BLOG

 
GDPR

GDPR od 25. května 2018

Dne 25. května 2018 vstoupí v platnost obecné nařízení o ochraně osobních údajů – General Data Protection Regulation, neboli GDPR. GDPR se týká všech firem, institucí, ale i fyzických osob a online služeb, které pracují s osobními daty uživatelů v rámci EU a zároveň zavádí drasticky vysoké pokuty za jejich nedodržování.

Co patří mezi osobní údaje?

  • Jméno, 
  • věk, 
  • datum narození,
  • osobní stav,
  • IP adresa (adresa počítače v síti),
  • fotografie,
  • emailová adresa,
  • telefonní číslo,
  • další identifikační údaje vydané státem.

Jedná se tedy o veškeré údaje, pomocí kterých je možné přímo nebo nepřímo identifikovat osobu, nebo instituci. Dále pak jsou definovány i citlivé osobní údaje (rasový či etnický původ, náboženské nebo filozofickém vyznání, členství v odborech, zdravotní stav, sexuální orientace, politické názory, trestních delikty a pravomocné odsouzení osob), tyto citlivé osobní údaje mají pak přímý vliv na to co je nutné v rámci GDPR nad rámec běžných úkonů a pravidel splňovat.

Tyto osobní údaje se tak mohou nacházet v online komunikaci (emailové adresy, webové formuláře, objednávky, atp.) tak i ve fyzické podobě (smlouvy, faktury, obchodní dokumenty atp.)

 

Několik základních pojmů

Subjekt údajů

  • fyzická a živá osoba – zpravidla rezident EU ke které se osobní údaje vztahují.

Správce osobních údajů

  • je subjekt (je jedno jestli fyzická nebo právnická osoba), který určuje účel a prostředky zpracování osobních údajů (tedy proč a jak jsou osobní údaje zpracovány) a provádí samotné shromažďování osobních údajů, zpracování a uchování. Tedy pokud čtete tento článek za účelem toho co budete muset splňovat od 25.5.2018, jste správci osobních údajů  primárně vy.

Zpracovatel osobních údajů

  • fyzická, nebo právnická osoba, orgán veřejné správy, agentura, nebo jiný subjekt, který jménem správce zpracovává osobní údaje. To jsme my, pokud u nás máte webovou aplikaci, emailové schránky, nebo využíváte jinou naší službu.

 

Jaká je pokuta za nedodržování GDPR?

pokud nebudete dodržovat pravidla GDPR (je jedno jestli jste malá firma s pár zaměstnanci, nebo velká společnost), může vám být vyměřena v některých případech správní pokuta až do výše 20.000.000 EUR, nebo v případě podniku až do výše 4% celkového ročního obratu společnosti (vždy bude brána vyšší hodnota) a bude záležet na povaze, závažnosti a délky porušení GDPR. Úřad pro ochranu osobních údajů dohlédne aby pokuta byla účinná, přiměřená a odrazující.

 

Co musí správce osobních údajů splňovat?

Správce odpovídá

  • za dodržování zásad zpracování,
  • za dodržování povinností upravených nařízením,
  • za zabezpečení údajů.

Významné povinnosti správce

  • Aplikovat záměrnou a standardní ochranu osobních údajů.
  • Jmenovat pověřence pro ochranu osobních údajů (netýká se všech správců – tedy pouze pokud zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),  hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů, hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů).
  • Posuzovat vliv na ochranu osobních údajů a provádět předchozí konzultace.
  • Ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a oznamovat případy porušení zabezpečení osobních údajů subjektu osobních údajů (fyzickým osobám, jež se údaje týkají).
  • Vést záznamy (netýká se správců – pro společnosti s více jak  250 zaměstnanci, nebo pokud nepracují s citlivými osobními údaji, nebo pokud osobní údaje představují jiné riziko nebo nemohou zasáhnout do práv a svobod jednotlivců).
  • Provést analýzu rizikovosti zpracování osobních údajů pro práva a svobody subjektů údajů u správce.
  • Doplnit doložky o ochraně osobních údajů do pracovních smluv.
  • Písemně pověřit zpracovatele k ochraně osobních údajů, které mu předává, a to smlouvou.
  • Přijmout vnitřní předpis, který jasně popíše kompetence a povinnosti zaměstnanců při ochraně práv a svobod subjektů údajů.

Zjednodušeně řečeno – musíte si projít a definovat veškeré elektronické i fyzické procesy a zmapovat si, kde se nacházejí osobní údaje (klientů, zaměstnanců), jak jste je získali, zda je můžete od května 2018 používat (nebo potřebujete dodatečný souhlas) a jak se s nimi pracuje, abyste byly v případ nutnosti dokázat a deklarovat, že s nimi nakládáte správně v rámci GDPR.

 

Co bude GDPR znamenat pro vás jako správce osobních údajů?

  • Mezi vámi (správcem) a námi (zpracovatelem) bude vytvořeno pověření pro správu osobních údajů (tedy např. emailové adresy, které jsou u nás uloženy na serverech, vaše přihlašovací data do redakčních systémů, zpracování kontaktních formulářů na www stránkách, objednávky z eshopů atp.). Zároveň bude mezi vámi (subjekt údajů) a námi (správci) potvrzeno možnost pracovat s vašimi osobními daty. Tyto dokumenty vám zašleme a budeme vás o této nutnosti, včetně dalších náležitostí (SSL certifikát přihlašování atp.) informovat. Pokud nebudou splněny tyto náležitosti, nebudeme ručit za správné procesní zpracování osobních údajů z vašich webových aplikací a dalších produktů v rámci GDPR.
  • Budete si muset projít a definovat body popsané výše v sekci „Co musí správce osobních údajů splňovat“

Pokud si nejste jisti, že zvládnete vše nastudovat a definovat svépomocí (věci potřebné ve vztahu my / vy od nás dostanete), doporučujeme kontaktovat odborníky, kteří danou problematiku mají nastudovanou a mohou se vám věnovat.

Určitě nenechávejte vše na poslední chvíli – pro představu definování těchto procesů v malé firmě (do 10 zaměstnanců) zabere 10 a více hodin a s postupujícím termínem nebudou odborníci, kteří se vám budou moci věnovat a hlavně budete terčem různých agentur a „specialistů“, kteří vám s tím budou chtít pomoci, ale buďte obezřetní, komu se svěříte. 

Za nás jednoznačně doporučujeme kontaktovat Libereckého právníka JUDr. Otu Kleknera (info@otaklekner.cz, 488 440 588), který provádí kompletní implementaci řešení GDPR.