GDPR - Obecné nařízení o ochraně osobních údajů

Jedná se o nařízení, které vstupuje v účinnost 25. května 2018 a přináší dosud nejrozsáhlejší úpravy v ochraně osobních údajů pro celou EU. Většinou se ale jedná spíše o upřesnění a zpřísnění stávajících pravidel. GDPR se týká všech právnických i fyzických osob, které zpracovávají osobní údaje - např. zaměstnanců, zákazníků, partnerů, apod.

Jedná se o nařízení, které vstupuje v účinnost 25. května 2018 a přináší dosud nejrozsáhlejší úpravy v ochraně osobních údajů pro celou EU. Většinou se ale jedná spíše o upřesnění a zpřísnění stávajících pravidel.

GDPR se týká všech právnických i fyzických osob, které zpracovávají osobní údaje fyzických osob - např. zaměstnanců, zákazníků, obchodní partneři (FO), apod.

Z působnosti GDPR jsou vyloučeny údaje o právnických osobách, anonymizované údaje a údaje zemřelých osob.

Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Zvláštní kategorií osobních údajů jsou údaje citlivé - údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob. Tyto údaje podléhají přísnějším opatřením než obecné osobní údaje.

Zpracováním se rozumí operace nebo soubor operací s osobními údaji prováděných pomocí či bez pomoci automatizovaných postupů, jako např.: shromažďování, zaznamenávání, uložení, vyhledání, nahlédnutí, použití, šíření, výmaz, apod.

KDY JE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOULADU SE ZÁKONEM?
Jedná se zejména o:

  • Zpracování, k němuž správce/zpracovatel získal souhlas.
    Souhlas se zpracováním osobních údajů musí být dán svobodně, ke konkrétnímu účelu a na dobu určitou. Tento účel musí být jednoznačně specifikován a musí být prokazatelně doložen po celou dobu zpracování.
  • Zpracování osobních údajů, které je nezbytné pro splnění smlouvy.
    Pokud je se zákazníkem uzavřena smlouva na koupi zboží, výslovný souhlas se zpracováním osobních údajů není potřeba dávat do smlouvy, protože osobní údaje obsažené ve smlouvě jsou nezbytné pro splnění smluvní povinnosti.
  • Zpracování, které je nezbytné pro splnění právní povinnosti.
    Jako zaměstnavatel např. zpracováváte osobní údaje zaměstnanců. Tyto údaje musíte shromažďovat z důvodu zákonné povinnosti vést mzdovou a personální agendu (např. jméno a příjmení zaměstnance, rodné číslo, datum narození, mít informaci o tom u jaké zdravotní pojišťovny je zaměstnanec veden, osobní hodnocení zaměstnance, mzdy). Tyto údaje zpracováváte po určité období a v určitém rozsahu.

POZOR! S příchodem GDPR se ruší ohlašovací povinnost vůči ÚOOÚ, protože se zpřísňují požadavky na zpracování osobních údajů. 

PRÁVA FYZICKÉ OSOBY (NAPŘ. ZÁKAZNÍKA)

  • Právo na přístup k osobním údajům
  • Právo na opravu osobních údajů - oprava adresy, příjmení, apod.
  • Právo být zapomenut - zde záleží na konkrétním požadavku. Pokud se jedná o např. o údaj pro marketingové účely - požadavek bude přijat. Pokud se ale jedná o žádost smazání všech objednávek daného zákazníka - žádost bude zamítnuta z důvodu povinnosti vést účetní záznamy.
  • Právo na přenositelnost - právo na získání osobních údajů ve strukturované, běžně používané a strojově čitelné formě, např. XML formát, a následné předání novému správci.

Žádosti zaslané subjektem údajů by měly být zpracovány a vyřízeny nejdéle měsíc od zaslání žádnosti.

POVINNOSTI FIREM

Jakékoliv porušení zabezpečení osobních údajů správce bez zbytečného odkladu a to do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu. Porušením zabezpečení se rozumí náhodné či protiprávní zničení, ztráta, změna nebo neoprávněné poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost informovat o této události také subjekt údajů.

