GDPR pre zbory

GDPR už dlhšiu dobu ovplyvňuje spracúvanie osobných údajov fyzických osôb. Tento článok je teda spracovaný za účelom oboznámenia sa s týmto nariadením. Prvá časť je venovaná teoretickému zoznámeniu sa s pojmami, ktoré toto nariadenie používa a druhá časť je jeho praktické využitie a ako ovplyvňuje nás ako organizáciu a zbory.

1. časť: Čo je GDPR?

GDPR (General Data Protection Regulation) alebo po slovensky všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Ide o nariadenie Európskeho parlamentu a Rady (EÚ), ktoré je priamo aplikovateľné v každom členskom štáte EÚ a je nadradené zákonom Slovenskej republiky, a teda aj aktuálne platnému Zákonu o ochrane osobných údajov.

Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné ľudské práva. Najdôležitejší je rešpekt súkromného a rodinného života či ochrana uchovávaných citlivých informácií o ostatných.

Osobný údaj

Týmto je každá informácia o identifikovanej alebo identifikovateľnej fyzickej osobe (dotknutá osoba). Identifikovateľnou fyzickou osobou je fyzická osoba, ktorú je možné priamo či nepriamo identifikovať, hlavne odkazom na určitý identifikátor (príkladom meno, číslo, sieťový identifikátor) alebo na jeden, či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Osobným údajom je akákoľvek informácia týkajúca sa identifikovanej či identifikovateľnej fyzickej osoby a skutočnosť, že identifikácia, resp. identifikovateľnosť, môže nastať rôznymi spôsobmi, nie vždy len podľa mena, priezviska, adresy a dátumu narodenia, ale i napr. kódom, ktorý je zamestnancovi pridelený či IP adresou atď.

Okrem osobných údajov existuje zvláštna kategória osobných údajov, tzv. citlivé údaje. Tieto údaje sú takého charakteru, že môžu dotknutú osobu samu o sebe poškodiť v spoločnosti, v zamestnaní, v škole, či môžu zapríčiniť jej diskrimináciu. Z tohto dôvodu je taxatívne (úplným vymenovaním) vymedzená skupina údajov, ktoré sú považované voči dotknutej osobe za citlivé a  je im poskytnutá zvýšená ochrana pri ich spracúvaní.

Citlivými údajmi sú také osobné údaje, ktoré vypovedajú o rasovom či etnickom pôvode, politických názoroch, náboženskom vyznaní či filozofickom presvedčení, členstve v odboroch, zdravotnom stave či o sexuálnom živote alebo sexuálnej orientácii fyzickej osoby. Považované sú za ne aj genetické a biometrické údaje, ktoré sú spracúvané za účelom jedinečnej identifikácie fyzickej osoby. V našej organizácii tak ide hlavne o zmienené údaje o zdravotnom stave, ktoré spracúvame obvykle len na základe výslovného súhlasu člena alebo jeho zákonného zástupcu. Pri týchto údajoch je treba maximálne dôsledne dbať na to, aby boli veľmi dobre zabezpečené – najlepšie v uzamykateľnej schránke (šuplíku/ skrini v klubovni, bedni na tábore), do ktorej má prístup jasne vymedzený okruh osôb. Ak tieto údaje uchovávame digitálne, napr. na pracovnej ploche, je potrebné mať tento dokument zaheslovaný. Ak ho uchovávame digitálne na online disku, ku ktorému má prístup len jedna osoba, nie je potrebné naviac tento dokument zaheslovávať.

Prevádzkovateľ

Každé spracúvanie osobných údajov – napr. na prihláškach detí idúcich na tábor – má svojho prevádzkovateľa. Tým je vo všeobecnej rovine každá fyzická alebo právnická osoba, ktorá určuje účel a prostriedky spracúvania osobných údajov. V našom prípade tak pôjde o hlavný Slovenský skauting, ako aj o jeho všetky nižšie organizačné jednotky – zbory, pokiaľ spracúvajú osobné údaje. Prevádzkovateľom, v prípade našej organizácie, nie sú jednotlivé fyzické osoby – vedúci, ale len občianske združenie a jeho jednotlivé organizačné jednotky.

