GDPR pro podnikatele

Co znamená GDPR a ochrana osobních údajů? Jak se na to jako podnikatel připravím?

Blíží se účinnost nařízení Evropského parlamentu a rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které lze najít pod anglickým názvem General Data Protection Regulation, nebo nejčastěji pod zkratkou „GDPR„, kterou budeme používat i zde. Většina z nás už o tom slyšela a také zná datum, od kterého je třeba mít vše v souladu s tímto nařízením – 25.5.2018.

Většina podnikatelů se tímto úkolem už nějakou dobu zabývá, přesto jsou pro někoho některé věci méně jasné – GDPR se týká i právnickým osob („firem“) i fyzických osob (živnostníků). Je důležité, že pracujete s osobními údaji. Dokonce i za situace, že obchodujete pouze B2B, tedy jen s jinými podnikateli a neřešíte spotřebitele, tak se na vás pravděpodobně GDPR vztahuje.

Dobrá rámcová pomůcka, podle které zjistíte, jak moc vás GDPR zatíží, je GDPR kalkulačka, kterých je na internetu k dispozici více – můžete zkusit například O2 GDPR Partner, nebo GDPR kalkulačka. Doporučuji brát tyto nástroje jako první orientaci v tom, co budete potřebovat. Určitě bych nedoporučila brát výstup z kalkulačky jako jediný krok, který kvůli GDPR uděláte.

Co po vás vlastně GDPR chce?

  • abyste pracovali jen s nejmenším potřebným množství osobních údajů,
  • abyste chránili osobní údaje před zneužitím, zveřejněním a ztrátou,
  • abyste měli souhlas s používáním a zpracováním osobních údajů, pokud souhlas potřebujete,
  • abyste měli pořádek v tom, kdo, kdy, jak, proč a jak dlouho s osobními daty pracuje.

Je to samozřejmě zjednodušeně řečeno, ale nezní to jako nic překvapivého, že? Takové zacházení s osobními údaji by se líbilo myslím všem. V této souvislosti vás pak již nepřekvapí, že většinu těch běžných povinností, které nyní vyžaduje GDPR, tak vyžadoval i náš původní zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.). Proto tedy ti, kteří dodržovali již současné právní předpisy, nebudou mít tolik práce. Spíše se bude jednat o kontrolu a nějaká vylepšení, případně zvýšení systematičnosti.

Už jsme vícekrát mluvili o osobních údajích – co jsou to osobní údaje?

Jedná se o jakýkoliv typ informací, které souvisí s konkrétní osobou. A buď to bude přímo označená osoba (pan Jiří Novák, RČ 123456/7890), nebo ji lze celkem jednoduše identifikovat (k číslu objednávky máte připojené osoby, pak ani číslo objednávky není dostatečně anonymní).  Údaje se pak dělí na na „standardní“ a „citlivé“, které mají vyšší stupeň ochrany. Dejme si příklady osobních údajů:

  • jméno a příjmení, datum narození (věk), rodné číslo, adresa bydliště,
  • telefonní číslo (soukromé i pracovní), email, uživatelské jméno na sociální síti (Facebook, Instagram, Twitter…), IP adresa
  • pohlaví, osobní stav, zdravotní stav (psychický i fyzický), DNA/RNA, krevní skupina, RH faktor,
  • vzdělání, mzda/plat, členství v odborech, trestní delikty a pravomocná odsouzení,
  • fotografie, video, otisk prstu, snímek oka, podpis,
  • IČ, DIČ, číslo OP, číslo ŘP, číslo pasu,
  • osobní údaje spolužijících osob vč. manžela/manželky, dětí, podnájemníků,
  • národnost, náboženské a filozofické zaměření, sexuální orientace…

GDPR neustále hovoří o zpracování osobních údajů – to znamená, že s osobními údaji děláte vlastně úplně cokoliv, případně je i jen máte k dispozici. Jedná se například o shromažďování, třídění, ukládání, výmaz, aktualizace, použití, vyhledání, zpřístupnění, šíření.  V souvislosti se zpracováním osobních údajů se často používá slovo „správce“ –  takto GDPR označuje toho, kdo zpracovává osobní údaje. I když máte účetní, která má naprostou většinu vašich dokladů (zpracovatel) a tedy i osobní údaje, správcem jste stále vy.

