• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Vyhnú sa neziskové organizácie GDPR nariadeniam?

Neziskové organizácie sa nepovažujú za výnimku v súvislosti so všeobecným nariadením o ochrane údajov (GDPR). Toto európske nariadenie platí pre všetky subjekty, ktoré spracúvajú osobné údaje fyzických osôb v EÚ — bez ohľadu na ich právnu formu alebo cieľovú činnosť. To znamená, že aj neziskové organizácie, občianske združenia, nadácie či cirkevné spoločenstvá musia dodržiavať všetky povinnosti podľa GDPR, ak zhromažďujú alebo spracúvajú osobné údaje napríklad o svojich členoch, darcov, dobrovoľníkoch alebo prijímateľoch pomoci.

V nasledujúcom článku si podrobne vysvetlíme, ako sa GDPR týka neziskových organizácií, aké výnimky môžu a nemusia uplatňovať, aké povinnosti im z neho vyplývajú, ako zabezpečiť súlad s nariadením a čo im hrozí pri jeho porušení. Cieľom je pomôcť neziskovým organizáciám nielen porozumieť svojej právnej zodpovednosti, ale hlavne prijať praktické kroky na ochranu osobných údajov a budovanie dôvery medzi členmi a verejnosťou.

Pre koho platí GDPR a čo znamená v praxi?

GDPR (General Data Protection Regulation) je nariadenie Európskej únie, ktoré nadobudlo účinnosť 25. mája 2018 a týka sa spracúvania osobných údajov fyzických osôb žijúcich v EÚ. Nezáleží, či sa jedná o štátne inštitúcie, firmy alebo neziskové organizácie – ak subjekt spracúva osobné údaje, GDPR sa ho týka.

Osobné údaje – čo to presne je?

Osobné údaje sú akékoľvek informácie, ktoré môžu identifikovať konkrétnu osobu. Môže ísť o:

  • Meno a priezvisko
  • Emailová adresa
  • IP adresa
  • Adresa bydliska
  • Údaje o zdravotnom stave, rasovom pôvode, náboženskom presvedčení a pod. – tzv. citlivé údaje (osobitná kategória)

Prečo sa GDPR týka aj neziskových organizácií?

Neziskové organizácie často zhromažďujú údaje o svojich členoch, sympatizantoch, darcoch či prijímateľoch služieb. Pravidelne používajú e-maily, kontaktujú verejnosť prostredníctvom kampaní, alebo organizujú podujatia. Všetky tieto činnosti si vyžadujú spracovanie osobných údajov, a tým pádom spadajú pod pôsobnosť GDPR.

Existujú pre neziskové organizácie výnimky?

GDPR vo svojej podstate neoslobodzuje neziskové organizácie od povinností. Existujú však určité uľahčenia, ktoré závisia od typu spracovania a rozsahu operácií.

Kedy môžu neziskové organizácie uplatniť špecifické úľavy?

Úľavy môže nezisková organizácia využiť, ak:

  • Osobné údaje spracúva vo veľmi obmedzenom rozsahu (napr. iba e-mailové adresy pre zasielanie pozvánok)
  • Nevykonáva systematické a rozsiahle spracovanie citlivých údajov
  • Spracúva údaje len v rámci uzavretých skupín (napr. členovia spolku)

Napriek týmto výnimkám platí, že každá organizácia musí dodržiavať základné princípy GDPR, ako je transparentnosť, minimalizácia údajov a bezpečnosť dát.

Aké sú hlavné povinnosti neziskových organizácií podľa GDPR?

GDPR kladie dôraz na niekoľko kľúčových oblastí, ktoré sa týkajú aj neziskových subjektov:

1. Právny základ spracovania

Nezisková organizácia musí mať právny dôvod, prečo spracúva údaje. Najčastejšie ide o:

  • Súhlas dotknutej osoby – napríklad pri získavaní darcov
  • Zmluvný vzťah – napríklad s dobrovoľníkmi
  • Legitímny záujem – napr. pri uchovávaní evidencie členov

2. Informačná povinnosť

Organizácia musí jasne informovať jednotlivcov, ako používa ich údaje. To znamená spraviť dostupné:

  • Samostatné zásady spracúvania osobných údajov (privacy policy)
  • Vyhlásenie o tom, kto je prevádzkovateľom, aké údaje sa spracúvajú, ako dlho a komu sa poskytujú

3. Zabezpečenie údajov

Údaje musia byť technicky aj organizačne chránené – napríklad heslá, šifrovanie, obmedzený prístup, bezpečné cloudové úložiská a pod.