Poverená osoba

Osoba, ktorá má na základe poverenia prevádzkovateľa prístup k osobným údajom. V našej organizácii sú to predovšetkým ľudia v riadiacej línii,  tz. radcovia, oddieloví vodcovia, zboroví vodcovia, členovia rád všetkých stupňov. Ďalej ide aj o osoby mimo riadiace línie – teda o zdravotníkov, vedúcich podujatia, tajomníkov atď. Zodpovednosť za spracúvanie osobných údajov podľa daných predpisov v prvom rade nesie vždy prevádzkovateľ, t. j. samotné občianske združenie  a jeho jednotlivé organizačné jednotky.

Sprostredkovateľ

Ďalšou osobou, ktorá sa môže na spracúvaní osobných údajov podieľať, je sprostredkovateľ.  Všeobecne je ním subjekt, s ktorým prevádzkovateľ uzatvorí zmluvu, aby pre neho sprostredkovateľ robil určité činnosti, ktorých predpokladom je aj spracúvanie osobných údajov. Inými slovami – spracúva osobné údaje v mene a pre prevádzkovateľa. Nie je povinnosťou prevádzkovateľa najať si sprostredkovateľa, tj. sprostredkovateľ nie je nutný prvok spracúvania. Sprostredkovateľom nie je jednotlivý zamestnanec prevádzkovateľa (napr. účtovník či personalista prevádzkovateľa a ani iný jeho vnútorný útvar, teda ani vedúci v organizácii). Typickým sprostredkovateľom pre potreby našej organizácie je externá účtovná spoločnosť alebo poskytovateľ cloudového úložiska. Od prevádzkovateľa sa sprostredkovateľ líši tým, že v rámci činnosti pre prevádzkovateľa môže vykonávať len také spracovateľské operácie, ktorými ho prevádzkovateľ poverí alebo vyplývajú z činnosti, ktorá je predmetom zmluvného vzťahu uzatvoreného medzi sprostredkovateľom a prevádzkovateľom.

Dotknutá osoba

Dotknutá osoba je fyzická osoba, ktorej osobné údaje sa spracúvajú. V našom prípade je to nielen každý člen našej organizácie, ale tiež osoby, ktoré sa zúčastňujú našich akcií a my o nich spracúvame osobné údaje (deti, nečlenovia zúčastňujúci sa výprav a táborov, externí zdravotníci a pod.) Dotknutá osoba nie je právnická osoba. Údaje vzťahujúce sa výlučne k právnickej osobe tak nie sú osobnými údajmi. Osobným údajom však je e-mailová adresa zamestnanca právnickej osoby, typicky v tvare meno.priezvisko@firma.sk alebo údaje o konkrétnych osobách oprávnených konať v jej mene.

Spracúvanie osobných údajov

Osobné údaje môžu byť spracúvané len:

• na základe stanoveného účelu,
• na základe právneho dôvodu,
• v rozsahu,
• spôsobom, a prostriedkami, ktoré určí prevádzkovateľ.

V našej organizácii sú osobné údaje spracúvané v zmysle podmienok ochrany osobných údajov, ktoré sú zverejnené na webovej stránke www.skauting.sk/gdpr. Tieto podmienky sú platné naprieč celou organizáciou.

Vychádzame takisto aj zo smernice o ochrane osobných údajov, ktorá je zverejnená na webovej stránke v sekcii dokumenty-interné smernice-ústredie. Táto smernica reguluje spracúvanie osobných údajov na všetky účely, pre ktoré naša organizácia osobné údaje spracúva. Keďže ide o smernicu, ktorá je súčasťou vnútorného riadenia a platí naprieč celou organizáciou, nie je nutné tieto účely v zboroch meniť.

