině online v Úředním věstníku Evropské unie), příručka a další materiály Úřadu pro ochranu osobních údajů (dostupné na webových stránkách ÚOOÚ) a podklady zpracované ČUS (viz níže).

Pro orientaci v textu Nařízení je třeba rozumět několika základním pojmům. Základní z nich je samotné „zpracování osobních údajů“, což jsou operace s osobními údaji prováděné a pouze na ně se tato ochrana vztahuje (tedy ne na každé použití údaje nějakého člověka v jakékoliv situaci, jak se často mylně domnívají ti, kdo ochranu osobních údajů ztotožňují s ochranou osobnosti podle občanského zákoníku). Dalšími podobnými pojmy jsou třeba „subjekt údajů“, což je člověk, o jehož údaje jde, „správce“, což je ten, kdo operace s osobními údaji provádí buď z vlastního rozhodnutí, nebo proto, že je to jeho zákonnou povinností a „zpracovatel“, což je ten, koho správce prováděním takové činnosti pro něj smlouvou pověří.

Zásady a zákonnost zpracování osobních údajů

GDPR ve svém článku č. 5 určuje sedm zásad zpracování osobních údajů. Jsou jimi:

• zákonnost, korektnost a transparentnost (ve vztahu k „subjektu údajů“, tedy dotčené osobě, je třeba postupovat přehledně a dle dané legislativy)
• účelové omezení (shromažďování daných osobních informací je možné pouze pro určité, výslovně vyjádřené a legitimní účely, nikoli pro „strýčka Příhodu“)
• minimalizace údajů (přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu)
• přesnost (správce musí přijmout rozumná opatření, aby uchovávané informace měl aktuální)
• omezení uložení (po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány – pokud např. člověk ukončí členství v oddílu, je potřeba jeho informace z evidence vymazat)
• integrita a důvěrnost (zpracovávání informací způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením)
• odpovědnost (správce musí být schopen doložit dodržení souladu s těmito zásadami – např. pomocí vypracování vnitřního předpisu pro zacházení s osobními údaji)

Každý správce (tedy i sportovní spolek, který vede evidenci svých členů) bude povinen přijmout určitá opatření, jako je např. zmíněné vypracování vnitřního předpisu o zacházení s osobními údaji. ČUS připravuje pro své kluby metodiku zpracování těchto zásad a dalších bodů Nařízení GDPR a jakmile bude daná metodika hotová, předá informace o ní svým členským organizacím prostřednictvím svých krajských a okresních pracovišť (v případě pražských TJ/SK prostřednictvím PTU). Prvním z kroků pro harmonizaci stavu uvnitř TJ/SK s Nařízením je nové získání souhlasů se zpracováním osobních údajů od jednotlivých členů.

GDPR definuje (v článku č. 6) šest zákonných důvodů pro to, aby správce mohl dané údaje uchovávat. První z nich je samotný udělený souhlas od subjektu údajů (doložitelný, jasně definovaný akt – vzorový příklad pro TJ/SK viz následující kapitola tohoto článku). Získávat souhlas od subjektu údajů není třeba, pokud je splněn některý ze zbývajících 5 zákonných důvodů:

• nezbytnost pro splnění smlouvy (např. pokud nakoupíte zboží a chcete si ho nechat doručit, je logické, že prodejce potřebuje znát vaší adresu, jinak by nebyl schopen dostát svému závazku a nepotřebuje proto speciální souhlas, stejně tak údaje na pracovních smlouvách a podobně)
• splnění právní povinnosti (např. sportovní kluby jsou povinny na základě § 3a odst. 3 zákona 115/2001 Sb. o podpoře sportu evidovat určité údaje o svých členech)
• ochrana životně důležitých zájmů subjektu údajů (typicky zdravotnická zařízení uchovávají údaje o vašem zdravotním stavu)
• splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce za předpokladu, že nepřevažují zájmy subjektu údajů (např. kamerový systém pro ochranu majetku)

Vzor souhlasu a pokyny k jeho aplikaci

Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Nejprokazatelnější cestou je mít zaevidovaný podepsaný formulář souhlasu (v adekvátně zabezpečené podobě – dokumenty např. nesmějí být skladovány na volně přístupných místech). GDPR také nově nařizuje, že tento souhlas musí být samostatný a jasně odlišitelný – nelze ho tedy zahrnout do obchodních podmínek či členské přihlášky, jak tomu bylo dříve (v tomto případě nahlíží Nařízení na takový souhlas jako vynucený). Subjekt údajů má právo svůj souhlas kdykoli odvolat, což musí být stejně snadné jako jej poskytnout.

Z těchto informací logicky vyplývá, že formulář informovanosti a souhlasu je třeba nově nechat podepsat všechny členy (nejen nové, ale i stávající). Pokud stávající člen odmítne souhlas udělit, bude možné jeho údaje zpracovávat pouze v rozsahu potřebném pro splnění zákonných povinností. Podle stanoviska ČUS nebude muset být přijat nový zájemce o členství, pokud odmítne poskytnout údaje nutné k plnění povinností spolku. Je vhodné členům věnovat určitý čas a vysvětlit jim, že požadavek na poskytnutí jejich osobních údajů není samoúčelný – spolek potřebuje své členy jednoznačně identifikovat, aby jim mohl zajistit plnohodnotné využívání jejich práv, případně jednoznačně prokázat jejich existenci při dotačních žádostech či uplatnění hromadného pojištění.

Vzorový formulář Informace a Souhlas se zpracováním osobních údajů naleznete ke stažení ZDE.

Každá tělovýchovná jednota či sportovní klub si jej samozřejmě může upravit pro své účely – je však potřeba mít na paměti povinnosti vyjmenované v čl. 13 GDPR (např. uvést všechny účely zpracování či oprávněné zájmy a také kategorie příjemců získaných údajů). Další pokyny k harmonizaci sportovní spolkové evidence s Nařízením GDPR vám zprostředkujeme, jakmile je bude mít k dispozici od České unie sportu.

Ing. Pavla Šrůtová