GDPR od 25. května 2018
Dne 25. května 2018 vstoupí v platnost obecné nařízení o ochraně osobních údajů – General Data Protection Regulation, neboli GDPR. GDPR se týká všech firem, institucí, ale i fyzických osob a online služeb, které pracují s osobními daty uživatelů v rámci EU a zároveň zavádí drasticky vysoké pokuty za jejich nedodržování.
Co patří mezi osobní údaje?
- Jméno,
- věk,
- datum narození,
- osobní stav,
- IP adresa (adresa počítače v síti),
- fotografie,
- emailová adresa,
- telefonní číslo,
- další identifikační údaje vydané státem.
Jedná se tedy o veškeré údaje, pomocí kterých je možné přímo nebo nepřímo identifikovat osobu, nebo instituci. Dále pak jsou definovány i citlivé osobní údaje (rasový či etnický původ, náboženské nebo filozofickém vyznání, členství v odborech, zdravotní stav, sexuální orientace, politické názory, trestních delikty a pravomocné odsouzení osob), tyto citlivé osobní údaje mají pak přímý vliv na to co je nutné v rámci GDPR nad rámec běžných úkonů a pravidel splňovat.
Tyto osobní údaje se tak mohou nacházet v online komunikaci (emailové adresy, webové formuláře, objednávky, atp.) tak i ve fyzické podobě (smlouvy, faktury, obchodní dokumenty atp.)
Několik základních pojmů
Subjekt údajů
- fyzická a živá osoba – zpravidla rezident EU ke které se osobní údaje vztahují.
Správce osobních údajů
- je subjekt (je jedno jestli fyzická nebo právnická osoba), který určuje účel a prostředky zpracování osobních údajů (tedy proč a jak jsou osobní údaje zpracovány) a provádí samotné shromažďování osobních údajů, zpracování a uchování. Tedy pokud čtete tento článek za účelem toho co budete muset splňovat od 25.5.2018, jste správci osobních údajů primárně vy.
Zpracovatel osobních údajů
- fyzická, nebo právnická osoba, orgán veřejné správy, agentura, nebo jiný subjekt, který jménem správce zpracovává osobní údaje. To jsme my, pokud u nás máte webovou aplikaci, emailové schránky, nebo využíváte jinou naší službu.
Jaká je pokuta za nedodržování GDPR?
pokud nebudete dodržovat pravidla GDPR (je jedno jestli jste malá firma s pár zaměstnanci, nebo velká společnost), může vám být vyměřena v některých případech správní pokuta až do výše 20.000.000 EUR, nebo v případě podniku až do výše 4% celkového ročního obratu společnosti (vždy bude brána vyšší hodnota) a bude záležet na povaze, závažnosti a délky porušení GDPR. Úřad pro ochranu osobních údajů dohlédne aby pokuta byla účinná, přiměřená a odrazující.
Co musí správce osobních údajů splňovat?
Správce odpovídá
- za dodržování zásad zpracování,
- za dodržování povinností upravených nařízením,
- za zabezpečení údajů.
Významné povinnosti správce
- Aplikovat záměrnou a standardní ochranu osobních údajů.
- Jmenovat pověřence pro ochranu osobních údajů (netýká se všech správců – tedy pouze pokud zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů), hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů, hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů).
- Posuzovat vliv na ochranu osobních údajů a provádět předchozí konzultace.
- Ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a oznamovat případy porušení zabezpečení osobních údajů subjektu osobních údajů (fyzickým osobám, jež se údaje týkají).
- Vést záznamy (netýká se správců – pro společnosti s více jak 250 zaměstnanci, nebo pokud nepracují s citlivými osobními údaji, nebo pokud osobní údaje představují jiné riziko nebo nemohou zasáhnout do práv a svobod jednotlivců).
- Provést analýzu rizikovosti zpracování osobních údajů pro práva a svobody subjektů údajů u správce.
- Doplnit doložky o ochraně osobních údajů do pracovních smluv.
- Písemně pověřit zpracovatele k ochraně osobních údajů, které mu předává, a to smlouvou.
- Přijmout vnitřní předpis, který jasně popíše kompetence a povinnosti zaměstnanců při ochraně práv a svobod subjektů údajů.
Zjednodušeně řečeno – musíte si projít a definovat veškeré elektronické i fyzické procesy a zmapovat si, kde se nacházejí osobní údaje (klientů, zaměstnanců), jak jste je získali, zda je můžete od května 2018 používat (nebo potřebujete dodatečný souhlas) a jak se s nimi pracuje, abyste byly v případ nutnosti dokázat a deklarovat, že s nimi nakládáte správně v rámci GDPR.
Co bude GDPR znamenat pro vás jako správce osobních údajů?
- Mezi vámi (správcem) a námi (zpracovatelem) bude vytvořeno pověření pro správu osobních údajů (tedy např. emailové adresy, které jsou u nás uloženy na serverech, vaše přihlašovací data do redakčních systémů, zpracování kontaktních formulářů na www stránkách, objednávky z eshopů atp.). Zároveň bude mezi vámi (subjekt údajů) a námi (správci) potvrzeno možnost pracovat s vašimi osobními daty. Tyto dokumenty vám zašleme a budeme vás o této nutnosti, včetně dalších náležitostí (SSL certifikát přihlašování atp.) informovat. Pokud nebudou splněny tyto náležitosti, nebudeme ručit za správné procesní zpracování osobních údajů z vašich webových aplikací a dalších produktů v rámci GDPR.
- Budete si muset projít a definovat body popsané výše v sekci „Co musí správce osobních údajů splňovat“
Pokud si nejste jisti, že zvládnete vše nastudovat a definovat svépomocí (věci potřebné ve vztahu my / vy od nás dostanete), doporučujeme kontaktovat odborníky, kteří danou problematiku mají nastudovanou a mohou se vám věnovat.
Určitě nenechávejte vše na poslední chvíli – pro představu definování těchto procesů v malé firmě (do 10 zaměstnanců) zabere 10 a více hodin a s postupujícím termínem nebudou odborníci, kteří se vám budou moci věnovat a hlavně budete terčem různých agentur a „specialistů“, kteří vám s tím budou chtít pomoci, ale buďte obezřetní, komu se svěříte.
Za nás jednoznačně doporučujeme kontaktovat Libereckého právníka JUDr. Otu Kleknera (info@otaklekner.cz, 488 440 588), který provádí kompletní implementaci řešení GDPR.