Zápisy a ochrana osobních údajů

Dobrý den,

mám dotaz ohledně zápisů z jednání a ochrany osobních údajů. Na jednání všech našich orgánů pořizujeme zápisy shrnující jednání a následná rozhodnutí. Zápisy po schválení umisťujeme na interní web, kam mají přístup vedoucí oddílů a činovníci. Těchto osob je větší množství a není tedy možné hlídat to, zda někdo zápis nestáhne a neposkytne třetím osobám.

Zajímá mě, jakým způsobem v našich zápisech zmiňovat různé osoby. Pochopitelně se v zápise vyskytuje prezenční listina (pouze jména a příjmení činovníků a hostů). Také jsou zde zmiňováni ti, kteří dávají podněty, iniciují nějaké jednání nebo jsou pověřeni úkoly (znovu jen jména a příjmení zainteresovaných). Je to takto v pořádku? Jaké údaje se v zápise můžou objevit, aby to bylo ještě v pořádku (iniciály, jméno, datum narození, bydliště...)?

Dále se chci zeptat, jak postupovat v případě, že dojde k probírání bodu ohledně vyloučení nějakého člena. Vnitřní předpisy nám ukládají pořizovat zápis ze všech bodů jednání a tedy i z tohoto. Máme vylučovanou (a případně i vyloučenou) osobu v zápise nějak definovat, aby bylo rozhodnutí průkazné? Jaké údaje (inidiály, jméno, adresa, bydliště...) je vhodné v zápise použít, aby to bylo v pořádku a zároveň to stačilo pro zaznamenání skutečnosti?

Co se týče vyloučení členů, celkově řešíme to, jakou formou toto vyloučení zaznamenat tak, aby to bylo někde jasně evidované, aby byl zápis z jednání úplný a také abychom předešli případné žalobě ze strany vylučované osoby - ať už že jsme zveřejnili osobní údaje nebo kvůli tomu, že se někdo dozví, že byla osoba vyloučená.

Jak to tedy dělat správně? Děkuji za odpověď.

— Jakub Fraj, Klub Pathfinder

Odpověď:

Dobý den,

nejprve je třeba zmínit, jaké povinnosti se na spolky v souvislosti se zpracováním osobních údajů vztahují. K tomuto účelu poslouží nejlépe metodika dostupná na http://crdm.cz/wp-content/uploads/crdm-spolky-a-ochrana-osobnich-udaju-gdpr.pdf.

Ve chvíli, kdy bude mít spolek řádně podepsané souhlasy jednotlivých členů se zpracováním osobních údajů, většina nesrovnalostí uvedených v dotazu odpadne, neboť uvádění osobních údajů členů spolku pro interní potřeby fungování spolku (seznam členů, zápisy ze schůzí orgánů spolku, usnesení orgánů atp.), bude kryto tímto souhlasem. To však nic nemění na situaci, že spolek je za ochranu takto získaných údajů odpovědný a měl by je tedy patřičným způsobem zabezpečit. Originály těchto dokumentů v plné podobě (včetně všech osobních údajů), by tak měly být uloženy způsobem, který zabraňuje jejich zneužití či zpřístupnění jiným než oprávněným osobám. A to jak v elektronické tak listinné podobě. Pokud nemáte důvěru v uživatele interního systému, lze doporučit, aby se v tomto systému nacházely jen anonymizované verze těchto dokumentů (bez osobních údajů) s tím, že originální listiny budou dostupné například na žádost v sídle spolku. Je nasnadě, že interní dokumenty spolku, včetně dokumentů, jimiž bylo rozhodnuto o vyloučení člena, musí nutně obsahovat osobní údaje dotčených osob. Spolek je však povinen takto získané osobní údaje chránit. Samotné vkládání těchto (neanonymizovaných) dokumentů do interního systému by nemuselo nutně znamenat porušení ochrany osobních údajů (jedná se pouze o interní záležitost spolku), ale pokud tento systém neskýtá dostatečné zabezpečení, ať již z IT hlediska či z hlediska širokého přístupu různých osob, lze doporučit, aby se v tomto systému nacházely jen anonymizované verze, jak bylo naznačeno výše.

AK Mgr. Alena Hájková

Poslední revize: 15. 11. 2017

Komentář

Přidat komentář

Povinné, nezobrazí se.

Ochrana proti spamu.

Nenašli jste odpověď?

Prohledali jste všechna témata a stále nemůžete najít odpověď na svoji otázku?
Zkuste položit dotaz.

Položit dotaz