Aké sú právne dôvody na spracovanie osobných údajov dotknutej osoby?

Osobné údaje je možné spracúvať, pokiaľ je prítomný niektorý z právnych základov. Pre našu činnosť je relevantné najmä:

• spracúvanie nevyhnutné pre splnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje (evidencia členov pre účely dotácie, spracovanie zdravotných údajov na základe zákona o ochrane verejného zdravia – vykonávanie dohľadu nad deťmi v oddiele a na tábore, poučenie ostatných vedúcich o zdravotnom a stravovacom obmedzení),
• dotknutá osoba udelila súhlas pre jeden alebo viac konkrétnych účelov (v našej organizácii typicky ide o súhlas s vyhotovením a spracúvaním fotografie),
• spracúvanie nevyhnutné pre plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba alebo pre vykonanie opatrení pred uzavretím zmluvy na žiadosť dotknutej osoby (týka sa to napr. údajov prenajímateľa, s ktorým uzatvárate zmluvu za účelom nájmu táboriska).

Existujú aj ďalšie právne dôvody pre spracúvanie osobných údajov (všetky sú uvedené v čl. 6 nariadenia GDPR), avšak tie pre našu činnosť nemajú taký význam. V prípade súhlasu ako jedného z právnych dôvodov platí, že osoba ho môže kedykoľvek odvolať a tým prevádzkovateľ stráca právo na spracúvanie týchto údajov (týka sa najmä zhotovenia fotografií). Ďalej je potrebné si uvedomiť, že vo veľa prípadoch v rámci našej činnosti spracúvame osobné údaje na právnom základe splnenia zákonnej povinnosti – viď vyššie a osobné údaje na základe súhlasu dotknutej osoby spracúvame len v špecifických prípadoch.

V prípade údajov spracúvaných na základe súhlasu, musí byť súhlas daný transparentným a dobrovoľným spôsobom. Práve k tomu slúžia nami doporučené vzory dokumentov, ktoré nájdete nižšie na stránke ako prílohy. Rovnako tak, pokiaľ sa na základe údajov rozhodnete svojim členom alebo podporovateľom posielať newsletter, je potrebné do každej tejto správy (obvykle do pätičky emailu) pripojiť možnosť sa z toho newsletteru odhlásiť. Pokiaľ na webe zhromažďujete videá a fotografie osôb k verejnej propagácii, je vhodné na stránky pripojiť informácie o tom, že tieto materiály sú spracúvané na základe súhlasu členov.

Dôrazne odporúčame pre štandardné potreby využívať doporučené vzory prihlášok a ďalších dokumentov a nepokúšať sa robiť si vlastné vzory zvlášť. Neodporúčame ani vytvárať dokument s generálnym súhlasom na spracovanie všetkých osobných údajov, pretože je to v priamom rozpore s nariadením GDPR a zásadou transparentnosti.

Akým spôsobom je možné spracovávať osobné údaje?

Okrem dodržania vyššie uvedených pravidiel musí prevádzkovateľ prijať s ohľadom na povahu, rozsah, účely spracúvania také technické a organizačné opatrenia, aby zaistil a bol schopný doložiť, že osobné údaje sú spracúvané v súlade s GDPR a zaistil primeranú úroveň bezpečnosti a ochrany osobných údajov. Každá organizačná jednotka prevádzkovateľa tak bude musieť prijať adekvátne bezpečnostné opatrenia a u každej organizačnej  jednotky prevádzkovateľa takéto opatrenie môže byť práve s ohľadom na povahu, rozsah a účely spracovania, odlišné.

