Mají se neziskovky bát GDPR?

"Nařízení Evropského Parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES", zkráceně GDPR, je nový zákon k ochraně osobních údajů v zemích EU. V České republice tak toto Obecné nařízení nahradí od 28. května 2017 stávající zákon č. 101/2000 Sb., o ochraně osobních údajů, a v konkrétních detailech ho doplní nový, již připravovaný zákon o zpracování osobních údajů.

Výklady tohoto Obecného nařízení se prozatím různí. Je to dáno jeho obecností a možností konkretizace metodikou každé země, také mnohdy nepochopením základních pojmů a bohužel zejména komerčními zájmy některých IT a poradenských firem, které v aplikaci GDPR vidí nový zdroj svých příjmů.

Pro nestátní neziskové organizace (NNO) je důležité, že jim Obecné nařízení neukládá žádné nové povinnosti. NNO nemusí mít speciální software pro zabezpečení zpracování osobních údajů, a to ani když spravuje citlivé údaje. Nemusí jmenovat Pověřence pro ochranu osobních údajů, a navíc povinnost vést záznamy o činnostech zpracování se týká organizací zaměstnávajících více než 250 zaměstnanců.

Audit zpracování osobních údajů si zvládne každá organizace udělat sama. Jde jen o to si ujasnit, a nejlépe ve vnitřním předpisu popsat, jaký druh osobních údajů organizace zpracovává, kdo s nimi pracuje, kde jsou uloženy  a jak jsou chráněny, zda má organizace prokazatelný souhlas subjektu údajů, k jakému účelu jsou data zpracovávána, po jakou dobu, kde a jak se osobní údaje archivují.

Takže žádný strach! Přesto, že je už nyní velký mediální a zejména komerční tlak na zavádění opatření ke GDPR, je dobré neuspěchat přípravu. Informace je vhodné získat od více zdrojů a zejména od zdrojů, které na základě podaných informací nenabízí nějakou komerční službu. A s definitivními opatřeními počkat na vydání závazných metodických pokynů novým Dozorovým úřadem.