Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy
Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy
GDPR a Dotační tituly z rozpočtu obce
Přidělování dotací z rozpočtu obce je dnes zcela běžnou praxí. Obce přidělují
dotace na podporu činnosti a provozu občanským sdružením, spolkům, humanitárním
organizacím, církevním, zájmovým organizacím a subjektům, působícím v oblasti
práce s mládeží, tělovýchovy a sportu, sociálních služeb, podpory rodin,
požární ochrany, kultury, ochrany kulturních památek, myslivosti,
protidrogových aktivit, prevence kriminality a dalších.
Ve většině případů mají zastupitelstvem schválený dotační program a pravidla
pro přidělování dotací, dále pak prováděcí dokumentaci (formuláře žádostí,
smlouvy o poskytnutí dotace a formuláře k vyúčtování dotace).
V praxi se pak
setkáváme s různými nepochopeními aplikace GDPR na tuto problematiku. Jedná se
zejména o tato pochybení:
Zapracování GDPR do pravidel pro udělování dotací
zde bývá zásadní chybou, že je v pravidlech vložena informace o zpracování
osobních údajů (i citlivých) a vyžadován podpis souhlasu subjektu se
zpracováním.
Zásadní chybou pak
není uvedení takové informace v dokumentu „pravidel pro přidělování dotací“,
ale případné vynucování souhlasu se zpracováním osobních údajů subjektu údajů právě v takovém dokumentu.
Pravidla pro přidělování slouží pouze jako informativní dokument pro případné
příjemce, kterým poskytovatel stanovuje podmínky čerpání dotačního titulu. Tento dokument se nepodepisuje. Podepisují se pouze samotné veřejnoprávní
smlouvy.
(v pravidlech je možné základní informaci o zpracování osobních údajů uvést,
zejména pro předběžnou informovanost případného žadatele o přidělení
dotace)
Veřejnoprávní smlouva
zde se naopak chybuje v tom, že smluvní akt, který příjemce dotace podepisuje,
informace o ochraně osobních údajů vůbec neobsahuje.
A právě takový
dokument by měl ony informace obsahovat. Měla by zde být uvedena informace, kdo
osobní údaje zpracovává, podle jakého právního titulu a za jakým účelem. Také
jak dlouho budou údaje zpracovávány, jakým způsobem je zpracování zabezpečeno
proti zneužití. Hlavně ale nevyžadovat podpis souhlasu se zpracováním osobních
údajů.
Organizace a spolky jsou zapsány ve veřejném rejstříku a je na ně pohlíženo
jako na právnickou osobu. Ve smlouvě pak je z osobních údajů pouze jméno
statutárního zástupce a na takové údaje se udělení souhlasu dle GDPR
nevztahuje, a to ani při zveřejnění smlouvy na webu obce.
Jiná situace nastává
při udělení dotace fyzické osobě, a to pouze v případě
zveřejnění smlouvy na webu. Tam souhlas subjektu potřebovat budete.
Proč nepotřebujete souhlas se zpracováním osobních údajů? Důvodů je hned
několik:
Uzavíráte
smluvní vztah
Přidělujete
dotaci podle zákona o obcích a o rozpočtových pravidlech
Zpracováváte
dotační tituly i podle zákona o účetnictví
Po
skončení účelu postupujete dle skartačního řádu (archivace atd.)
Nepotřebujete
jej ani ke zveřejnění takové smlouvy na webu obce (spolek není fyzická
osoba a uvádí se stejně pouze jméno a příjmení jednatele), což u
právnických osob není problém.
Toto jsou hlavní
důvody, proč souhlas vůbec nepotřebujete (právní titul ke zpracování máte, tím
je uzavření smlouvy, podpořený několika zákony).
Účelem zpracování je pak poskytnutí dotace danému subjektu.
