1. díl: Týká se GDPR i vás? A co to vlastně je?

V celé Evropské unii vstoupilo 25. května v platnost nové nařízení o ochraně osobních údajů, známé pod zkratkou GDPR. Mnoho podnikatelů nicméně se zaváděním nových pravidel do praxe váhá nebo ani nemají jasno v tom, do jaké míry se jich týkají. Zjistěte, jestli se vztahují i na vás, a neriskujte vysoký finanční postih za jejich nedodržování.

GDPR (v češtině známé jako Obecné nařízení na ochranu osobních údajů) je dosud nejpokročilejší právní rámec zabývající se ochranou osobních údajů. Evropská unie jej schválila v dubnu roku 2016, a to v podobě obecného nařízení, což znamená, že členské státy jej přijímají ve výchozí podobě bez dalších úprav. V České republice tedy z velké části nahradí dosavadní zákon č. 101/2000 Sb. a směrnici 95/46/ES, konkrétně v těch pasážích, které se s GDPR překrývají. Kontroly dodržování pak nadále bude provádět Úřad pro ochranu osobních údajů.

GDPR dává lidem větší kontrolu nad jejich osobními údaji
Důvodem vzniku tohoto nařízení je fakt, že firmy o uživatelích sdružují čím dál více dat, ta následně uchovávají a využívají například pro efektivnější cílení reklamy. Uživatelé přitom často netuší, kolik toho o nich daná firma ví, a mnohdy ani nemají jak to zjistit. GDPR je dostává do výrazně lepšího postavení, pro firmy se ale jedná o nemalou komplikaci. Evropská unie si nicméně dodržování nařízení pojistila vysokými pokutami. Za jejich nedodržování firmě totiž hrozí postih ve výši až čtyř procent ročního obratu či 20 milionů eur.

Již od data vstupu GDPR do platnosti musí firmy s daty pracovat podle tohoto nařízení, nikoli pouze být ve stadiu příprav.

Na velikosti firmy téměř nezáleží
GDPR je závazné celosvětově pro všechny subjekty, které nějakým způsobem zpracovávají osobní data občanů EU. Netýká se tedy pouze velkých nadnárodních korporací, ale i drobných živnostníků, spolků, organizací, ale třeba i školních a zdravotnických zařízení. Samotné firmy přitom nemusí být z Evropské unie, rozhodující je to, jestli pracují s osobními údaji občanů EU.

Výjimek je poskrovnu
GDPR se týká skutečně všech subjektů pracujících s osobními údaji, malé firmy či neziskovky nevyjímaje. V podstatě jedinou výjimkou je povinnost vést tzv. Záznamy o činnostech zpracování. Ty obsahují jméno a kontaktní údaje správce, účel zpracování dat, popis kategorií subjektů a dat, rozsah jejich zpracování, informace o příjemcích, lhůtách pro případné odstranění údajů a informace o jejich zabezpečení. Ve zkratce jde tedy o velkou databázi, jejíž vedení představuje nemalé náklady navíc.

GDPR proto od povinnosti tyto záznamy vést osvobozuje firmy s méně než 250 zaměstnanci, avšak pouze za předpokladu, že nepracují s citlivými údaji nebo zpracování údajů není jejich hlavní činností.

GDPR dále není potřeba dodržovat tehdy, když jsou veškeré osobní údaje anonymizovány a nelze je žádným způsobem přiřadit ke konkrétním osobám, jsou-li zpracovávány pouze nahodile nebo v malé míře pro osobní potřebu.

Správce versus zpracovatel
V nařízení se často pracuje s pojmy správce a zpracovatel. Za správce se považuje ten, kdo zpracování osobních údajů provádí, určuje jeho účel a odpovídá za něj. Zpracovatel poté s údaji pracuje na základě pověření správcem. Správce tedy bude vždy přítomen, zpracovatel ovšem nemusí. Převedeno do praxe jde o to, jestli s osobními daty pracuje a uchovává je pouze samotná firma, nebo je v tomto procesu zapojena i třetí strana. Tou může být například software, cloudové úložiště, databázový systém nebo pověřená osoba, jež se prací s daty zabývá.

