Jóga a paragrafy (osobní údaje)

20. 04. 2018


Osobní údaje jsou zpravidla všude tam, kde se vyskytují nějaké osoby. Tedy i na lekcích jógy nebo akcích, které jsou s jógou nějak spojené. Měli bychom proto vědět, jak s nimi správně nakládat.

Osobní údaje jsou cenná komodita. Dají se využívat v marketingu a prodeji, reklamu podle nich cílí například sociální sítě. Využívání některých služeb na internetu je z podstaty umožněno právě tím, že na sebe na oplátku něco prozradíme. A i když se to zdá nevinné, každý osobní údaj má svou hodnotu. Majitelé jógových studií, a někdy také samostatní lektoři jógy, se s ochranou osobních údajů setkají především v roli jejich zpracovatele, účastníci lekcí a akcí pak s tím, že právě jejich osobní údaje budou využívány. Ať už jde o udržování databáze klientů, nebo třeba nabídku nových služeb.

Ochranu osobních údajů u nás upravuje zvláštní zákon (č. 101/2000 Sb.). Velkou změnu nicméně přináší nové evropské nařízení (č. 2016/679), které tuto problematiku rovněž upravuje. Hodí se přitom, jen na okraj, zmínit, že ne všechny povinnosti musí nutně ukládat český zákon. Evropské právo platí v některých případech přímo (zpravidla se jedná o nařízení), někdy je k tomu ještě třeba prováděcí zákon (většinou v případě směrnic). „GDPR“, jak se nové nařízení někdy zkráceně označuje, proto platí bez dalšího a vyplatí se znát alespoň základní zásady. Hlavní roli tu hraje souhlas na straně toho, jehož údaje budou zpracovány.

Platí, že souhlas ke zpracování osobních údajů sice není třeba vždy; v některých případech existuje pro využití osobních údajů i jiný právní základ (například nezbytnost pro plnění smlouvy), ale už třeba rozesílání marketingových e-mailů jej vyžadovat bude. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný a musí být udělen prohlášením nebo zjevným potvrzením. Navíc by údajů mělo být zpracováno jen minimální nezbytné množství a měly by být zpracovány jen po nezbytnou dobu.

Konkrétnost znamená, že by mělo být dostatečně jasně určeno, čeho se souhlas bude týkat. Souhlas s rozesíláním obchodních sdělení například není možné využít také pro marketingové analýzy. Svobodný je zejména takový souhlas, ke kterému se neváže podmínka (například využití služby by bylo podmíněno udělením souhlasu nebo by souhlas byl obsažen v obchodních podmínkách). Informovaný souhlas obnáší jasně a srozumitelně vysvětlit, proč jsou údaje zpracovávány, a současně má taková žádost o souhlas své formální náležitosti (například musí být jasně odlišitelná). Zjevným potvrzením může být i zaškrtnutí políčka, ale u citlivých osobních údajů (což jsou třeba údaje o zdravotním stavu, který u jógových studií rovněž připadá v úvahu) musí být souhlas vždy výslovný.

Každý podnikatel musí jako správce osobních údajů od samotného počátku zabránit neoprávněnému nakládání a jinému zneužívání osobních údajů, nad čímž dohlíží Úřad pro ochranu osobních údajů. Správcem je přitom každý subjekt, který s osobními údaji cíleně nakládá (může však pověřit dalšího zpracovatele), což se bude jógových studií zpravidla týkat. Nemusejí však mít pověřence pro ochranu osobních údajů. Tato nová role se týká jen některých zpracovatelů, zejména úřadů a velkých společností, které budou muset mít navíc také třeba kodexy chování a osvědčení o ochraně údajů. Platí, že osobní údaje musejí být adekvátně, tedy zejména po technické stránce, zabezpečeny. Zcela vyloučeno je neoprávněné nakládání s osobními údaji. Například rozesílky nevyžádaných obchodních sdělení, až na velmi specifické výjimky, zapovídá zákon o některých službách informační společnosti (č. 480/2004 Sb.).

Velkou změnu přinese GDPR pro ty, kteří z nějakého důvodu využívají marketingových databází jiných společností. Souhlasy udělené v rámci jejich zpracování totiž zpravidla neobstojí, často protože byly získány nedovoleným způsobem nebo jsou příliš nekonkrétní. Naopak se GDPR až tolik nedotkne oblasti zaměstnávání (lektorů studií apod.), protože tam budou údaje zpracovány na základě nutnosti plnění pracovní smlouvy, tedy už zmíněného jiného právního titulu. Získávání souhlasu by ostatně patrně neobstálo v podmínce svobodného udělení, protože zaměstnanec je v pracovněprávním vztahu vždy slabší stranou.

Na závěr je nutné dodat, že pokud studio nebo lektor disponuje nějakou databází osobních údajů a má k jejich zpracování patřičný souhlas, bude se muset i tak znovu zamyslet, jestli tyto souhlasy vyhovují i novému nařízení, a popřípadě je získat znovu. Bez náležitostí GDPR lze uchovávat jen zcela anonymizované údaje (podle kterých není možná identifikace), přičemž anonymizace osobních údajů není banální (rozumět je třeba například takovým pojmům, jako je agregace, permutace nebo přidání šumu). Neoprávněné nakládání s osobními údaji vždy bylo postihováno sankcemi, které budou ještě přísnější. Vyplatí se proto se alespoň zpočátku poradit s odborníkem.

Jakkoliv však celá oblast zpracování osobních údajů vypadá složitě, tak především férové jednání, které jógovou praxi provází z podstaty, je tou nejlepší zárukou, že je vše v pořádku. Výslovný souhlas, který splňuje všechny výše uvedené náležitosti, jej pouze potvrdí a učiní zákonu zadost.

 


Jóga Dnes Konference
Energy Studio jd
JógaMarket