Zákon 110/2019 o zpracování osobních údajů - Tento zákon mj. upravuje zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/6792 (GDPR) Základní pojmy - § 3 - Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují. pozn.: žijící osoba - § 7 - Způsobilost dítěte pro souhlas se zpracováním osobních údajů - Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku. Článek 4 směrnice 2016/6792 Pro účely tohoto nařízení se rozumí: 1) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; § 66 zákona 110/2019 - Přechodná ustanovení: (6) Kde se v dosavadních právních předpisech používá pojem citlivý údaj nebo citlivý osobní údaj, rozumí se tím ode dne nabytí účinnosti tohoto zákona osobní údaj, který vypovídá o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filosofickém přesvědčení nebo členství v odborové organizaci, genetický údaj, biometrický údaj zpracovávaný za účelem jedinečné identifikace fyzické osoby, údaj o zdravotním stavu, o sexuálním chování, o sexuální orientaci a údaj týkající se rozsudků v trestních věcech a trestných činů nebo souvisejících bezpečnostních opatření.

- GDPR se týká pouze žijících fyzických osob (lidí) - GDPR se netýká soukromých (rodinných) aktivit, skautských aktivit ano - Při zpracování osobních údajů je třeba myslet na IT bezpečnost (dvoufázové ověřování, silná hesla, ...) - Osobním údajem je každá informace o fyzické osobě (subjektu údajů) – může se jednat klidně i o fotografii, IP adresu, přidělený kód, piktogram apod. - Správcem osobních údajů je v Junáku vždy organizační jednotka (typicky středisko, přístav a vyšší jednotky) - Pověřenou osobou jsou typicky lidé v řídící roli, rádci počínaje (tedy rádci, oddíloví rádci, vůdci, …) - Zpracovatelem je subjekt, kterého si najímáme – např. účetní společnost, cloudové úložiště apod. nikoliv fyzická osoba – člen, zaměstnanec - Při zpracování údajů máme povinnost vycházet ze Směrnice pro nakládání s osobními údaji (interní předpis Junáka)   Další obecné informace vč. odkazu na směrnici dole na následující stránce:  https://krizovatka.skaut.cz/stredisko/administrativa/ochrana-osobnich-udaju/3839-obecne-k-ochrane-osobnich-udaju

Osobní údaje můžeme zpracovávat pouze z následujících právních důvodů: a) je to nezbytné pro splnění právní povinnosti (vedení účetnictví, evidence pro potřeby dotace, údaje o zdravotním a stravovacím omezení, …) b) subjekt údajů udělil souhlas – např. s pořizováním fotografií, c) zpracování je nezbytné pro plnění smlouvy (např. nutné údaje o majiteli tábořiště)   - V případě zpracování údajů na základě souhlasu (typicky fotografií) je nutný souhlas daný dobrovolně a transparentně. Doporučuje se využívat vzorů z křižovatky (webu Junáka): https://krizovatka.skaut.cz/zpravodajstvi/3895-nove-prihlasky-a-texty-novych-pouceni-k-prihlaskam-clenu   - Pozor, jakýkoliv souhlas lze odmítnout, odvolat a nelze s ním spojovat členství, účast na výpravě a pod., pak je nutné respektovat soukromí.

- K osobním údajům má mít přístup pouze omezený počet lidí a pouze k takovým, které potřebují (dle interní směrnice). Zejména citlivé údaje (zdravotní stav, víra, …) je třeba mít dobře zabezpečeny – na táboře např. v uzamčeném trezorku. - Sbírejte jen data, která skutečně potřebujete – požadavek GDPR na minimalizaci dat. Rodná čísla potřebujeme – vyžadují je po nás právní předpisy. K fotografiím: – pro běžné dokumentační použití, vč. webů oddílů, středisek apod. byl souhlas a je nadále ve vzorech přihlášek (pokud používáte doporučené vzory). - Na nástěnky, weby apod. však k fotografiím dětí raději nedávejte jména, max. jen přezdívky, abecedně k hromadným fotografiím. - Pro fotky na sociální sítě používá Junák speciální souhlas - zejména z důvodu občasného odmítání vydání tohoto souhlasu – aby to nepostihlo všechny možnosti focení dítěte paušálně kamkoliv. - Pozor, jakýkoliv souhlas lze odmítnout, odvolat. Bohužel může být v případě odvolaného souhlasu subjektem dále požadováno odstranění fotografií z webu apod. i zpětně. viz. § 48 Výmaz osobních údajů - Správce nebo na základě jeho pokynu zpracovatel je povinen provést výmaz osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 49.

PC (tablet, mobil, ...), na kterém jsou osobní data členů, nebo z něho k osobním datům přistupujete, musí být správně zabezpečen: - Pravidelně aktualizujte antivir a firewall na všech zařízeních, kontrolujte přenosná zařízení a neznámá zařízení nepřipojujte. - Používejte silná hesla (12 míst a více, vč. velkých písmen, číslic a znaků), hesla nikomu nedávat, ani je nikam nepsat (krom programů, k tomuto účelu specielně vytvořených), - Odhlašujte se (krom telefonu a osobního PC, kde si však nastavte silný způsob zabezpečení přístupu do tohoto zařízení, u telefonu pak zajistěte možnost jeho zablokování na dálku, pro případ ztráty). - Nepřistupujte k osobním údajům z nedůvěryhodných zařízení, nepoužívejte nezabezpečené veřejné wifi. - Nešiřte přímé odkazy na dokumenty s osobními údaji e-mailem apod. - Osobní data sdílejte pouze přes SkautIS a přes skautský G Suite (skautský e-mail provázaný s Googlem a jeho službami G Suite). Popř. používejte skautské týmové G Suite disky. - Používejte dvoufázové ověřování při přístupu do SkautISu a ke Google účtu - G Suite - Pouze u e-mailů a navázaných služeb Googlu založených přes SkautIS (@skaut ; @skautka) máte smluvní jistotu, že uložená data neopustí EU (požadavek GDPR). Právě a jen se skautským účtem tedy doporučuji provázat i telefon-android a další zařízení. I zde však ukládejte osobní data jen uvážlivě a sdílejte jen dalším skautským G Suite účtům (opravdu výjimečně jinam a jen pro čtení). - Při zasílání osobních údajů na e-maily mimo skautský G Suite, případně přes různé úschovny apod. (pokud to opravdu jinak nejde - na vaše nebezpečí), vždy data bezpečně zaheslujte a heslo pošlete jiným kanálem, např. SMS. - Nejbezpečnější je mít osobní data jen ve SkautISu a analogová (tištěná) pod zámkem.