GDPR přehledně: Jak na firemní správu osobních údajů?
Ať už máte jednoho nebo dvě stě zaměstnanců, ať už máte jednoho nebo tisíc zákazníků týdně, musíte řešit GDPR. S tím je spojena poměrně pestrá administrativa, která vám může přidělat dost práce a starostí. Jak řešit GDPR ve firmě co nejsnadněji?
Co je to GDPR?
Obecné nařízení o ochraně osobních údajů EU (GDPR) vzniklo se záměrem zajistit jednotné zákony na ochranu osobních údajů v rámci celé Evropy. U nás nařízení nahrazuje směrnici 95/46/ES o ochraně údajů. Od té se liší širší působností, pokutami při nedodržení nařízení, způsobem získávání souhlasu se zpracováním dat a velkým důrazem na soukromí uživatelů.
Koho se to týká?
GDPR se vztahuje na všechny organizace v rámci Evropské unie i na společnosti, které sídlí mimo EU. V zásadě se GDPR dotkne všech organizací, které nabízí zboží nebo služby subjektům v EU nebo které monitorují jejich chování. Týká se každého, kdo vykazuje nějaké účetnictví či jakýmkoliv způsobem zpracovává osobní data jiných lidí. Zjednodušeně řečeno GDPR týká každého, kdo má zaměstnance nebo zpracovává osobní údaje třetích stran.
Koho se netýká? GDPR nedopadá na činnosti zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. A nedotýká se ani fyzických osob, které zpracovávají osobní údaje výlučně pro své vlastní účely.
Hodí se vědět: GDPR rozlišuje rozdíly mezi správcem a zpracovatelem osobních údajů.
Správce nařizuje zpracovateli, proč a jak bude zpracování osobních údajů provádět.
Zpracovatel může jednat pouze dle pokynů správce.
V informacích o ochraně osobních údajů musí být uveden pouze správce.
Správce je povinen uzavřít s jakýmkoli zpracovatelem, s nímž spolupracuje, závaznou dohodu.
Příklad: Pokud využíváte pro zpracování mzdové agendy externí účetní, stává se zpracovatelem, zatímco vy jste správcem.
Osobní údaje a jejich zpracování
Osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě - jméno, adresa, email, telefon, ale třeba také IP adresa. Tyto údaje můžete bez souhlasu subjektu zpracovávat pouze na základě některého ze zákonem stanovených důvodů.
Zpracováním se rozumí všechno, co s osobními údaji provádíte, bez ohledu na to, zda to děláte automatizovaně nebo ručně - shromáždění, uložení, pozměnění, zpřístupnění, vyhledání i nahlédnutí do nich.
Hodí se vědět: "Citlivé osobní údaje jsou speciální kategorií podle GDPR, která zahrnuje údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob. Tyto údaje mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Do kategorie citlivých údajů GDPR nově zahrnuje genetické a biometrické údaje. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů." (Zdroj: GDPR.cz)
Zákonné důvody zpracování osobních údajů bez souhlasu subjektu:
Zpracování osobních údajů je nezbytné pro splnění smlouvy. Například provozujete-li e-shop, který zasílá zboží zákazníkům poštou, je takovým údajem zákazníkovo jméno, doručovací adresa a v případě některých doručovacích služeb také jeho telefon.
Dále smíte osobní údaje bez výslovného souhlasu, zpracovávat tehdy, je-li to nutné pro splnění nějaké vám uložené právní povinnosti.
Posledním důvodem ke zpracování údajů bez souhlasu subjektu jsou tzv. oprávněné zájmy správce. Například může být vaším oprávněným zájmem třeba uchovávání osobních údajů zákazníka, se kterým se soudíte nebo chystáte soudit, protože vám nezaplatil za odebrané zboží. Při odvolávání se na oprávněné zájmy správce musíte ale vždy postupovat opatrně.
Pro všechny ostatní důvody zpracování a nakládání s osobními údaji potřebujete výslovný souhlas subjektu. Ten musí být:
svobodný
konkrétní
informovaný
jednoznačný
Pokud tyto podmínky nebude splňovat, považuje se za neplatný. Souhlas musí být jasně odlišitelný od ostatních prvků. Kromě toho musí být správce údajů schopen doložit, že souhlas získal, a to včetně konkrétního obsahu souhlasu. Na to myslete v případě, že budete text souhlasu v průběhu času aktualizovat - u každého zákazníka musíte přesně vědět, kterou verzí textu souhlasu akceptoval.
Pozor: Ještě než souhlas získáte, musíte subjekt (např. svého zákazníka či zaměstnance) informovat o povinných náležitostech - kdo jste vy jako správce, za jakým účelem budete data zpracovávat a nezapomeňte na důležitý fakt, že svůj souhlas může subjekt kdykoliv odvolat.