Příklad: jak připravit dokumentaci pro poskytování dotací z
rozpočtu obce
Informační
text, který je možný vložit do pravidel pro přidělování dotací
Informace o
zpracování, manipulaci a uchování osobních údajů
Obec ..XX.., jako
správce osobních údajů shromažďuje, vede a uchovává osobní údaje o uživatelích
dotace pouze v míře nezbytné, které umožňují poskytovat individuální a
programové dotace. S ohledem na nařízení EU 2016/679 o ochraně osobních údajů
vytváří podmínky k tomu, aby shromažďování, zpracování, vedení a evidence
osobních údajů odpovídalo platným obecně závazným normám. Obec ..XX.. se
zavazuje, že bude zpracovávat osobní údaje pouze v souladu s účelem, k němuž
byly údaje shromážděny. Při zpracování osobních údajů dbáme na to, aby subjekt
údajů neutrpěl újmu na svých právech, zejména pak na právu na zachování lidské
důstojnosti. Obec ..XX.., jako správce osobních údajů, dbá na ochranu před
neoprávněným zasahováním do soukromého a osobního života subjektů a má přijata
technická a organizační opatření k zabránění zničení, ztráty, neoprávněnému
zpracování či jinému zneužití osobních údajů subjektů údajů.
Text,
který je vhodné vložit do smlouvy o přidělení dotace
Informace o
zpracování, manipulaci a uchování osobních údajů
Obec ..XX..
shromažďuje, vede a uchovává osobní údaje o příjemcích dotace pouze v míře
nezbytné, která je potřebná k poskytnutí individuální a programové dotace. S
ohledem na nařízení EU 2016/679 o ochraně osobních údajů vytváří obec podmínky
k tomu, aby shromažďování, zpracování, vedení a evidence osobních údajů
odpovídalo platným obecně závazným normám. Obec ..XX.. se zavazuje, že bude
zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly údaje
shromážděny. Při zpracování osobních údajů dbáme na to, aby subjekt údajů
neutrpěl újmu na svých právech, zejména pak na právu na zachování lidské
důstojnosti. Obec ..XX.. dbá na ochranu před neoprávněným zasahováním do
soukromého a osobního života subjektů a má přijata technická a organizační
opatření k zabránění zničení, ztráty, neoprávněnému zpracování či jinému
zneužití osobních údajů subjektů údajů. Doba zpracování se řídí dobou účinnosti
této veřejnoprávní smlouvy, zákonem 563/1991 Sb. Zákon o účetnictví, zákonem
128/2000 Sb. Zákon o obcích a spisovým a skartačním řádem obce.
V ..XX.. dne:
Poskytovatel
Prohlašuji, že jsem se
seznámil se všemi aspekty této smlouvy, včetně informací o zpracování osobních
údajů. Současně potvrzuji, že veškeré údaje mnou uvedené jsou pravdivé a
přesné.
V ..XX.. dne:
Příjemce
Pokud však bude dotace přidělena fyzické osobě (občanovi), je
potřeba, a to pouze v případě zveřejnění takové smlouvy na webu obce,
osobní údaje ve smlouvě anonymizovat nebo si vyžádat souhlas se
zveřejněním.
V takovém případě by
měl text u podpisu subjektu příjemce dotace vypadat asi takto:
Prohlašuji, že jsem se
seznámil se všemi aspekty této smlouvy, včetně informací o zpracování osobních
údajů. Současně potvrzuji, že veškeré údaje mnou uvedené jsou pravdivé a
přesné.
Uděluji tímto
poskytovateli dotace svůj svobodný souhlas se zveřejněním smlouvy o poskytnutí
dotace na stránkách obce xxxx.cz, a to včetně mých osobních údajů.
V ..XX.. dne:
Příjemce
Rekapitulace:
Mějte vždy na paměti,
že zbytečné nadužívání souhlasů tam, kde je nepotřebujete, je stejný problém,
jako když nemáte souhlas tam, kde je potřebný. Dozorový orgán pak takové
zbytečné nadužívání souhlasů postihuje. Udělení souhlasu se zpracováním je
až tou poslední možností, pokud nemůžete využít žádný z právních titulů.
Rozlišujte také pečlivě dva různé pojmy (účel a právní titul.
Účel je to, proč osobní údaje zpracováváte (tedy za jakým účelem –
zpracovávaná agenda)
Právní titul je to, podle čeho údaje zpracováváte (základních
právních titulů je šest)
Plnění
smlouvy
Právní
povinnost
Oprávněný
zájem správce
Veřejný
zájem
Životně
důležitý zájem
Souhlas
se zpracováním