Povinnost vést záznamy o činnostech zpracování
Tyto záznamy by měly obsahovat především následující informace:

  • název a kontaktní údaje správce / právnické osoby,
  • informace o tom, zda byl jmenován pověřenec či nikoliv a pokud ano, tak dotyčného uvést,
  • účel zpracování osobních údajů,
  • popis kategorií subjektů údajů (např. zaměstnanci, zákazníci, osoby vstupující do monitorovacího prostoru správce, apod.) a kategorií osobních údajů,
  • kategorie příjemců, kterým byly, jsou nebo budou zpřístupněny osobní údaje, přenos údajů do jiné země či organizace, včetně identifikace příjemců a doložení záruk zabezpečení (jedná se například o doručovací společnosti, právní či účetní firmy, které se správcem spolupracují),
  • lhůtu pro odstranění údajů (zákonem stanovené lhůty, např. skartační lhůty),
  • obecný popis technických a organizačních bezpečnostních opatření uplatňovaných při zpracování (např. listiny obsahující osobní údaje jsou v uzamčeném prostoru, přístup k elektronickým datovým souborům je zabezpečen hesly v souladu s nastavením přístupových práv vnitřními předpisy, apod.)

Výjimku z povinnost vést záznamy o činnostech mají malé a střední podniky, které zaměstnávají méně než 250 zaměstnanců, pokud jejich zpracování např. nepředstavuje riziko pro práva a svobody fyzických osob, je příležitostné, nezahrnuje zpracování zvláštních kategorií údajů či profilování zákazníků (jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě).

Povinnost jmenovat pověřence
Tato povinnost může nastat ve třech případech:

  1. Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů).
  2. Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů.
  3. Hlavní činností správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.


Za hlavní činnosti lze považovat klíčové operace směrující k dosažení cílů správce. Aby se jednalo o hlavní činnost podnikatele, musí být osobní údaje zpracovávány rozsáhle a musí souviset se základními činnostmi právnické osoby. Jde o veškeré aktivity podnikatele, kdy je zpracování osobních dat nedílnou součástí činnosti podnikatele. Např. nemocnice by bez zpracování osobních údajů nemohla adekvátně poskytnout zdravotní péči pacientovi.

A samozřejmě jako u každé "novinky" nesmí ani tady chybět astronomické sankce. Konkrétně se jedná o sankce ve výši 10 000 000 EUR nebo do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, 20 000 000 EUR nebo do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok.

GDPR je především o nastavení vnitřních koncepcí. Doporučujeme tedy:

  • upravit externí dokumentaci - souhlasy se zpracováním, obchodní podmínky, texty automatických emailů, apod.,
  • upravit interní dokumentaci - vnitřní normy a předpisy, smlouvy se zaměstnanci, smlouvy s obchodními partnery, apod.,
  • upravit procesy zpracování osobních údajů - zmapovat jaké údaje zpracováváme, kdo s nimi pracuje, kdo k nim má přístup, kde jsou uloženy, kde se archivují, apod. Na základě těchto informací vše přizpůsobit nařízení o ochraně osobních údajů,
  • upravit informační systémy - zkontrolovat přístupy jednotlivých uživatelů a jejich oprávnění,
  • vytvořit plán pro porušení zabezpečení osobních údajů,
  • přípravit se na výkon práv subjektů údajů - právo na výmaz, změnu údajů, přístup k údajům (žádosti apod.),
  • zavedení technických a organizačních opatření.

Šifrování - nejedná se o povinnost, je to pouze doporučený bezpečnostní prvek. Doporučuje se zejména u koncových zařízení - firemní email na soukromém mobilním telefonu, práce z domu na soukromém notebooku, apod.


Obchodní zástupci - jsou zcela nepochybně kreativní lidé - pozor zejména na uvádění např. citlivých údajů mezi informacemi v číselníku partnerů (kolonky informace, obchodní informace, apod.). 
Dále pozor pokud si vedou databázi zákazníků např. bokem v excelu - pokud dojde ke zrušení souhlasu se zasíláním obchodních sdělení, databáze nebude aktuální, obchodní zástupce pošle email => vznikne problém.

 

Problematikou kolem GDPR se v současné době zabýváme a bedlivě ji sledujeme. Nařízení GDPR se však neustále doplňuje o nejrůznější výklady a stanoviska příslušných orgánů. Analýzu souladu společnosti s Nařízením, návrh a realizaci potřebných opatření musí zajistit každá společnost sama.

GDPR není primárně o technologiích, proto je důležité přizpůsobit tomuto nařízení zejména vnitřní předpisy - směrnice, smlouvy s partnery a zaměstnanci, souhlasy se zpracováním osobních údajů, souhlasy pro marketingové účely, obchodní podmínky, apod.

Naši programátoři aktuálně pracují na úpravách informačního systému tak, aby vám byl při splnění podmínek GDPR maximálně nápomocný.

V brzké době vás budeme také informovat o GDPR v rámci e-shopů.