paragraf, vykřičník, zavináč

Jak vaši práci v neziskovce ovlivňuje zákon č. 101, který chrání osobní údaje

Databáze klientů, partnerů, dobrovolníků, sponzorů či jakýchkoliv dalších osob je klíčovým bohatstvím každé organizace. Možná vás ale nenapadlo, že shromažďování informací o lidech je řízeno zákonem, který určuje povinnosti toho, kdo informace sbírá a zpracovává. Seznamte se: Zákon č. 101/2000 Sb., o ochraně osobních údajů.

Upozornění: Autor článku není právník.

Text zákona je poměrně srozumitelný a neskrývají se v něm žádné kličky. Poměrně jasně definuje některé pojmy a vymezuje práva a povinnosti. Existuje zejména z důvodu ochrany osobnostních práv občanů, zároveň ale reguluje činnost subjektů, které data o občanech prostě potřebují ke své práci.

Zákon určuje podmínky práce s osobními údaji. Nezakazuje nikomu data zpracovávat, stanovuje podmínky, za jakých se tyto činnosti smějí provádět, aby nepoškozovaly práva občanů a zároveň poskytovaly jiným subjektům možnost s daty pracovat.

Co je vlastně osobní údaj?

Pouze selský rozum v tomto případě nestačí, o čemž svědčí hojné množství dotazů v poradně Úřadu pro ochranu osobních údajů. Podle Zákona č. 101/2000 Sb., o ochraně osobních údajů (dále jen „Zákon“), je osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu. Subjektem je fyzická osoba. Subjekt může být určen, pokud je možného identifikovat „na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“. Dále zákon definuje citlivý údaj: „osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů“.

Z toho vyplývá, že pokud si ve své databázi kontaktů neziskovka označí, že klient je Rom, katolík nebo trpí chorobou, jedná se o citlivý osobní údaj a musí být tedy zpracováván podle Zákona. Za samozřejmě osobní lze považovat údaje jako poštovní adresa, rodné číslo, číslo účtu atp.

Co je zpracování osobních údajů?

Data je nezbytné někde získat. Můžete využít veřejných zdrojů, jako jsou telefonní seznamy, webové stránky, registrační rejstříky právnických osob, profily sociálních sítí apod. Shromažďování zákon definuje jako „systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování“.
Pozdější zpracování je „jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace“.

Podle mého názoru – pokud si tedy databázi vedete a využíváte ji pro účely organizace – naplňujete podmínky Zákona. Co s tím dále, pokud nechcete zákon porušovat?

Co máme udělat, abychom Zákon neporušovali?

Zákon neporušujete tím, že data sbíráte, ale můžete ho porušovat tím, že

  • jste neoznámili Úřadu pro ochranu osobních údajů (UOOU), že tak činíte, a to před započetím této činnosti;
  • jste neinformovali subjekty, jejichž osobní údaje zpracováváte, že tak činíte.

Lze to napravit. Registrujte se na UOOU jako správce osobních údajů, Úřad vás do 30 dnů zaregistruje, čímž splníte zákonné požadavky. Mezi ně patří také následující.

Jako správce musíte určit účel zpracování osobních údajů a tento účel nepřekračovat. Data lze sbírat pouze k ohlášenému účelu a otevřeně, tedy bez záminek či podvodným jednáním.

Smíte určit zpracovatele dat, který údaje zpracovává za vámi definovaných podmínek. Zodpovědnost za něj nesete vy.

Data smíte shromažďovat pouze se souhlasem subjektů. To je ale značně nepraktické, Zákon naštěstí toto omezení zmírňuje, protože mnoho informací lze získat z veřejných zdrojů, na něž se omezení nevztahuje, ačkoliv získané údaje lze považovat za osobní.

Příklad: Adresu pracoviště, e-mail a telefon na člověka do firmy lze získat z veřejných zdrojů. Pokud je vaším dárcem a přispěl na transparentní účet (jehož výpis je veřejně dostupný na internetu), získáte také číslo jeho účtu. Má-li registraci na vašich webových stránkách, můžete získat jeho soukromou e-mailovou adresu (je-li zobrazena veřejně, nikoliv jen správci systému). Pokud použijete Google nebo sociální sítě (jako LinkedIN nebo Facebook), zjistíte další informace. Ačkoliv jsou to tedy údaje, který jej identifikují, všechny zdroje jsou veřejně dostupné (viz § 11, písm. c) Zákona).

Omezující pravidla se netýkají ani veřejně činných osob – úředníků, politiků (samozřejmě máme na mysli jejich údaje o jejich pracovním životě, nikoliv soukromé). Jejich informace je možné shromažďovat.

Subjektům, jejichž osobní údaje zpracováváte, musíte sdělit, že data zpracováváte podle Zákona, a vyžádat si jejich souhlas. Například na listinných dotaznících musí lidé vyjádřit souhlas, že jejich data budou zpracována podle Zákona. Na webových stránkách, kde požadujete osobní údaje (typicky v e-shopu), musí být tatáž informace.

Zpracovávat citlivé informace je možné pouze za splnění ještě přísnějších podmínek. Podstatné je, že Zákon pamatuje na neziskové organizace a povoluje jim tato data zpracovávat za splnění nezbytných okolností, které práci organizací nekriminalizují (§ 9, písm. e) Zákona).

Povinnosti jsou samozřejmě ještě další, např. musíte zajistit bezpečné uložení dat, zamezit přístupu neoprávněným osobám a zabránit zveřejnění. Pozoruhodné je nenápadné písmeno c) odstavce (4) § 13, kde stojí, že správce je při automatizovaném zpracování povinen „pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány“. Co je to přesně „automatizované zpracování“ Zákon ale nedefinuje. Pokud tedy používáte software, do kterého data vkládáte také ručně, tento požadavek se vás podle mého názoru netýká.

Každý subjekt, jehož data zpracováváte, může požadovat informace o tom, v jaké míře tak činíte. Samozřejmě může požadovat jejich likvidaci, správce je povinen data zlikvidovat a osobu o tom informovat (§ 12 Zákona).

Další podmínky se týkají prodeje osobních údajů a předání mimo hranice České republiky. Tyto informace pomíjím a odkazuji na text Zákona.

Zkomplikuje vám Zákon práci?

Do jisté míry se o malou komplikaci jedná – měli byste se registrovat jako správce, pokud pracujete s lidmi a uchováváte o nich informace. Pokud tak neučiníte, pohybujete se v šedé zóně – kdokoliv vás může nařknout z porušování Zákona. Registrací nic neztratíte, pouze přiznáte, že sbíráte informace jako spousta jiných subjektů (takový telefonní operátor toho o nás ví mnohem víc, než tušíme). Tím se zavážete k plnění zákonem definovaných povinností, které lze ale splnit poměrně snadno. Podle mého názoru to vaší organizaci prospěje a její činnost bude (chápána jako) transparentnější.

Zbývá vám možná jedna věc – vybrat si program, v němž si informace budete ukládat. Přečtěte si článek CRM pro neziskovky patří k základním nástrojům úspěšné organizace

Zdroje a praktické odkazy

Napsat komentář

Pin It on Pinterest