Nezaškrtnutý checkbox už nebude dostatečným souhlasem
Až dosud se za standardní řešení na webu považoval nezaškrtnutý checkbox se stručným textem vyjadřujícím souhlas se zpracováním osobních údajů, přičemž celé znění tohoto souhlasu je k dispozici po rozkliknutí viditelného odkazu. ALE! Nově bude možné data sbírat pouze až po výslovném souhlasu subjektu - tedy aktivním zaškrtnutím checkboxu. Přečtěte si více o zrušení cookies třetích stran, které nás čeká v roce 2022.
Tip: Dobrou praxí je také shrnout nejdůležitější body souhlasu hned na začátku celého znění souhlasu, případně takový stručný souhrn zobrazit už při najetí myší na odkaz. Teprve poté by měl následovat celý text souhlasu splňující všechny formální náležitosti.
Jak zacházet s osobnímu údaji zodpovědně?
Se všemi osobními údaji, které zpracováváte, musíte chránit před jakýmkoliv zneužitím. GDPR vám ukládá povinnost přijmout vhodná technická a organizační opatření. Na co si dát pozor?
Jedním z rizik jsou přímo vaši zaměstnanci. Snažte se, aby ti, přístup k osobním údajům vašich zákazníků měli pouze ti zaměstnanci, kteří ho ke své práci přímo potřebují. A nezapomeňte jim dát podepsat smlouvy o mlčenlivosti.
Dalším nebezpečím mohou být vámi provozované internetové aplikace, jako třeba váš vlastní e-shop. Ujistěte se, že jsou všechny vaše systémy řádně zabezpečeny.
Pokud jste to ještě neudělali, vyměňte nezabezpečený http protokol za zabezpečený protokol https. Obzvlášť důležité je to na stránkách s formuláři či jiných stránkách, kde dochází ke sběru dat.
Osobní údaje subjektů údajů jako jejich správci většinou nezpracováváte sami, ale na jejich zpracování se mnohdy podílejí i další firmy či osoby (zpracovatelé). Například vaše účetní nebo váš správce webového serveru, atd. Podle nařízení smíte využívat služeb jen těch zpracovatelů, kteří poskytují dostatečné záruky, že s poskytnutými osobními údaji budou zacházet v souladu s GDPR. Tyto záruky je vhodné zajistit smluvně.
Tip: Pokud se vám přece jen nepodařilo něco uhlídat a došlo k nějakému porušení zabezpečení osobních údajů, jste povinni to bez zbytečného odkladu, nejdéle však do do 72 hodin, sami nahlásit dozorovému úřadu (u nás Úřadu pro ochranu osobních údajů).
Jak GDPR implementovat?
Nejprve je třeba udělat:
Inventuru osobních údajů: Máte přehled o tom, kde jsou data uložena a kdo k nim má přístup?
Analýzu rizik a zavedení bezpečnostních opatření: U každého jednotlivého osobního údaje si sepište, jaké je riziko jeho ztráty / úniku / odcizení a zanalyzujte, jak data chráníte, a jak riziku úniku předcházíte.
Záznamy o činnostech zpracování: Dokument, který shrne účel zpracování, bezpečnostní opatření, popis osobních údajů včetně stanovené lhůty pro jejich výmaz, příjemce a další zpracovatele.
V základním procesu přípravy na GDPR se zaměřte na:
Vypracování interních předpisů, metodiky a postupů osvědčující naplňování zásad zpracování, ochrany a zabezpečení osobních údajů.
Plnění své evidenční povinnosti a zpracovávání záznamů o činnostech zpracování.
Zavedení role pověřence pro ochranu osobních údajů nebo jmenování manažera či jiného styčného zaměstnance zodpovědného za zpracování osobních údajů.
Zavedení procesů souvisejících s naplňováním práv subjektů osobních údajů.
Naplňování vaší informační povinnosti vůči subjektům údajů.
Zavedení procesu identifikace, hlášení a evidence bezpečnostních incidentů na poli osobních údajů (tzv. data breaches).
Revidování smluv s nejvýznamnějšími zpracovateli osobních údajů.
Provedení úvodního posouzení vlivů na zpracování osobních údajů v oblastech, kde bude identifikováno vysoké riziko zpracování osobních údajů.
Zavedení systému sběru, evidence a zpracování souhlasů se zpracováním osobních údajů.
Pokud vás vyděsilo množství dokumentů, které musíte spravovat, aktualizovat a bezpečně s nimi nakládat, vyzkoušejte systém dokumentace.online, kde můžete snadno a bezpečně vytvářet a spravovat dokumenty i formuláře. Vše spojené s GDPR můžete mít bezpečně a přehledně na jednom místě. Ušetřete si administrativu a zjistěte, jak může dokumentace.online usnadnit život právě vám a kontaktujte nás.
Více informací k problematice GDPR najdete na následujících odkazech: