Hlavní navigace

GDPR je tady. Připravili jsme velký rozcestník změn a novinek, které přináší

Daniel Morávek

Dnešním dnem nabylo účinnosti Obecné nařízení o ochraně osobních údajů (GDPR). Připravili jsme velký rozcestník informací.

Doba čtení: 9 minut

V první části naleznete vysvětlení základních pojmů, v druhé pak stručnou charakteristiku GDPR a v třetí odkaz na další zdroje, a to včetně názorných příkladů.

Čtěte také: Statisíce podnikatelů zastihne GDPR nepřipravené. Kde sehnat potřebné informace?

Podnikatelé se už musí řídit GDPR

GDPR je již účinné a podnikatelé se jím ode dneška musí řídit. Jak upozorňuje Úřad pro ochranu osobních údajů (ÚOOÚ), GDPR nepřináší tolik novinek, jak by se mohlo na první pohled znát. Ochrana osobních údajů totiž už v ČR platí více než 25 let. Přesto GDPR přináší některé změny a úpravy.

Pojmy

Zpracování osobních údajů

Zpracování je jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Čtěte více na Lupa.cz: Musí firmy posílat e-maily s žádostí o nový souhlas se zpracováním údajů?

Osobní údaje

Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Čtěte více na Lupa.cz: Co všechno je osobním údajem?

V marketingu jde typicky o:

  • jméno
  • e-mail
  • telefon
  • IČ, DIČ, RČ
  • adresu
  • cookies
  • IP adresu
  • foto, video

Subjekt údajů

Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@firmaabcxyz.cz.

Správce

Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Z povahy věci musí být u každého zpracování správce. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob. Správcem jsou tak samotní podnikatelé.

Čtěte také: Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte

Zpracovatel

Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Není povinností správce najmout si zpracovatele, tj. zpracovatel není nutný prvek zpracování. Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista správce a ani jeho vnitřní útvar).

Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců). Typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště apod.).

Čtěte více: Zpracování mzdového účetnictví externí firmou a GDPR

Záznamy o činnostech zpracování

Záznamy v podstatě nahrazují oznamovací povinnost, která byla obecným nařízením zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením. Není stanovena forma těchto záznamů a je předpoklad, že záznamy o činnostech zpracování se budou lišit i v závislosti na rozpětí prováděného zpracování. Nezbytné minimum záznamů je uvedeno v článku 30 odst. 1 obecného nařízení.

Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech. Do tohoto počtu se počítají i zaměstnanci na dohody o pracích konaných mimo pracovní poměr či agenturní zaměstnanci. S ohledem na praktičnost záznamů o činnostech zpracování ale úřady doporučují jejich vyhotovení i organizacím, u nichž není zcela zřejmé, že s ohledem na jejich činnost dojde k aplikaci výjimky z této povinnosti.

Čtěte více: Jak se postavit k (ne)povinnosti vedení záznamů o činnostech zpracování?

Principy GDPR

Zjednodušeně se dá GDPR shrnout do čtyř bodů.

Čtěte také: Princip založený na riziku a odpovědnosti. Dva základní pilíře GDPR 

Právní důvody získávání údajů

První z nich tvoří právní důvod, pro který může podnikatel získávat a používat osobní údajů zákazníků nebo zaměstnanců. Velmi často jím bývají smlouvy, které s nimi uzavíráme. Pracovní smlouvy se zaměstnanci, kupní smlouvy nebo jiné se zákazníky. Takovým důvodem je samozřejmě také zákon, který to ukládá, např. při vedení evidencí občanů státními orgány, ale i při vedení účetní a mzdové evidence v soukromé firmě. V některých případech může být důvodem ochrana našich práv, např. hlídá-li kamera náš cenný majetek před zlodějem nebo vandalem. Jindy to může být veřejný zájem na informacích o určitých osobách, zejména veřejně známých nebo veřejně činných, upřesňuje na webu ÚOOÚ.

Pokud nemáte právní důvod a chcete osobní údaje získávat a pracovat s nimi, je třeba dotyčné požádat, zda s vedením takových údajů budou souhlasit. Právě v souvislosti se souhlasem přináší GDPR přísnější požadavky. Pozor především na to, že souhlas musí být dobrovolný, nemůže jím být podmiňováno uzavření smlouvy, a když ho zákazník odvolá, má právo, aby byly takové údaje vymazány. Když už si zákazník od podnikatele něco koupil nebo objednal, není třeba získávat jeho souhlas k zaslání další nabídky zboží nebo služeb, nejčastěji zasílané na jeho e-mail. Jakmile však odpoví, že o takové obchodní sdělení nestojí, je nutné zasílání nabídek na jeho adresu ukončit. Zároveň by mělo platit, že newslettery musí souviset se zbožím nebo službou, kterou si u vás objednali.

Čtěte více: Nechce být obtěžován telefonáty pro průzkum trhu. Firma musí námitku akceptovat

Jak upozorňuje advokátka Petra Dolejšová z eLegal, sbíráte-li kontakty online, nezapomeňte, že je potřeba použít double opt-in. A především myslete na to, že znění souhlasu musí obsahovat:

  • které údaje shromažďuji,
  • kdo jsem a kdo další je zpracovává,
  • za jakým účelem,
  • na jakou dobu,
  • jaká práva má člověk, jehož osobní údaje zpracovávám.

Čtěte více: Jak dát nejčastější marketingové fígle na získání e-mailů do souladu s GDPR

Co se týče požadavků na parametry souhlasu, dle preambule GDPR se může například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas, doplnila pro server Podnikatel.cz Karin Pomaizlová, advokátka TaylorWessing e|n|w|c advokáti.

Zásady

  • zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně,
  • omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
  • minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
  • přesnost – osobní údaje musí být přesné,
  • omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  • integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.

Čtěte více: Jak je to s GDPR a transparentností?

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Informace

Možná nejpodceňovanějším bodem jsou informace. Lidem totiž musí dát dostatečnou informaci o tom, proč své osobní údaje poskytují a co se s těmito údaji bude dále dít, komu budou případně předány. Již při získávání údajů je proto třeba dotyčnému člověku takové informace poskytnout, nejlépe v písemné podobě, ať již v místě, kde k získání údajů dochází, nebo i prostřednictvím webových stránek, radí ÚOOÚ.

Zabezpečení

V neposlední řadě musí podnikatelé samozřejmě myslet na zabezpečení údajů, a to jak v počítačové, tak ve fyzické podobě. Je třeba, aby listinné dokumenty, pokud se s nimi nepracuje, byly uchovávány v uzamčené zásuvce stolu nebo v uzamčené skříni a nebyly ponechávány v neuzamčené místnosti, pokud z ní odchází ten, kdo s nimi má pracovat. K údajům uloženým v počítači nebo jiném elektronickém zařízení může mít na základě správně zvoleného hesla přístup vždy jen ten, kdo je pověřen, aby s určitými údaji pracoval. U větších a složitějších systémů je také třeba pořizovat elektronické záznamy, které umožňují určit a ověřit, kdy, kdo a z jakého důvodu údaje používá, tzv. logy, doporučuje ÚOOÚ.

Čtěte více: Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR?

Úplnou novinkou je povinnost nahlašovat incidenty týkající se zabezpečení. Veškeré případy porušení zabezpečení osobních údajů bude správce totiž nově povinen bezodkladně ohlašovat Úřadu pro ochranu osobních údajů a v případě velmi rizikových incidentů i samotným subjektům údajů.

Čtěte také: Musíte kvůli GDPR chránit osobní data v ocelové skříni? Odborník radí v poradně

Zdroje informací