Ochrana osobních údajů v NNO

  • Publikováno: 27. 5. 2014

V rámci činnosti každé neziskové organizace (NNO) je dřívě či později nutné řešit otázku nakládání s osobními údaji fyzických osob, které organizace nějakým zůsobem získala. Může se jednat například o osobní údaje členů spolku, zaměstnanců organizace nebo příjemců služeb, které nezisková organizace poskytuje veřejnosti.

Každý, kdo nějakým spůsobem shromažďuje osobní údaje fyzických osob, popř. s nimi nějakým způsobem dál nakládá, je povinen počínat si tak, aby nedocházelo k narušování soukromí těchto osob. Pravidla stanovuje speciální zákon, a to zákon č. 101/2000 Sb., o ochraně osobních údajů (zooú).

Co je to osobní údaj?

Pojem „osobní údaj“ definuje zákon jako informaci, díky které lze přímo či nepřímo identifikovat určitou osobu – např. na základě určitého čísla, kódu nebo údaji specifickém pro její „fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“.

Zvlášť zákon definuje ještě tzv. „citlivé údaje“, což jsou ty osobní údaje, které vypovídají o „národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů“ a také genetický nebo biometrický údaj (např. otisk prstu či digitální snímek obličeje).

Co je to zpracování osobních údajů?

Shromažďování, ukládání na nosiče informací, zpřístupňování, úprava,pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění, kombinování, blokování, likvidace, ... to vše zákon příkladmo uvádí jako „zpracování“ osobních údajů, kdy následně některé z uvedených pojmů dále vysvětluje.

Z uvedeného vyplývá, že vytvoření každého seznamu osob s jejich adresou nebo datem narození je již zpracováním osobních údajů, které vyžaduje dodržování pravidel stanovených zákonem. Výjimkou je zpracování osobních údajů, které provádí „fyzická osoba výlučně pro svoji osobní potřebu“, a také „na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány“.

Naopak je jedno, jaké prostředky se ke shromažďování a dalšímu zpracovávaní využívají.

Jaké jsou povinnosti „správce“ osobních údajů?

Každého, kdo se rozhodne za nějakým účelem určitým způsobem zpracovávat osobní údaje, zákon označuje za „správce“ osobních údajů. Tato osobo za zpracování nese odpovědnost, ale může pověřit zpracováváním i další subjekt.

Správce je zejména povinen:

  • stanovit účel, prostředky a způsob zpracování osobních údajů
  • zpracovávat osobní údaje přesné, příp. aktualizované, pouze v nezbytném rozsahu a po nezbytnou dobu
  • důsledně dodržovat účel, pro které jsou údaje shromažďovány a ke kterému získal souhlas
  • samozřejmostí je zajištění bezpečnosti zpracovávní osobních údajů a mlčenlivost všech osob, které mají ke zpracovávaným údajům přístup (např. zaměstnanci správce)

Kdy je potřeba získat souhlas se zpracováním osobních údajů?

Zákon definuje případy, kdy není potřeba souhlas dané osoby, aby byly zpracovávány její osobní údaje. K těmto případům zejména patří plnění zákonné povinnosti správce nebo plnění ze smlouvy uzavřené s danou osobou.

Nejedná-li se o některou z výjimek v § 5 odst. 2 zákona, potřebuje správce souhlas vždy. Před tím musí danou osobu informovat o tom, kdo bude správcem jejích osobních údajů, jaký je účel zpracování, které její osobní údaje budou zpracovávány a na jak dlouho.

POZOR! Správce musí být po celou dobu zpracovávání údajů schopen prokázat souhlas dané fyzické osoby!

Pro zpracování citlivých údajů platí ze zákona přísnější podmínky, kdy zákon stanovuje, kdy vůbec lze zpracovávat tyto osobní údaje (§ 9). Kromě případů, kdy byl výslovně udělen souhlas dané osoby, zákon zmiňuje mj i zpracování, které „sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení (nově spolku), nadace nebo jiné právnické osoby nevýdělečné povahy, a které se týká pouze jejích členů nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů“.

Před tím, než začne správce osobní údaje zpracovávat (příp. žádat o souhlas určitou osobu), je (až na drobné výjimky) povinen splnit svoji informační povinnost – každý, jehož osobní údaje mají být zpracovány, má právo předem vědět, kdo bude správce a zpracovatelem jeho osobních údajů, jaký je účel, rozsah a doba zpracování a jaká práva mu v této souvislosti vznikají (zejm. v ust. § 12 a 21).

Stačí tedy ke zpracovávní osobních údajů souhlas dané osoby?

Souhlas dotčené osoby je až na stanovené výjimky nezbytností, ale sám o sobě nestačí. Zákon totiž dále stanoví povinnost oznámit předem Úřadu pro ochrany osobních údajů svůj úmysl údaje zpracovávat.Oznámení musí mít předepsané náležitosti a podává se na registračním formuláři, který je k dispozici na webových stránkách ÚOOÚ

Tuto oznamovací povinnost nemají správci v případě, že se jedná o zpracování, které „sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů“ (pojmem „sdružení“ zde má zákonodárce opět na mysli občanská sdužení – nově spolky, nadace a jiné nevýdělečné právnické osoby).

Z výše uvedeného lze dovodit, že např. spolky mohou vést seznamy svých členů bez nutnosti se u ÚOOÚ regostrovat. Pokud ale bude NNO osobní údaje zpracovávat nad rámec výše uvedené výjimky, je nezbytné, aby registraci provedla.

Jaké hrozí sankce?

V případě, že právnická osoba poruší některou ze svých povinností, hrozí jí ze strany ÚOOÚ pokuta, která může být až v řádech milionů korun.

Je proto nezbytné věnovat i tomuto aspektu činnosti NNO náležitou pozornost, ujasnit si, jaké osobní údaje organizace pro svoji činnost nezbytně potřebuje a tyto shromažďovat a dále zpracovávat v souladu s pravidly, které zákon stanovuje.

Kde získat víc informací?

Podrobnější informace jsou dostupné přímov zákoně o ochraně osobních údajů, s řešením praktických problémů a konkrétních otázek pomůže Úřad pro ochranu osobních údajů.