GDPR – jak postupovat?

GDPR je poslední týdny snad nejčastěji skloňovaná zkratka. V plném znění General Data Protection Regulation je revoluční legislativou EU, která si klade za cíl výrazně zvýšit ochranu osobních údajů občanů. Co to s sebou přináší za opatření?

Základní informace o GDPR 

GDPR bylo schváleno a přijato v dubnu 2016 a v platnost u nás vstoupí 25. 5. 2018. 25. květen působí jako veliký strašák pro mnohé instituce, obchody a subjekty. GDPR se týká totiž všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. EU se snaží sjednotit toto nařízení tak, aby mělo univerzální použitelnost ve všech členských státech. Hlavním cílem je lepší ochrana osobních údajů a kontrola nad tím, co se s údaji děje.

GDPR začne v celé EU platit jednotně právě od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zahájení je naplánováno až na polovinu příštího roku z toho důvodu, aby měli všichni dostatečný čas na přípravu a zrevidování svých informačních systémů. 

→ Kompletní znění GDPR v češtině  ←

Osobní údaje a GDPR

Osobní údaje jsou ve stávající směrnici z roku 1995 i v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.

Patří sem tedy následující:

• Jméno, pohlaví, věk a datum narození.
• Osobní stav.
• Fotografický záznam.
• Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.
• Nově sem bude patřit tedy e-mail, IP adresa a cookie v zařízení uživatelů.

Do kategorie citlivých údajů spadají genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto citlivých osobních údajů podléhá tedy mnohem přísnějšímu režimu, než je tomu u ostatních obecných údajů.

Na koho se tedy GDPR vztahuje?

• Shromažďovatelé a zpracovatelé osobních údajů občanů EU (firmy, státní instituce, neziskové organizace atd.).
• Všechny, kdo provádí analytiku návštěvnosti webů/eshopů a aplikací.
• I na subjekty, které vystupovaly pouze jako správci dat (např. naše firma SHEAN, kde mají data uloženy e-shopy).
• Díky tomu, že platí napříč celou EU, i když působím, analyzuji apod. pouze v zahraničí (EU), tak je platná i pro mě. 

Povinnosti vyplývající z legislativy GDPR

1. Povinnost dokumentovat, jak data zpracovávám.
2. Zpracovávat pouze ta data, která jsou k danému účelu potřebná.
3. Pokud si občan zažádá o výpis dat, musí mu daný subjekt poskytnout veškerá jeho data co má k dispozici, ve strukturované podobě a nejlépe online.
4. Pokud občan vysloví námitku, držitel dál nemá možnost tyto data zpracovávat (kromě závažných a opodstatněných důvodů) a musí je neodkladně odstranit.
5. Pokud je podána námitka na zpracování údajů, musí být v uložišti těchto údajů znemožněno s nimi dále pracovat (i je měnit) a musí být označeny.
6. Povinnost informovat o úniku osobních údajů, případně narušení jejich bezpečnosti do 72 hodin od chvíle kdy se o tom jejich držitel dozvěděl.
7. Pravděpodobně osobní data šifrovat (nejasnosti viz implementace ochrany dat atd.).
8. Pseudoanonymizace dat (sbíraní dalších dat o občanovi bez možnosti si je spojit s konkrétní osobou).
9. Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
10. Pokud bude chtít např. provozovatel eshopu údaje občana předat k marketingovému zpracování (nejen jinému subjektu), musí k tomu mít výslovný souhlas, který nebude podmíněn využitím služby, tzn. mohu nakoupit, i když nesouhlasím se zpracování osobních údajů. 

DPO = Pověřenec pro ochranu osobních údajů

Ve spojitosti s GDPR je často zmiňován také DPO. O koho se ale jedná? Jmenování tzv. pověřence pro ochranu osobních údajů (Data Protection Officer) bude důležitým pilířem prokazování dodržování GDPR. 

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost jmenovat pověřence nastává v následujících případech:

• Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů) – banky, nemocnice.
• Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů – využití mailingu.
• Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů – sledování polohy.

V každém případě by měl být správci nebo zpracovateli nápomocen právě DPO, který by měl mít odborné znalosti v oblasti právních předpisů a postupů týkajících se ochrany údajů a měli by být schopni plnit své povinnosti a úkoly nezávislým způsobem. Pověřenec může být klidně jmenovaný i pro více subjektů a on sám nenese žádnou osobní odpovědnost za případné nedodržování GDPR! 

Co hrozí, pokud nebudeme dodržovat podmínky GDPR?

Vzhledem k tomu, že je nastaven dostatečný časový limit na přípravu, GDPR zavádí za nedodržování vysoké pokuty a sankce. Maximální výše sahá do limitu 20 000 000 EUR, případně 4 % z celkového ročního obratu společnosti. Záležet bude na více faktorech, ale musíte počítat s tím, že vysoká sankce může být udělena i menší společnosti s málo zaměstnanci! Stejně tak mohou firmy žalovat fyzické osoby, které si mohou nárokovat náhradu škody v případě hmotné i nehmotné újmy. 

Jak máme řešit GDPR? 

Vzhledem k tomu, že GDPR se netýká pouze eshopu, nebo webu, ale celé vaší firmy, prosíme všechny naše klienty, aby celé přípravě dali vysokou prioritu a spojili se přímo se specializovanou firmou zabývající se GDPR, případně svými právníky. 

Naše firma SHEAN bude GDPR samozřejmě řešit s ohledem na naše povinnosti, které z GDPR vyplývají a zapracovávat vaše požadavky, dle toho jak budete mít GDPR implementováno ve vaší firmě.