Cloudové služby představují dobré řešení především pro menší firmy, jejichž lokální servery často nedosahují vysoké úrovně zabezpečení. Velká cloudová úložiště většinou splňují velmi přísné bezpečnostní požadavky a neustále pracují na jejich vylepšování. Při výběru takové služby se zaměřte právě na bezpečnostní opatření, pravděpodobně ovšem budou na vyšší úrovni než u vás ve firmě. Stejně tak se o zabezpečení zajímejte i u dalších řešení, jako jsou například různé databázové softwary.

Odpovědnost je standardně na správcovi, pokud ovšem využívá služeb zpracovatele, odpovídají za osobní údaje oba. Zjistí-li zpracovatel, že správce nařízení nějakým způsobem porušuje, a nenahlásí to, odpovídá za případný postih stejnou měrou jako správce.

Osobní údaje pravděpodobně shromažďujete i vy
Obecně lze říci, že za osobní údaje GDPR považuje veškeré údaje, kterými lze nějakým způsobem identifikovat danou osobu. V praxi se tedy jedná o jméno, příjmení, rodinný stav, fotografie, adresu, datum narození, součástí jsou také kontaktní údaje jako telefonní číslo,
e-mailová adresa nebo třeba IP adresa.

Zvláštní kategorií jsou pak tzv. citlivé údaje, jež zahrnují například informace o rasovém a etnickém původu, politických názorech, vyznání, zdravotním stavu, záznamech v trestním rejstříku či sexuální orientaci. Jinými slovy jde o údaje, kterými by subjekt mohl být v případě jejich zveřejnění nějakým způsobem poškozen či na jejich základě diskriminován. Mezi citlivé údaje se řadí také biometrické či genetické údaje.

Podoba dat a jejich zabezpečení
Jedním z klíčových požadavků GDPR je, aby firmy data uživatelů dostatečně zabezpečily. V praxi jde především o to, aby veškerá zařízení, na nichž se data nacházejí, byla zabezpečená heslem. V ideálním případě by samotná data měla být zašifrována, dvojnásob to platí tehdy, jsou-li nějakým způsobem sdílená či přenášená. Pozor si dejte na nezabezpečené sítě, přesouvat data jejich prostřednictvím je velmi riskantní. Speciálně to může být problém u sdílených bezdrátových tiskáren, data k tisku jsou totiž obvykle přenášena nezašifrovaná.

GDPR se pochopitelně dotýká i papírových databází a kartoték. Obecně lze říci, že je nutné zajistit, aby se k nim nemohla dostat neoprávněná osoba. Je tedy ideální tato data uchovávat v sejfu či v jinak zabezpečeném úložišti.

V případě, že by došlo k nějakému narušení bezpečnosti dat, je nutné informovat dotyčné uživatele a také Úřad pro ochranu osobních údajů, a to nejpozději do 72 hodin po úniku. Tato povinnost nevzniká tehdy, nejsou-li při narušení nijak ohrožena práva a svobody uživatelů.

Základní práva uživatelů
Osoby, jejichž data jsou zpracovávána, získávají s GDPR mnohem více práv. Klíčovým je právo na informace. Uživatel tedy musí dát výslovný souhlas k tomu, že o něm firma osobní údaje může ukládat. Firma mu zároveň na žádost musí poskytnout veškeré nasbírané údaje a informace o tom, jak s nimi nakládá. Zjistí-li uživatel v údajích nějaké nesrovnalosti, může se domáhat jejich opravy. Využít může také práva být zapomenut, kdy je firma povinna veškeré s ním související údaje odstranit.

Za čtyři týdny vám poradíme, jaké kroky je potřeba podniknout pro soulad s GDPR.
Chcete více chytrých rad pro své podnikání a užitečné nástroje? Sledujte náš web průběžně, ať jste pořád o krok napřed před konkurencí.

Zjistěte, jak jste připraveni

Stále si nejste jistí, jestli se vás GDPR týká? Zjistěte to tak, že si odpovíte na následující otázky.

  • Uchováváte nějaké osobní údaje svých klientů?
  • Jde o údaje jasně propojitelné skonkrétními osobami?
  • Máte tyto údaje pouze pro osobní potřebu, nebo je nějakým způsobem využíváte, například pro kontaktování zákazníků?
  • Jedná se o základní data, zvláštní data nebo data citlivá?
  • Má vaše firma více než 250 zaměstnanců?
  • Zpracováváte data pouze pomocí interních nástrojů, nebo je využívána služba třetí strany (např. databázový software nebo cloudové úložiště)?

Zpět