Obávané GDPR není žádnou velkou revolucí a závratné investice často nebudou nutné. Stačí naplnit povinnosti, které podnikatelé léta odkládají.
Obávané GDPR není žádnou velkou revolucí a závratné investice často nebudou nutné. Stačí naplnit povinnosti, které podnikatelé léta odkládají.
Máte písemně uzavřenou smlouvu o zpracovávání osobních údajů jinými subjekty? Tuto povinnost máte už od roku 2000 a je na čase ji naplnit.
Firmy, které v roli správce delegují zpracování osobních údajů na zpracovatele, musejí o tomto uzavírat takzvanou zpracovatelskou smlouvu. Naprostá většina podniků ale tímto dokumentem nedisponuje. Shodují se na tom právníci a další odborníci, kteří se specializují na ochranu osobních údajů a na brzy účinné evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR. Zpracovatelská smlouva přitom bude v případě kontroly jedním z prvních dokumentů, který budou chtít zástupci Úřadu pro ochranu osobních údajů vidět.
Povinnost ji mít není nová a nevyplývá jen z GDPR. Požaduje ji i český zákon 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. V jeho § 6 stojí, že pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Tato smlouva pak musí mít písemnou formu a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Dále musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Pokud tuto smlouvu správce osobních údajů nemá, dopouští se už dnes přestupku a stejně na to pohlíží i Obecné nařízení o ochraně osobních údajů. Doporučuji dát to do pořádku. V případě, že používáte například rozšířené služby Google Analytics nebo MailChimp, je možné si dokument snadno stáhnout z jejich webu. Pokud ho už máte, nezapomeňte k němu přiložit také dodatek týkající se GDPR,
komentuje advokátka z advokátní kanceláře eLegal Petra Dolejšová.
Pokračujte na: Jak dopadne nová regulace GDPR na české e-shopy a weby?
Požadavky na zpracovatelskou smlouvu jsou přesně formulovány i v Obecném nařízení o ochraně osobních údajů, konkrétně v jeho článku 28. Podle něj se zpracování zpracovatelem řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.
Tyto informace jsou jakousi ochranou a zaručují, že zpracovatel:
Zpracovatelská smlouva nebo jiný právní akt musí být podle nařízení GDPR vyhotoveny písemně, nikoli však nutně na papíře. Počítá se i elektronická forma dokumentu. Dále není nutné, aby se jednalo o samostatnou smlouvu. Požadované náležitosti je možné zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem v rámci obchodního či jiného vztahu uzavírá.
Zní to možná jako formalita, ale taková smlouva je důležitou ochranou před problémy, které v souvislosti s ochranou osobních údajů hrozí každému správci. Správce má totiž zákonnou povinnost využít ke zpracování těchto dat pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení GDPR a byla zajištěna ochrana práv subjektu údajů. Na můj dotaz, co mají dělat například freelanceři a lidé, kteří používají zdarma dostupné cloudy a software, které nepatří mezi nejbezpečnější, reagoval Úřad pro ochranu osobních údajů tak, že pokud člověk nemá na to, aby si pořídil bezpečné nástroje, neměl by v podstatě podnikat,
upozorňuje advokátka Petra Dolejšová.
Toto vyjádření a zejména zákony ale není třeba brát až tak vážně. Podle současné legislativy by totiž prakticky nebylo vhodné používat ani Google. Vzhledem k online marketingovým nástrojům a všem dalším „velkým bratrům“, kteří jsou schopni použít do vyhledávače jednou vložená data na různých frontách, se totiž nejedná o bezpečné zpracování. Přesto je vyhledávač používaný a nikdo za to není postihován. Aby se tak stalo, muselo by dojít k opravdu závažnému problému. Pak by úřady mohly přistoupit k udělení pokuty, protože podnikatel odpovídá za to, že používá právě bezpečné nástroje.
Psali jsme: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud
Každého správce se nařízení GDPR dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i přípravy správce na Obecné nařízení o ohraně osobních údajů, upozorňuje Úřad pro ochranu osobních údajů. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti.
Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy může být i vytipování slabých míst správce, například v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení (například pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti obecného nařízení). Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů. Více o tom v článku Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte.
Pokud správce řádně plní povinnosti vyplývající ze současného zákona o ochraně osobních údajů, nemělo by pro něj Obecné nařízení o ochraně osobních údajů představovat výrazný problém, se kterým by si neporadil,
dodává mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták. Důležité je podle něj nezapomenout na osvětu zaměstnanců.
Internet Info Podnikatel.cz (www.podnikatel.cz)
Největší server pro podnikatele v ČR. ISSN 1802-8012
Copyright © 2007 – 2019 Internet Info, s.r.o. Všechna práva vyhrazena.