1 Základní pojmy

1.1 Osobní údaj

Osobním údajem je jakákoliv informace, která se týká konkrétního člověka. Nejde jen o údaje, na základě kterých lze tohoto člověka přímo identifikovat jako je např. číslo občanského či čtenářského průkazu, ale i další údaje, které se ho týkají, jako je např. záznam historie výpůjček či výše dluhu. Nezáleží na tom, zda tyto údaje knihovna získala přímo od dotyčného, nebo je k němu později přiřadila, např. na základě jeho čtenářské aktivity.

Nařízení osobní údaje přímo nevyjmenovává, je tedy třeba vždy posoudit, zda knihovna disponuje takovou kombinací osobních údajů, na základě kterých lze určit konkrétního člověka. Přitom není nutné, aby konkrétního člověka dokázala určit sama knihovna, ale stačí, pokud by to dokázala na základě poskytnutých údajů třeba policie (např. na základě fotografie).

Osobními údaji nejsou údaje o právnické osobě, ani údaje o člověku, který již zemřel. Tyto údaje však můžou být chráněny na základě jiných právních předpisů.

1.2 Subjekt údajů

Subjektem údajů je člověk, o jehož údaje se jedná, například uživatel, návštěvník, zaměstnanec knihovny apod.

1.3 Zpracování osobních údajů

Zpracování osobních údajů je jakákoliv operace s nimi, tedy včetně jejich zobrazení na monitoru počítače, uložení v papírové podobě, přepsání do databáze, oprava, vytvoření kopie, anonymizace apod.

1.4 Správce osobních údajů

Správcem osobních údajů je ten, kdo určuje účel a prostředky konkrétního zpracování osobních údajů, v našem případě tedy provozovatel knihovny[2]. Provozovatele knihovny (jehož pro zjednodušení označujeme též jako knihovnu) dále v textu vždy uvažujeme v roli správce.

1.5 Zpracovatel

Zpracovatelem osobních údajů je ten, kdo pro knihovnu s osobními údaji jakkoli nakládá, nikoli však její vlastní zaměstnanec. Typicky půjde o poskytovatele automatizovaného knihovního systému (dále jen AKS) či toho, kdo pro knihovnu vymáhá pohledávky. Může jím ale být například i společnost Google, pokud knihovna využívá její formuláře či cloudové služby.

2 Základní zásady nakládání s osobními údaji

Základní zásady pro nakládání s osobními údaji Nařízení upravuje v čl. 5. V souladu s těmito zásadami musí provozovatel knihovny dbát na to, aby osobní údaje byly:

  • zpracovávány pouze na základě konkrétních právních důvodů (více v kapitolách 5 a 6),

  • zpracovávány korektně a transparentně (více např. v kapitole 7.1),

  • shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely (více v kapitolách 4 a 6),

  • přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (více v kapitole 7.4),

  • přesné a v případě potřeby aktualizované (více v kapitole 7.3),

  • uloženy pouze po dobu nezbytnou pro účely, pro které jsou zpracovávány (více v kapitole 7.4),

  • zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů (více v technické části této příručky).

Tyto zásady je třeba mít na mysli při zavádění jakéhokoli opatření, které se týká osobních údajů. Obecně lze říci, že by osobní údaje měly být zpracovávány v souladu s rozumným očekáváním subjektu údajů a v rámci obvyklého očekávání ve společnosti.

2.1 Odpovědnost knihovny jako správce osobních údajů

Nařízení klade na odpovědnost správce vyšší důraz, než činila předchozí úprava. Je na provozovateli knihovny, aby posoudil míru rizika, kterou jeho zpracování osobních údajů přináší, a přijal tomuto riziku odpovídající opatření[3].

S rozšířením odpovědnosti správců také souvisí zrušení oznamovací povinnosti. Knihovny tedy již nebudou muset ohlašovat nová zpracování osobních údajů Úřadu pro ochranu osobních údajů.

Knihovna jako správce osobních údajů odpovídá nejen za dodržování všech povinností, které z výše uvedených zásad vyplývají, ale také musí být schopna dodržování povinností v kterémkoli okamžiku doložit (více v kapitole 8).

Pokud je knihovna organizační složkou obce či jiné právnické osoby, je vhodné řešit problematiku ochrany osobních údajů v rámci celé organizace.

3 Osobní údaje zpracovávané knihovnou

Aby knihovna byla schopna naplnit povinnosti, které jí nařízení ukládá, je nezbytné, aby měla přehled o všech zpracováních, která provádí, což nemusí být tak samozřejmé, jak se zdá. Dále jsou uvedeny typické případy, kdy knihovny zpracovávají osobní údaje. Je však třeba, aby si každá knihovna vytvořila svůj vlastní kompletní přehled (.xlsx).