Aktuální informace o GDPR pro NNO a malé firmy

13. 03. 2018 12:00:00
Výklady nařízení GDPR jsou stále velmi různorodé. Je to dáno jeho obecností, nepochopením, ale zejména komerčními zájmy některých poradenských firem, které v aplikaci GDPR vidí nový zdroj svých příjmů.

Běžné nestátní neziskové organizaci nebo živnostníkovi nepřináší Nařízení Evropského Parlamentu a Rady 2016/679 (GDPR) příliš komplikací. Drtivá většina NNO a malých firem nemusí mít speciální software pro zabezpečení zpracování osobních údajů, nemusí jmenovat pověřence pro ochranu osobních údajů a pokud nemá více než 250 zaměstnanců, nemá ani povinnost vést záznamy o činnostech zpracování osobní údajů.

V České republice toto nařízení z velké části odpovídá právní úpravě podle stávajícího zákona č. 101/2000 Sb., o ochraně osobních údajů. A kdo se tímto zákonem řídí již dnes, nemusí tedy mít z GDPR obavy.

Audit zpracování osobních údajů si zvládne malá organizace udělat sama. V něm jde o to si ujasnit, jaké kategorie osobních údajů organizace zpracovává a k jakému účelu, kdo s nimi pracuje, kde jsou uloženy a jak jsou chráněny. Výstupem pak budou vnitřní směrnice o zpracování osobních údajů, které budou popisovat základní povinnosti organizace - "správce". Mnohé povinnosti jsou stejné nebo velmi podobné těm, které už musíme plnit podle zákona č. 101/2000 Sb., o ochraně osobních údajů.

A které povinnosti to například jsou?

Ujasnit si z jakých zákonných důvodů osobní údaje zpracováváte. Souhlas "subjektu osobních údajů", tedy člověka, kterého se týkají, je jen jedním, nejméně preferovaným z důvodů, jež ke zpracovávání opravňují – nejčastěji totiž půjde o zpracování na základě zákona, zpracování nutné ke splnění smluvních povinností nebo pro účely oprávněných zájmů příslušného správce.

Text tohoto souhlasu je třeba aktualizovat, protože GDPR stanovuje mírně odlišně od současné úpravy podmínky toho, kdy je souhlas musí být jednoznačný, srozumitelný, svobodný, konkrétní a informovaný. Tento doplněný souhlas budou podepisovat až noví klienti, zaměstnanci, dobrovolníci, stávající souhlasy zůstávají platné, pokud jsou svým obsahem a formou v souladu s požadavky GDPR. Mimochodem, víte, že souhlas s pořizováním a zveřejňováním fotografií a videozáznamů už je popsán v občanském zákoníku? Není to tedy také žádná nová povinnost.

Organizace či firma si musí si také uvědomit, jakou kategorii údajů zpracovává. Citlivé údaje, nově zvláštní kategorie údajů, se stejně jako dříve obecně zpracovávat nesmí, vyjma několika účelů v GDPR přímo uvedených. Patří mezi ně mimo jiné i zdravotní a sociální péče. Osobní údaje dětí se smí zpracovávat jen se souhlasem zákonného zástupce. Tady je nutné vyčkat schválení zákona o zpracování osobních údajů, který přesně určí věkovou hranici pro tento souhlas. V návrhu je prozatím stanovena na 13 let, starší děti by tedy mohly souhlas již udělovat samy.

Práva subjektů jsou již také velmi podobně popsána ve stávajícím zákoně č.101/2000 Sb., známe právo na přístup k údajům, na opravu údajů i na výmaz, tedy na "zapomenutí". Nově přibude právo na omezení zpracování a na přenositelnost údajů - zde zdůrazňuji, pokud je to technicky proveditelné.

Pokud pro "správce" osobní údaje někdo zpracovává, je třeba se dohodnout na aktualizaci smlouvy se zpracovatelem, aby její znění odpovídalo nařízením GDPR. Zvláště, pokud jde o přeshraniční zpracovávání. Což mimochodem může být i v případě, že máte údaje uložené na cloudu.

Výstupem z auditu pak bude vnitřní směrnice, popisující všechny procesy zpracování osobních údajů, nezbytnou dobu pro jejich uchování, odpovědné osoby a program jejich proškolování, technologie zpracování, zabezpečení a prevenci rizik, postupy při informování subjektů, a také případně dozorového orgánu, pokud dojde porušení zabezpečení údajů.

