2.68
GDPR a rizika ochrany osobních údajů v sociálních službách
JUDr. Karel Zuska, AK Holec, Zuska a partneři
Povinné zajištění souladu s GDPR vyvolalo nebývalý zájem veřejnosti o problematiku ochrany osobních údajů. Nový, přímo závazný právní předpis přicházející z Evropské unie zasahuje celou řadu oblastí, a to jak ve veřejném, tak i soukromém sektoru; míra zásahu pak závisí zejména na tom, zda, jaké osobní údaje, jakým způsobem a v jakém množství příslušný subjekt zpracovává. Značný zásah zaznamenáváme zejména v oblasti veřejných služeb poskytovaných občanům, s nimiž bývá velmi často pojmově spojeno i zpracování osobních údajů. Výjimkou není ani oblast poskytování sociálních služeb podle zákona č. 108/2006 Sb., o sociálních službách, ve znění pozdějších předpisů (dále jen „ZSocS”).
O problematice aplikace GDPR bylo již napsáno mnohé. Tento článek se na základě našich praktických zkušeností zaměřuje na specifické otázky, které v současné době řeší a i nadále budou řešit poskytovatelé sociálních a na ně navazujících služeb. Podívejme se tedy na to, nakolik vážný problém pro ně povinné zajištění souladu s GDPR přináší a v čem se odlišují od běžných správců osobních údajů.
NahoruKterých osob se zpravidla týká zpracování osobních údajů
Poskytovatelé sociálních služeb zpravidla zpracovávají osobní údaje následujících fyzických osob:
- zájemců o poskytování sociální služby a další pomoci, jejich rodinných příslušníků,
- klientů, se kterými je uzavřena smlouva o poskytování sociální služby, jejich rodinných příslušníků, doprovázejících osob apod.,
- uchazečů o zaměstnání a uchazečů o dobrovolnickou činnost,
- zaměstnanců a dobrovolníků,
- dodavatelů, sponzorů, dárců,
- poskytovatelů dotací z veřejných zdrojů,
- zástupců a kontaktních osob výše uvedených kategorií subjektů údajů,
- účastníků akcí, programů a další činnosti,
- návštěvníků pobytových zařízení apod.
Je nutno zdůraznit, že GDPR chrání pouze osobní údaje fyzických, a to žijících fyzických osob. GDPR se tedy nevztahuje na osobní údaje zesnulých osob; je ovšem nutné si uvědomit, že ochranu vyžadují takové osobní údaje o zesnulých, které by mohly vypovídat také něco o žijících osobách (např. údaje o dědičné nemoci apod.).
NahoruKteré osobní údaje jsou zpracovávány
Při poskytování sociálních a na ně navazujících služeb podle ZSoc dochází zpravidla ke zpracování následujících osobních údajů:
- identifikační a kontaktní údaje o osobách, zejména jméno, příjmení, rodné číslo, datum narození, trvalý/přechodný pobyt, kontaktní adresa, telefonní číslo,
- údaje o poptávaných a poskytnutých službách a pomoci a jejich průběhu, včetně informací o věku, rasovém či etnickém původu, zdravotním stavu, psychickém rozpoložení, rodinné situaci,
- údaje týkající se sponzorů ohledně výše příspěvků a darů, čísel bankovních účtů,
- údaje týkající se uchazečů o zaměstnání a zaměstnanců ohledně výše mzdy a dalších plnění, čísel bankovních účtů, odpracovaných hodin, pracovních výsledků, další údaje o zaměstnaneckém vztahu a jeho průběhu, údaje o rodinném stavu a vyživovaných osobách, evidence odvodů do sociálního a zdravotního pojištění a daňové evidence,
- fotografie z akcí umožňující identifikaci konkrétních osob,
- videozáznamy z kamerového systému, údaje z docházkového systému apod.
Osobní údaje jsou přitom získávány zpravidla od samotných subjektů údajů, kdy žadatel o službu/klient či uchazeč o zaměstnání/zaměstnanec sám o sobě údaje sděluje. V sociálních službách však není výjimkou, že jsou některé údaje získávány od třetích osob (např. rodinných příslušníků klienta).