V praktickej rovine bude rozdiel v spracúvaní zoznamu prezývok družiny, u ktorých nie je problém, aby napr. viseli na nástenke v klubovni. V prípade mien a adries detí bude nutné prijať väčšie opatrenia, napr. tieto údaje neposielať mailom ľuďom mimo zboru alebo inou službou, ktorá neuchováva dáta v EÚ. Ďalej papierové podoby týchto údajov je možné sprístupniť len vybranému okruhu osôb v súlade so smernicou. V prípade citlivých údajov – typicky údaj o zdravotnom stave člena – je dôležité, aby boli veľmi dobre elektronicky a fyzicky zabezpečené, aby k nim mal prístup len úzky okruh osôb, ktoré naozaj pre svoju činnosť tieto údaje nevyhnutne potrebujú (napr. na tábore to bude zdravotník).

Preto odporúčame  spracúvať osobné údaje najmä v systéme Teepee. Taktiež odporúčame zaistiť ochranu elektronickej podoby údajov aspoň zaheslovaním všetkých zariadení, cez ktoré jednotlivé poverené osoby k osobným údajom pristupujú. Je potrebné poučiť vedúcich, nech sa odhlasujú z Teepee, pokiaľ majú údaje na externom PC/telefóne, teda na svojom, je potrebné, aby ich mali zaheslované a chránené ochranným softwareom (antivírus, firewall a i.). Samozrejmosťou je zdieľanie týchto údajov len s osobami, ktoré k nim majú mať prístup.

2. časť: Praktické tipy

Použitie v zbore

1. Zborový vodca (štatutár) v mene občianskeho združenia uzatvorí zmluvu o dobrovoľníckej činnosti s vedúcimi (oddieloví vodcovia, radcovia). Ujasnia si tam činnosti. Nad 18 rokov podpíše dospelý člen. Pod 18 rokov jeho zákonný zástupca.
2. K osobným údajom máte prístup hierarchicky. Radca môže mať prístup k osobným údajom družinky. Oddielový vodca má prístup k oddielovým. Zborový vodca má prístup k všetkým údajom v zbore. Je potrebné ich poučiť, čo je osobný údaj a ako sa s ním zaobchádza.
3. Osobné údaje, ktoré sú poskytnuté na papieri, je potrebné uchovávať zamknuté a nie voľne prístupné všetkým členom.
4. V mailovej komunikácii neposielať osobné údaje. Ak ich tak pošlete, pošlite ich v zaheslovanom dokumente a heslo pošlite iným kanálom. Stále platí, že osobné údaje posielate len tým ľuďom, ktorí majú nárok na ich spracovanie. Pr.: Ak chcem poslať radcovi druhej družiny mená, kto ide na oddielovú výpravu, môžem to urobiť bez problémov. Ak však chcem poslať s tými menami aj dátum narodenia, pošlem mu to v zahlesovanom dokumente.
5. Osobné údaje uložené v počítači je potrebné mať tiež zaheslované. Ak však mám osobné údaje v tabuľke na disku Google Drive, ku ktorému pristupujem cez svoj účet, nie je potrebné túto tabuľku zaheslovať, pokiaľ k disku nemá prístup nikto iný, teda tento disk s nikým nezdieľam.
6. Pokiaľ rodič neudelí súhlas na fotografovanie jeho dieťaťa počas udalosti, nie je možné vyhotovovať fotografie daného dieťaťa.
7. K údaju o zdraví počas podujatia by mal mať prístup len zdravotník, ochrana týchto údajov by mala byť dobre zabezpečená.
8. Doby uchovávania jednotlivých údajov nájdete na www.skauting.sk/gdpr.

Webové stránky

Je potrebné mať zachytené na stránkach súbory cookies. Vytvorí sa plugin pre cookies na lištu, kde musí byť predvolené zaškrtnutie nevyhnutných cookies. Tie musia byť povolené vždy, aby naša webová stránka riadne fungovala. Návod, ako si správne nastaviť cookies lištu, nájdete samostatne v návodoch na stránke.

Zásady sú tiež na zvlášť podstránke, kde sa na ňu dostane užívateľ po kliku.