Co můžete s osobními údaji dělat? Jak smíte osobní údaje zpracovávat (přesně v čl. 6 GDPR a v jeho odůvodnění):

  • pokud máte souhlas se zpracováním, tak s nimi můžete dělat vše, na co se souhlas vztahuje, pokud to není v rozporu se zákonem (např. když budete mít souhlas, můžete posílat marketingová sdělení),
  • zpracovávat je tehdy, když je potřebujete k tomu, abyste mohli splnit smlouvu (např. internetový obchod nepotřebuje souhlas se zpracováním, pokud od vás bude chtít jen údaje potřebné k doručení zboží),
  • zpracovávat je tehdy, když je to nezbytné k splnění právní povinnosti, kterou máte (např. identifikace zaměstnance u správy sociálního zabezpečení),
  • zpracovávat je tehdy, když je to nezbytné pro ochranu životně důležitých zájmů (např. pokud vím, že má někdo cukrovku a volám k němu akutně sanitku, lékařům to sdělím),
  • zpracovávat je tehdy, když je to nezbytné pro oprávněné zájmy nějaké osoby, což ale nelze nadřadit nad základní lidská práva a svobody (obtížněji zobecnitelné),
  • zpracování ve veřejném zájmu, nebo při výkonu veřejné moci se také některých podnikatelských subjektů může týkat (obtížněji zobecnitelné).

Potřebujeme souhlas se zpracováním osobních údajů vždy? 

Ne, rozhodně nikoliv. Nejdříve je potřeba zjistit, jestli se nejedná o nějakou kategorii, ke které souhlas není potřeba např. je to nutné k plnění smlouvy, nebo je to právní povinnost ze zákona. Teprve když to není žádná z těchto situací popsaných výše, tak žádáte o souhlas. Je totiž chybou i to, že žádáte souhlas tam, kde není ze zákona potřeba. Nezaměňujte ale potřebu souhlasu s povinností informovat – vždy musíte subjekt informovat o tom, že data zpracováváte, i když souhlas nepotřebujete. Sdělíte tedy subjektu obdobné informace, jako jsou v souhlasu, ale samotný souhlas nežádáte (označení a kontakt správce osobních údajů, účel zpracování, označení zpracovávaných údajů, doba, po kterou budou údaje zpracovávány, informace o předávání údajů do cizích zemí, pokud se to děje, jestli budou údaje zpracovávány automaticky).

Co obsahuje správný souhlas se zpracováním osobních údajů?

  • označení a kontakt správce osobních údajů (tedy označení vás jako podnikatele),
  • účel zpracování (proč se zpracovávají / k čemu se budou používat),
  • označení zpracovávaných údajů (kterých údajů se souhlas týká),
  • informace o možnosti odvolat souhlas,
  • doba, po kterou budou údaje zpracovávány,
  • informace o předávání údajů do cizích zemí, pokud se to děje,
  • jestli budou údaje zpracovávány automaticky (počítačem versus lidmi).

Souhlas je potřeba mít zvlášť, aby bylo zřejmé, že se jedná o vědomý souhlas tzn.

  • pokud se podepisuje smlouva, může se udělat zvlášť kolonka/odstavec, kde se zaškrtne, zda souhlasí se zpracováním,
  • ke smlouvě/dokumentu se přiloží zvlášť list se souhlasem,
  • podepíše se zvlášť dokument (potvrdí se souhlas emailem),
  • v elektronické verzi se přidá „zatržítko“ pro označení zvlášť, nelze to zahrnout pod jedno již předzatržené tlačítko…

Co má tedy běžný podnikatel udělat, aby vyřešilo GDPR?
Návod obsahuje několik kroků, které nejsou složité.

  1. Uděláte si seznam/přehled/tabulku osobních údajů. Musíte si udělat jasno v tom, jaké osobní údaje zpracováváte, z jakých důvodů, kdo k nim má přístup, jak jsou chráněna, jak dlouho je zpracováváte, kde se nachází, zda k nim máte souhlasy.
  2. Prověříme, ke kterým datům potřebujete souhlas a která smíte zpracovávat ze zákona.
  3. Na základě provedené analýzy se doplní souhlasy se zpracováním tam, kde jsou potřeba, a smažete data, která nemáte právo zpracovávat ze zákona a není k nim souhlas. Zároveň je vhodné si udělat skartační řád a přehled v archivovaných dokumentech. Pokud se zjistí nedostatky v zabezpečení, bude třeba je napravit (hesla, uzamykatelné prostory s dokumenty…).

Toto lze nazvat jako GDPR audit. Existují společnosti, které provádějí tuto službu „na klíč“a u vtěších společností ji doporučuji využít, pokud bude správně nastavena záruka za kvalitu výstupu. V každém případě ale k řešení GDPR nemáte povinnost využít ani notáře, ani právníka, ani speciálního auditora…

Co všechno podnikatelé v rámci GDPR auditu musí například řešit

  • přiměřenost sledování aktivity zaměstnanců na pracovních i polopracovních přístrojích (mobily, počítače, auta, fitness náramky, sdílené kalendářové aplikace),
  • kamerové systémy,
  • technická zabezpečení míst, kde se nacházejí data (mříže, dveře, okna, osoby s přístupem),
  • automatické shromažďování údajů přes WIFI a internetové připojení (IP adresy…),
  • školení a písemné pokyny pro osoby nakládající s osobními údaji (PR zaměstnanci, účetní…),
  • smluvní ošetření a ujištění pro všechny partnery, kteří nakládají s osobními údaji (např. dopravní služby vašeho zboží),
  • zpracování osobních údajů dětí,
  • poskytování údajů do zahraničí,
  • forma nabízení služeb (email, telefon, pošta) a souhlasy s tímto postupem,
  • přehled o místě uložení osobních údajů (listiny, cloudy)
  • reakční plán pro případ ztráty osobních údajů,
  • seznam externích osob, kterým jsou poskytovány osobní údaje a proč (účetní, právník, poradce…),
  • soulad existujících souhlasů se zpracováním osobních údajů a jejich soulad s GDPR,
  • reakce v případě žádosti o přístup k osobním údajům,
  • reakce na výmaz osobních údajů,
  • reakce na žádost o opravu osobních údajů,
  • výmaz osobních údajů z důvodu, že odpadl důvod pro jejich zpracování /uplynula doba platnosti souhlasu,
  • atd…

Co budete pravděpodobně potřebovat připravit/zkontrolovat?

  • obchodní podmínky,
  • informace pro spotřebitele,
  • souhlasy zaměstnanců se zpracováním osobních údajů,
  • poučení o nakládání s osobními údaji,
  • souhlas se zpracováním osobních údajů ve správné formě,
  • ustanovení o ochraně osobních údajů ve všech smlouvách.
  • atd…

Jak poznáte, že určitě potřebujete věnovat GDPR více pozornosti:

  • máte zaměstnance,
  • zpracováváte osobní údaje většího množství osob,
  • předmětem podnikání je zpracovávání osobních údajů,
  • rozesíláte reklamní emaily/poštu/SMS/telemarketing,
  • používáte k reklamě sociální sítě,
  • zpracováváte osobní údaje automatizovaně (počítačem),
  • poskytujete službu, která monitoruje jednání osob (fitness náramky, life-style mobilní aplikace, sledování polohy, ukládání oblíbených skladeb, marketingové profily na základě pohybu osob na webu, kamerové systémy vč. GoPro…),
  • předáváte získané údaje jiné osobě,
  • předáváte získané údaje do zahraničí,
  • pracujete se zranitelnějšími subjekty (nemocní lidé, starší lidé, děti),
  • provozujete místa určená pro ukládání osobních údajů (serverovny, archivy, cloudy),
  • a další…

Jak mohu pomoci s GDPR?
Pomohu vám najít, co jsou ve vašem případě osobní údaje a provedu vás přípravou přehledu tam, kde nebudete vědět. Je časté, že klienty vždy nenapadne, co všechno ještě spadá do osobních údajů, které je potřeba řešit, společně to budeme kontrolovat. Prověřím s vámi nutnost souhlasu a připravím formuláře souhlasu, kde bude třeba. Dokončíme přípravu, abyste splnili podmínky GDPR. Navrhneme konkrétní opatření a postupy.

Řešíte problémy, o kterých zde čtete? Potřebujete s něčím poradit? Poskytuji placené právní služby, pro jejich objednání volejte +420 774 411 933, nebo pište na strakova@advokatnisluzba.cz.

Upozornění : Tento příspěvek je osobním názorem autorky na výklad právních předpisů. Nejedná se o odborný text, čemuž jsou co nejvíce přizpůsobovány formulace. Zohledněte také datum, kdy byl článek napsán, právní úprava se mohla od té doby změnit. Nejedná se o právní poradenství – vaše situace může vykazovat specifika, které obecnost tohoto článku nemůže pojmout. Pokud potřebujete právní služby a poradenství, obraťte se na advokáta popř. notáře. Nezapomeňte také, že i tento článek je chráněn autorským právem a nikde jej necitujte bez uvedení zdroje a autorky.