Novému evropskému nařízení o ochraně osobních údajů neboli GDPR se kromě podnikatelů nevyhnou ani neziskové organizace. Velmi často zacházejí s osobními daty, ať už klientů či dárců, a budou se muset novým pravidlům nejpozději do konce května přizpůsobit.
"GDPR se týká nejen spolků či nadací, ale i odborových organizací, politických stran a církví," říká Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha.
Pro firmy i státní úřady znamená GDPR kompletní revizi práce s osobními údaji a také nové povinnosti. Neziskový sektor podle právníků ochranu osobních údajů dlouhodobě zanedbává. "Priority jsou jiné a na důslednou ochranu osobních údajů nejsou lidé ani peníze," konstatuje advokát Viktor Dušek z KPMG Legal.
Neziskovky na startu
"Zatím sháníme informace, účastníme se školení a seminářů a zkoušíme mapovat procesy v organizaci, kterých se nové nařízení bude týkat," popisuje aktuální přípravy na GDPR Oldřich Haičman, ředitel Diecézní charity Brno. Podobně je na tom například i Člověk v tísni či Linka bezpečí. "Děláme si obrázek o tom, co nám GDPR nového přinese a na co se musíme do konce května připravit," říká Markéta Ježková, ředitelka organizace Lata.
Z oslovených neziskovek je asi nejdál Český olympijský výbor. "Nařízení již intenzivně řešíme. Připravujeme datovou mapu, na základě které budeme přizpůsobovat všechny naše interní procesy a dokumenty GDPR," sdělil právník výboru Jan Exner. Zásadních komplikací se neobává, přesto podle něj nařízení organizaci přinese administrativní zatížení.
Neziskovky se obávají především zvýšených nákladů. Řada z nich bude muset například zavést funkci pověřence pro ochranu osobních údajů.
"Učinit tak budou muset organizace, jež v rámci hlavní činnosti systematicky monitorují fyzické osoby nebo provádí rozsáhlé zpracování citlivých osobních údajů, tedy například údajů o zdravotním stavu svých klientů. Nezáleží přitom na velikosti organizace," vysvětluje advokát Dušek s tím, že pro mnohé menší neziskovky bude složité takovou osobu uvnitř organizace najít a často bude třeba zajistit výkon této role externě. "Nabízí se i sdílení jednoho pověřence více organizacemi," dodává Dušek.
"Pověřenec může zatížit i tak napjaté rozpočty, které jsou určené hlavně na činnost spojenou s naším posláním," domnívá se Markéta Ježková.
Konec poštovních výzev
"Osobní údaje jsou pro mnohé 'cennou surovinou', díky které dokážou být efektivnější při financování své činnosti, tedy především při oslovování dárců," popisuje jednu z nejdůležitějších oblastí správy dat v neziskovém sektoru Viktor Dušek z KPMG
Legal.
"Naše organizace používá pro fundraising a kontakt s dárci CRM systém. Bude to pro nás znamenat úpravu smluv i dalších dokumentů," říká Peter Porubský, vedoucí Linky bezpečí.
Dnes mohou organizace poštou oslovovat občany s žádostí o příspěvky na svou činnost v zásadě bez omezení. Z veřejných databází si mohou vytáhnout jména, příjmení a poštovní adresy lidí. "Nic takového už GDPR nedovoluje. Proto bude napříště nutné získat souhlas oslovovaných lidí, kterým organizace rozesílá žádosti o příspěvky, a to i poštou," upozorňuje Karin Pomaizlová.
U stávajících dlouhodobých dárců se budou moct organizace zřejmě souhlasu vyhnout, pokud takové oslovení představuje její oprávněný zájem. Co to znamená?
"Bude nutné provést takzvaný balanční test, tedy porovnat právo dárce na soukromí a zájmy neziskové organizace. Domníváme se, že pokud takové oslovování bude v rozsahu, který dárci mohou v obdobných případech očekávat, nebude souhlasu třeba," říká Viktor Dušek.
Jistotu správného postupu však organizace nemají.
"Zatím se právní výklady ohledně oslovování dárců poněkud liší. Nemáme relevantní informace, abychom mohli zvolit konkrétní postup," tvrdí Oldřich Haičman.
Cestou je plošná reklama
Neziskovky, pro něž by bylo shánění souhlasů příliš komplikované, budou mít na výběr ze dvou cest. "Některé způsoby oslovování potenciálních dárců nevyžadují zpracování osobních údajů. Mezi ně řadíme neadresné reklamy, oslovení prostřednictvím dobrovolníků na ulici nebo plošnou letákovou reklamu," popisuje advokát Dušek.
Omezení dané zpracováním osobních údajů se taky nevztahuje na právnické osoby. "Neziskové organizace mohou i nadále bez omezení oslovovat obchodní společnosti a jiné právnické osoby s žádostí o příspěvek na chod své organizace," říká Karin Pomaizlová z Taylor Wessing Praha.