Kontaktný formulár

V prípade, že máte na vašej webovej stránke kontaktný formulár, kde vás môže potenciálny člen či rodič kontaktovať, je potrebné dodržať isté podmienky:

• Pri formulári mať uvedenú formuláciu: “Vaše osobné údaje spracúvame na účely spätného kontaktovania pri prejavení záujmu o prihlásenie Vášho dieťaťa do nášho zboru. Bližšie informácie nájdete na Podmienky ochrany osobných údajov (www.skauting.sk/gdpr). Poskytnutie týchto osobných údajov je dobrovoľné.”
• Mať prítomné zaškrtávacie políčko, bez ktorého zaškrtnutia nebude možné formulár odoslať. Pri ňom je potrebné mať nasledovnú formuláciu: “Oboznámil/a som sa s Podmienkami ochrany osobných údajov Slovenského skautingu. (Preklik na stránku)”
• Správca formuláru uchováva osobné údaje po dobu trvania súhlasu, najdlhšie však po dobu vybavenia dopytu a/alebo zodpovedania otázky.

Príklad kontaktného formuláru, ktorý môžete použiť:

Prihlášky

Tu sa nachádzajú 3 univerzálne prihlášky pre väčšinu prípadov:

1. Registračná prihláška na skauting dieťaťa či dospelého človeka

Túto prihlášku vyplní človek 1-krát a obnovuje sa vždy, keď zaplatí registračný poplatok. Nie je potrebné ju teda vypĺňať každý rok. Štatutárny zástupca zboru, tj. zborový vodca, si túto prihlášku riadne uchová na zabezpečenom mieste, aby k nej nemali prístup iní členovia zboru, okrem vedúcich tohto člena. Prihlášku je nutné získať v papierovej forme s riadnym podpisom zákonného zástupcu.

Na základe tejto prihlášky môže zborový vodca prihlásiť tohto člena do systému Teepee.

V prípade nezaplatenia členstva, sa členstvo ruší a prihláška sa uchováva na evidenčné účely ešte 4 roky.

2. Prihláška na akciu pre ČLENA

Táto prihláška sa môže používať na ktorékoľvek podujatie/ tábor pre člena našej organizácie. Líši sa od prihlášky pre NEčlena poskytnutými súhlasmi. Keďže člen nám tieto údaje poskytol pri registrácii, nie je potrebné si ich opäť žiadať. Prihlášku je nutné získať v papierovej forme s riadnym podpisom zákonného zástupcu.

Túto prihlášku je možné uchovávať po dobu trvania podujatia, najviac však 1 mesiac po jeho ukončení.

3. Prihláška na akékoľvek podujatie pre ČLENA/NEČLENA

Táto prihláška sa líši od tej pre nášho člena poskytnutými súhlasmi. Keďže člen nám tieto údaje poskytol pri registrácii, nie je potrebné si ich žiadať. U nečlena je potrebné, si tieto súhlasy k danému podujatiu žiadať. Prihlášku je nutné získať v papierovej forme s riadnym podpisom zákonného zástupcu.

Túto prihlášku je možné uchovávať po dobu trvania podujatia, najviac však 1 mesiac po jeho ukončení.

To isté platí o potvrdení zdravotnej spôsobilosti dieťaťa/vedúceho či potvrdenie o bezinfekčnosti, nakoľko sa tam nachádzajú citlivé údaje o dotknutej osobe.

V prílohách nájdete aj Zmluvy o dobrovoľníckej činnosti, ktoré si vyplňte naprieč zborom, pokiaľ niekto vykonáva v zbore nejakú funkciu. Nájdete tam príkladné zmluvy na 3 funkcie: Zborový vodca, Oddielový vodca, Radca.

Prihlášky a citlivé dokumenty po dobe platnosti udeleného súhlasu, teda možnosti ich legálneho uchovávania, je nutné riadne zlikvidovať: vyhodiť roztrhané do koša alebo skartovať.

Na stiahnutie