Změny v návaznosti na GDPR

Koncem května 2018 vešlo v platnost Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation - GDPR). To přineslo změny i do nakládání s daty ze strany ČSTS. Na pár základních změn jsme se zeptali pověřence pro ochranu osobních údajů ČSTS Tibora Stano.

Na webu ČSTS je momentálně nedostupná stránka členské základny. Když se chce někdo podívat, jakou má určitý tanečník třídu a výsledky na soutěžích, nemůže. Je to dočasný stav? A co všechno uvidíme po úpravách webu?
Ano, systém bude znovu zprovozněn, momentálně připravuji návrh pro VR. Podle mého názoru budou výsledky dostupné jako dosud. Ale do budoucna již nebude možné se z našich stránek dozvědět tolik informací o jednotlivých soutěžících. Za optimální považuji, že ze stránek zjistíte o soutěžících jméno, příjmení, umístění, třídu, počet bodů, umístění v ranklistu, IDT, věkovou kategorii, klubovou příslušnost. U členů, kterým členství není zprostředkováno, pak považuji za dostatečně anonymizující údaj o okresu, ze kterého pocházejí. Údaj o obci nebo městu už považuji za moc konkrétní, a tedy z hlediska GDPR nepoužitelný. Jde v podstatě o podobný formát, jaký je použit u výsledků párů na stránkách WDSF. Takto by to bylo dle mého názoru s GDPR a ostatními předpisy v pořádku. Zcela odlišná ale bude situace u evidence členů a jejich evidovaných osobních údajích v členské databázi. K těm bude mít přístup pouze omezený přístup oprávněných osob, které budou současně zavázány mlčenlivostí.    

GDPR působí na první pohled jako strašák, který dokonce v českých podmínkách vypadá drsnější než v jiných zemích? Je to tak?
Podle mne je reakce v Česku zbytečně přemrštěná. Rozhodně bych neřekl, že jde o špatnou normu, naopak. Celý systém ochrany osobních údajů GDPR doplňuje a sjednocuje. Ochrana osobních údajů není u nás nic nového. Ještě před účinností zákona o ochraně osobních údajů z roku 2000 byly a stále jsou osobní údaje chráněny občanským zákoníkem. Spíše mi připadá, že až po kampani ke GDPR to všem teprve došlo. Samotné GDPR, zjednodušeně řečeno, se zabývá nad rámec dosavadního právního systému hlouběji tím, kde máte osobní údaje o fyzických osobách uloženy, jak je zpracováváte, proč je zpracováváte, jak je máte chráněny a zda je vůbec zpracovávat potřebujete.

Co všechno je vlastně osobní údaj?
Osobní údaj dle čl. 4 odst. (1) GDPR je definován jako: „Veškeré informace o identifikované nebo identifikovatelné fyzické osobě, identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“

Asi není vhodné uvádět na webu kontakt na člena. To musí mít sekretariát pro zajištění agendy, ale asi to nemusí být na webu. Ale když k tomu dá souhlas?
Bez souhlasu člena a u osob mladších 16-ti bez souhlasu zákonného zástupce kontakt uvádět nelze, se souhlasem samozřejmě ano. Pro evidenční potřeby samotného svazu je vedena členská databáze, která není veřejně přístupná, její vedení vyplývá ze zákona, konkrétně z Občanského zákoníku, a tam souhlas člena k evidování jeho osobních údajů v členské databázi není zapotřebí. Jak jsem již napsal, členská databáze nesmí být veřejná a přístup k ní musí mít jen omezený okruh oprávněných osob, které jsou zavázány současně mlčenlivostí.

Děkujeme. GDPR bude jedním z témat, která jsou součástí doškolovacího semináře plánovaného na 1. září v Mikulově.
O dalších důležitých informacích a vývoji v oblasti ochrany osobních dat vás budeme samozřejmě informovat.

(mr)