Spracovanie citlivých údajov v neziskových organizáciách

Mnohé neziskové organizácie pracujú s ľuďmi v ohrození – napr. so seniormi, zdravotne znevýhodnenými, obeťami násilia. V takých prípadoch môže dochádzať k spracúvaniu tzv. osobitných kategórií údajov – tzv. citlivých údajov, ako sú:

  • Údaje o zdravotnom stave
  • Náboženská alebo politická príslušnosť
  • Etnický pôvod
  • Údaje o trestnej činnosti

Spracovanie tohto typu údajov je mimoriadne citlivé a povolené len za špecifických podmienok, obvykle so výslovným súhlasom dotknutej osoby.

Je potrebný zodpovedná osoba (DPO) pre každú organizáciu?

Nie všetky neziskové organizácie musia vymenovať zodpovednú osobu (Data Protection Officer – DPO). Povinnosť vymenovať DPO vzniká vtedy, ak:

  • Organizácia vykonáva rozsiahle monitorovanie osôb
  • Dochádza k rozsiahlemu spracúvaniu citlivých údajov

V praxi väčšina malých a stredných neziskových organizácií nepotrebuje vlastného DPO, ale mali by mať aspoň poverenú osobu zodpovednú za správu údajov a GDPR dokumentáciu.

Praktické kroky k súladu s GDPR pre neziskové organizácie

Prehľadný zoznam činností, ktoré by organizácia mala vykonať:

  1. Audit osobných údajov – aké údaje sa zbierajú, prečo a kde sú uložené
  2. Určenie právneho základu pre každé spracovanie
  3. Vypracovanie a zverejnenie zásad ochrany osobných údajov
  4. Sledovanie procesov zberu súhlasov (napr. e-maily, registračné formuláre)
  5. Zabezpečenie údajov – heslovanie, aktualizácie softvéru, obmedzený fyzický prístup, atď.
  6. Dohody so spracovateľmi – externí IT dodávatelia, cloud služby a pod.

Ako riešiť incidenty a porušenie ochrany údajov?

Ak dôjde k úniku alebo neoprávnenému prístupu k údajom, organizácia musí konať rýchlo:

  • Oznámiť incident Úradu na ochranu osobných údajov do 72 hodín
  • Informovať dotknuté osoby, ak ide o vážne narušenie ich práv
  • Viesť záznam o incidente – čo sa stalo, ako sa to riešilo, aké opatrenia boli prijaté

Pokuty a sankcie, ktorým môžu neziskovky čeliť

Aj neziskové organizácie môžu čeliť sankciám za porušenie GDPR. Tieto môžu zahŕňať:

  • Pokuty až do výšky 20 miliónov eur alebo 4 % z celkového obratu (podľa toho, ktorá suma je vyššia)
  • Upozornenia alebo obmedzenia spracovania
  • Poškodenie reputácie

V praxi sa úrad zvyčajne snaží najprv pomôcť organizácii opraviť chyby, ale pri vážnych alebo opakovaných porušeniach môže dôjsť aj k finančným postihom.

Záver: GDPR ako príležitosť, nie len povinnosť

Hoci dodržiavanie GDPR znamená pre neziskové organizácie isté administratívne náklady a zmeny v procesoch, zároveň prináša aj pozitíva. Dôsledná ochrana osobných údajov buduje dôveru u členov, darcov, verejnosti aj partnerov. Navyše zlepšuje interné procesy, zamedzuje zbytočnému zberu údajov a zvyšuje transparentnosť fungovania každej organizácie.

Každá nezisková organizácia by si mala uvedomiť, že GDPR nie je prekážkou, ale modernou výzvou ako chrániť ľudí, ktorým slúži.