Tímto článkem bych chtěl hromadně reagovat na narůstající dotazy ohledně problematiky nového Nařízení Evropského parlamentu a Rady č. 2016/679 tzv. obecné nařízení o ochraně osobních údajů, známé také pod zkratkou GDPR.
Drtivou většinu dotazů vystihuje email Ing. Radomíra M. z Ústecka, který mi napsal: „Vážený pane advokáte, předseda MS zaregistroval, že v roce 2018 přijde novela ochrany osobních údajů. Je pravda, že se také kromě práva myslivosti zabýváte i touto problematikou? Na schůzi jsem byl totiž pověřen, abych zjistil informace – co přináší nová právní úprava, zda se dotkne činnosti MS a případně jaké povinnosti nám z toho plynou. Pokud jste činný i v této oblasti, mohl byste nám poskytnout základní informace?“
V roce 2018, konkrétně 25. května, opravdu vejde v účinnost nové nařízení GDPR, které nastolí v oblasti ochrany osobních údajů podstatné změny. Nejedná se proto o novelu, ale o kompletní rekodifikaci, tj. úplně nový právní předpis. Ten bude rušit dosavadní předpisy - v ČR nahradí zákon č. 101/2000 Sb.
Také je pravdou, že se v mé kanceláři touto problematikou intenzivně zabýváme již několik let. Problematika ochrany osobních údajů totiž za poslední dobu nabyla na velké důležitosti, jedná se o úzce specializovanou oblast a jen málo subjektů problematice rozumí. Ochrana osobních údajů je totiž komplexní oblastí. Je potřeba mít jednak právní znalosti, ale i znalosti z oblasti IT. Jen komplexní přístup to umožňuje udržet si silnou pozici v této oblasti a účelně tak pomáhat bezpočtu organizací v celé České republice.
Proto jsme například v naší kanceláři vybudovali celý tým lidí, který se speciálně problematikou GDPR zabývá. Tento tým spolupracuje s obcemi, školami, příspěvkovými organizacemi, se samotnými spolky nebo také s živnostníky, malými i velkým firmami.
Klienti potřebují dostat profesionální komplexní servis spojený s ochranou osobních údajů a nově i GDPR. Mohou si nechat vypracovat právní dokumenty (typicky souhlasy se zpracováním údajů), upravit smlouvy a analyzovat zacházení organizací s údaji.
Pro zájemce jsou připravena také školení managementu a zaměstnanců (viz projekt GDPR do škol –
www.scholaservis.cz/gdpr-do-skol/).
Nově v souladu s GDPR může zájemcům pomoci také služba tzv. pověřence (k tomu viz níže).
Pokud tedy tušíte, že v oblasti ochrany osobních údajů potřebujete pomoci, tak se na nás neváhejte obrátit. Stačí napsat e-mail na
gdpr@akondrysek.cz.
Vztahuje se nové nařízení na ochranu osobních údajů také na myslivecké spolky, a co pro ně znamená?
Myslivecké spolky obecně zachází s osobními údaji – například vedou evidence členů (jména a příjmení, emailové adresy, data narození, telefonní čísla), evidenci přihlášek o členství, mysliveckou evidenci a statistiku (§ 38 ZoM), evidenci povolenek k lovu (§ 46 ZoM), evidenci plomb a lístků o původu zvěře (§ 49 ZoM), evidenci uvádění ulovené zvěře do oběhu (§ 51 ZoM), pořizují fotografie a video záznamy z mysliveckých akcí apod. Ve všech těchto případech dochází ke zpracování osobních údajů.
Nové nařízení se tak vztahuje i na myslivecké spolky a honební společenstva, a to v plném rozsahu.
Největšími novinkami je povinnost provést tzv. posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR), vést záznamy o činnostech zpracování (čl. 30) a zajistit náležité zpracování osobních údajů nebo nově povinnost do 72 hodin ohlašovat a oznamovat porušení zabezpečení osobních údajů.
Informační povinnost dostála také změny – podle čl. 13 se nově kromě klasických informací budou muset subjekty osobních údajů poučit o jejich právech, např. právo na výmaz či právo na vznesení námitky.
Samotné subjekty osobních údajů mají také nová práva a tomu samozřejmě odpovídají i další nové povinnost správců.
U souhlasu se zpracováním osobních údajů přibyla nově povinnost, aby byla žádost o vyjádření souhlasu oddělitelná. Z praxe vím, že podmínka oddělitelnost nebude splněna u mnoha správců osobních údajů. Je třeba si na to dát pozor, neboť v takovém případě jsou nevyhovující souhlasy se zpracováním osobních údajů neplatné, a to počínaje účinností GDPR.
Je evidentní, že myslivecké spolky mají povinnost reagovat na chystané změny a měly by se na ně proto náležitě připravit. Nejvhodnějším postupem jak začít, je zmapovat, s jakými osobními údaji zacházíte a jak s nimi zacházíte (tzv. datová mapa).
Na základě této analýzy je třeba poté vyhodnotit, zda splňujete povinnosti, které na vás GDPR klade.
Pokud zjistíte nedostatky, je třeba navrhnout a provést opatření, jak dosáhnout souladu s novými právními předpisy. Typicky vyhotovit nové právní dokumenty a analyzovat ty stávající, zda nepotřebují aktualizovat.
V tomto ohledu bych určitě doporučoval ustanovit tzv. pověřence pro ochranu osobních údajů. Jedná se o nový právní institut, kdy GDPR počítá s tím, že správci a zpracovatelé osobních údajů si najmou odbornou osobu, která je v oblasti ochrany osobních údajů profesně znalá. Úkolem pověřence je být správci či zpracovateli údajů nápomocen radami, informace a zároveň monitoruje jejich činnost, kontroluje ji z hlediska dodržování právních předpisů na ochranu osobních údajů a zjistí-li nějaké nedostatky, tak na ně správce upozorní. Pověřenec je také kontaktním místem pro komunikaci s Úřadem pro ochranu osobních údajů.
Oblast ochrany osobních údajů je technicky a odborně velmi složitá, proto zavedení možnosti jmenovat pověřence velmi kvituji. Organizacím pomůže odbřemenit je od tolika nových povinností, které na nich GDPR požaduje, a zároveň tato funkce napomáhá dosažení správného zacházení s osobními údaji.
Jsem rád, že myslivecké spolky tuto problematiku reflektují a aktivně se o ní zajímají. Nařízení GDPR totiž nejenže přináší nové povinnost, ale taktéž velmi ostře zpřísňuje sankce za jejich nedodržování. Pokuta se nově může vyšplhat až na astronomických 20 milionů EUR (viz čl. 83 odst. 5 GDPR).