Tento text není přesný "návod k použití" ani neměnný výčet povinností. Každá organizace, firma či podnikatel jsou jiní, a to velikostí, činností, počtem zaměstnanců, klientelou a technickým vybavením. Každý se tedy musí novému nařízení přizpůsobit trochu jinak.

Některé změny může ještě přinést nový zákon o zpracování osobních údajů, který nahradí zákon č. 101/2000 Sb. a bude "prováděcím zákonem" GDPR. Nicméně GDPR bude platit, i když tento zákon nebude včas schválen.

Nechejte si poradit, ale nenechte se vystrašit. Informace získávejte od více zdrojů a porovnávejte. Doporučuji je ale získávat od firem a poradců, kteří vám v souvislosti s poskytnutými radami nebudou nabízet nějakou další navazující komerční službu.

Autor: Milada Šnajdrová | úterý 13.3.2018 12:00 | karma článku: 12.02 | přečteno: 1060x


Další články blogera

Milada Šnajdrová

Co se ví o GDPR - zážitky z terénu

Panika kolem GDPR se dá srovnat jen podzimním šílenstvím v bitvě o máslo. Kdekdo se budí nad ránem zbrocený potem, kde našetří nejpozději tak do letošních prázdnin 20 milionů EUR na první pokutu. Ale čest výjímkám!

7.5.2018 v 12:30 | Karma článku: 10.33 | Přečteno: 832 | Diskuse

Milada Šnajdrová

Což takhle řídit stát jako neziskovku

Mezi řízením státu a firmy jsou propastné rozdíly. Přesto se pro ni rozhodlo 18,9 % oprávněných voličů. Proto mne napadlo, jak by to vypadalo, kdyby někdo chtěl řídit stát jako nestátní neziskovou organizaci.

20.11.2017 v 12:30 | Karma článku: 10.02 | Přečteno: 939 |

Milada Šnajdrová

Mýty o neziskovkách - Neziskovky nic nezmůžou

Mýtus: Neziskovky jsou na okraji společnosti. Neziskové organizace nikoho nezajímají. Lidé z neziskovek se mají starat o potřebné a mlčet. Jít k volbám nemá cenu.

16.10.2017 v 12:30 | Karma článku: 9.15 | Přečteno: 688 |

Další články z rubriky Ekonomika

Karel Trčálek

Nechejte si svůj diesel, paní Šichtařová, já jdu pěšky

Automobilismus je smrtelnou chorobou naší civilizace, a je už jedno, jestli sedíme v elekromobilu, nebo v dieselu. Článek paní Šichtařové pak jen dokladá, že lidé jsou druhem určeným k vyhynutí či vyhubení, jako kdo chce

19.10.2018 v 18:45 | Karma článku: 19.76 | Přečteno: 714 | Diskuse

Lukáš Otys

Ždímáním firem za vyššími platy

Naše ekonomika vesele roste a životní úroveň stoupá. Nezaměstnanost je nejnižší za posledních 22 let a výdělky rostou nejrychleji od krize v roce 2008. Jsme na vrcholu, nebo ještě můžeme pár let stoupat?

19.10.2018 v 12:07 | Karma článku: 21.04 | Přečteno: 956 | Diskuse

Markéta Šichtařová

Nechte si svůj elektromobil, já jdu do diesela

Poslední týdny politici nevědí, co řešit dřív. Volby? Nesnadnou volbu koalice? Státní rozpočet? Brexit? Bobtnající dluh Itálie?

19.10.2018 v 8:00 | Karma článku: 47.58 | Přečteno: 12549 | Diskuse

Martin Fafílek

Minulost vpřed!

Proč nemáme moderní města a dopravní systémy? Protože se ochraňují ruiny. Chceme být skanzen nebo moderní země v TOP10?

16.10.2018 v 18:04 | Karma článku: 13.75 | Přečteno: 359 | Diskuse

Luboš Smrčka

Souzený policista, motorkář a informační asymetrie

Je dobře, že proběhl soud s policistou Šimonem Vaicem. Je dobře, že máme jasný rozsudek. A je špatně, že se věc stala politickým tématem.

13.10.2018 v 9:32 | Karma článku: 20.93 | Přečteno: 1124 | Diskuse
Počet článků 15 Celková karma 0.00 Průměrná čtenost 2300

Jsem nezávislý expert na neziskový sektor v České republice, pracuji jako poradkyně pro nestátní neziskové organizace ve všech provozních záležitostech. Jsem také lektorka vzdělávání dospělých a ráda přednáším měkké dovednosti zážitkovou formou. „Všechno má dobrý konec; a pokud to není dobré, ještě to není konec.“





Najdete na iDNES.cz