V souvislosti s organizací kongresu nebo incentivy proteče počítači a rukama organizátorů velké množství osobních údajů účastníků akce. Organizátoři akce již jsou zpravidla seznámeni s faktem, že z povahy své činnosti zpracovávají osobní údaje ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů. Většinou mají zajištěn souhlas účastníků akce se zpracováním osobních údajů a jsou rovněž registrováni u Úřadu pro ochranu osobních údajů. Někdy jim ovšem zůstávají utajeny praktické povinnosti, které jim v souvislosti s organizací akce ze zákona nebo ze smlouvy vznikají vůči jejich vlastním zaměstnancům a smluvním partnerům (dodavatelům). Jaké jsou?
Podle § 14 zákona o ochraně osobních údajů mohou zaměstnanci správce údajů nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném správcem nebo zpracovatelem. Dále podle § 15 téhož zákona jsou zaměstnanci správce nebo zpracovatele a jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tuto povinnost mají i po skončení zaměstnání nebo příslušných prací. Zákon tedy vyžaduje, aby organizátor akce stanovil zaměstnancům a jiným osobám podmínky a pokyny pro zpracovávání osobních údajů účastníků akce a aby tito zachovávali mlčenlivost.
Zaměstnancem správce nebo zpracovatele jsou zaměstnanci organizátora akce pracující na základě pracovní smlouvy, dohody o provedení práce nebo dohody o pracovní činnosti. Jinými osobami jsou typicky dodavatelé jednotlivých služeb v rámci akce – poskytovatelé restauračních, ubytovacích, dopravních, tlumočnických nebo zábavních služeb.
Podmínkami ve smyslu § 14 zákona se rozumí organizační pokyny, tj. určení vedoucích odpovědných pracovníků, rozdělení úkolů, pokyn k používání konkrétních nástrojů pro zpracování a ochranu dat (např. použití konkrétního formuláře, konkrétní zabezpečené technologie, konkrétního dodavatele atd.). Vedle zavedení podmínek zpracování osobních údajů je také nezbytné zaměstnance a dalších osoby s jejich obsahem seznámit. Ve vztahu k zaměstnancům lze nedodržení stanovených podmínek sankcionovat v rámci pracovněprávního vztahu. U dodavatelů je nezbytné, aby organizátor povinnost dodržovat podmínky zanesl do smlouvy o poskytování dílčích služeb mezi ním a dodavatelem. S nedodržením této smluvní povinnosti je vhodné spojit smluvní sankci – např. smluvní pokutu.
Obdobný požadavek jako v zákoně si často ve smlouvě klade i objednatel akce. Ten vyžaduje, aby organizátor u sebe, svých zaměstnanců, dodavatelů a téměř všech, co se nachomýtnou okolo akce, zajistil ochranu osobních údajů a soukromí účastníků akce a zajistil i mlčenlivost. S nedodržením smluvní povinnosti pak objednatel akce obvykle spojuje nemalou smluvní pokutu. Rovněž dodržení zmíněné smluvní povinnosti lze prakticky zajistit jen přijetím konkrétních pokynů vůči zaměstnancům a vůči dodavatelům, přičemž vůči druhým uvedeným je potřeba vyjádřit povinnost k jejich dodržování přímo ve smlouvě o zajištění dílčích služeb.
Absence pravidel pro zpracování osobních údajů při organizacování akce je porušením povinnosti správce nebo zpracovatele osobních údajů podle zákona o ochraně osobních údajů. Z hlediska zaměstnanců, resp. ostatních spolupracujících osob organizátora akce, to znamená, že neponesou odpovědnost za případnou ztrátu či zneužití osobních údajů, pokud k nim dojde právě v důsledku absence nezbytných opatření. Odpovědný za porušení zákona o ochraně osobních údajů bude v takovém případě daný organizátor, a nikoliv zaměstnanec, který nebyl zaměstnavatelem řádně poučen o svých povinnostech, resp. mu tyto povinnosti nebyly vůbec stanoveny. Porušení povinnosti mlčenlivosti je kvalifikováno jako přestupek.
Jestliže dodavatelé prakticky zajišťující akci na základě smlouvy o dílo nebo jiné smlouvy s organizátorem nedodrží podmínky ochrany osobních údajů stanovené organizátorem nebo nedodrží povinnost mlčenlivosti, může organizátor přistoupit k uplatnění stanovených smluvních sankcí, vypovězení dané smlouvy nebo požadovat náhradu škody, která mu vznikla v souvislosti s porušením stanovených pravidel.
Závěrem tedy můžeme shrnout, že by se v praxi nemělo stát, aby organizátor akce pominul otázku praktických pokynů pro nakládání s osobními údaji účastníků akce a už vůbec by ji neměl pominout ve smlouvě se svými dodavateli.
Foto: Thinkstockphotos.com
Vážení čtenáři, Váš oblíbený portál Celyoturismu.cz bude v horizontu 3 měsíců uzavřen. To podstatné z cestovního ruchu – vývoj, statistiky, analýzy, legislativní problematiku atd. – proto nově najdete na zpravodajském portálu Hospodářské komory ČR www.komoraplus.cz a také ve...
Krajský soud v Brně potvrdil pokutu 8,3 milionu korun, kterou rezervačnímu portálu Booking.com uložil v roce 2019 Úřad pro ochranu hospodářské soutěže (ÚOHS). Vyplývá to z rozsudku zveřejněného na elektronické úřední desce soudu.
Ministerstvo pro místní rozvoj pracuje na novele, která umožní obcím regulovat sdílené ubytování typu Airbnb na jejich území, ale také jasně odliší příležitostný pronájem od hotelových apartmánů. V tiskové zprávě o tom informoval mluvčí ministerstva pro místní...