NahoruZákonnost zpracování, tj. který právní titul umožňuje osobní údaje zpracovávat
V čem lze rozhodně spatřovat obecný přínos GDPR, je to, že zdůrazňuje a prohlubuje zdaleka menší potřebu vyžadovat od subjektů údajů výslovný souhlas ke zpracování jejich osobních údajů. Zejména poskytovatelé sociálních služeb budou podle nové právní úpravy disponovat celou řadou právních titulů, které jim umožní osobní údaje zpracovávat i bez výslovného souhlasu klienta nebo jiného subjektu údajů. Platí tedy pravidlo, že souhlas klienta vyžaduje poskytovatel sociální služby až tehdy, pokud nemá k dispozici jiný právní titul. Mezi nejčastější právní tituly ve smyslu článků 6 a 9 GDPR bude patřit:
- plnění zákonných povinností poskytovatele sociálních služeb podle ZSocS, případně příjemce dotace podle příslušného zákona o rozpočtových pravidlech,
- plnění úkolů ve veřejném zájmu, zejména tehdy, je-li poskytovatel sociální služby pověřen v rámci příslušné sítě sociálních služeb poskytováním služby obecného hospodářského zájmu; u citlivých údajů klientů z titulu a za účelem poskytování sociální péče či z titulu ochrany jejich životně důležitých zájmů,
- plnění zákonných povinností daňového subjektu za účelem evidence příjmů a potvrzení o nich (např. darů),
- plnění zákonných povinností zaměstnavatele za účelem zpracování mezd a provádění příslušných daňových odvodů a odvodů do systémů sociálního a zdravotního pojištění, za účelem vedení osobních spisů,
- oprávněné zájmy poskytovatele za účelem vedení interní statistiky dárců, propagace činnosti poskytovatele vůči veřejnosti (včetně adresného informování dárců o dalších možnostech podpory a pořádaných akcích), za účelem ochrany majetku a osob v pobytových a dalších zařízeních (např. kamerový systém).
Pokud ke zpracování nějakého údaje nebude existovat jiný právní titul, teprve potom bude nutno zajistit náležitý souhlas subjektu údajů se zpracováním. V praxi se toto bude týkat velmi často používání fotografií klientů, dárců a dalších osob za účelem propagace činnosti poskytovatele sociální služby.
Výše uvedené vypadá jednoduše, je však namístě důležité upozornění. Podle § 88 písm. h) ZSocS jsou poskytovatelé sociálních služeb zavázáni dodržovat standardy kvality sociálních služeb; ty jsou pak upraveny ve vyhlášce č. 505/2006 Sb., kterou se provádějí některá ustanovení zákona o sociálních službách, ve znění pozdějších předpisů. Jedním ze standardů je i zpracování, vedení a evidence dokumentace o osobách, kterým je poskytována sociální služba. Standard zahrnuje i požadavek anonymního poskytování sociální služby, tj. anonymizace v rámci dokumentace o poskytování sociální služby v případě, kdy to vyžaduje charakter sociální služby nebo na žádost klienta. To se může pojmově týkat např. terénních programů, služby sociální rehabilitace, nízkoprahových center a zařízení apod. a samozřejmě všech služeb, kdy klient požaduje anonymizaci.
NahoruJaké kroky tedy představuje zajištění souladu s GDPR
V souvislosti s implementací GDPR v podmínkách jednotlivých poskytovatelů sociálních služeb se často hovoří o tzv. desateru povinností, které budou muset splnit. Popišme si tedy stručně, o jaké povinnosti se jedná a co konkrétně jejich splnění obnáší.
1. První (obecná) povinnost – být schopen prokázat soulad s GDPR
Každý poskytovatel sociálních služeb bude muset být schopen prokázat, že ve své organizaci zajistil soulad s GDPR zavedením systému vnitřních procesů při zpracování osobních údajů, které jsou součástí vedené evidence či zpracovávány automatizovaně (tj. jsou-li zpracovány podle určitého systému, lze-li v nich vyhledávat apod.). Půjde zejména o zpracování vnitřní dokumentace na ochranu osobních údajů, zahrnující zejména obecnou vnitřní směrnici a dále záznamy o činnostech zpracování (čl. 30 GDPR), o dokumentaci o přijatých opatřeních a zavedených postupech, záznamy o provedených školeních zaměstnanců, souhlasy subjektů údajů, smlouvy se zpracovateli a příjemci osobních údajů apod.
2. Druhá povinnost – dodržovat zásady podle článku 5 GDPR
Základní zásady jsou důležitým interpretačním a aplikačním vodítkem, nejen v případě sporných otázek; také se v nich odrážejí jednotlivé povinnosti. Je tedy důležité si uvědomit, že dodržení určité konkrétní povinnosti podle GDPR bude vykládáno též prostřednictvím dodržení základních zásad. Jde zejména o tyto zásady zpracování osobních údajů:
- zákonnost (zpracování osobních údajů na základě právního titulu),
- korektnost a transparentnost (zejména podávání úplných a správných informací klientům stručně a…