Vyhněte se pokutě za nedodržení GDPR! Zde je přehled vašich povinností a potřebných dokumentů

Podnikáte? Pak jistě musíte zpracovávat (něčí) osobní údaje, jelikož při podnikání se tomu jen těžko vyhnete. Zpracovávat osobní údaje však můžete i jako fyzická osoba nepodnikatel. Ať tak, či tak, bude se na vás v takovém případě vztahovat právní regulace týkající se ochrany osobních údajů, především pak nařízení EU, které nabylo účinnosti koncem května 2018 a které je zkráceně nazývané jako nařízení GDPR. Toto GDPR nařízení totiž ukládá jak fyzickým, tak právnickým osobám povinnost podle tohoto nařízení postupovat právě tehdy, pokud zpracovávají osobní údaje jiných fyzických osob.

 

Problematika GDPR je svým obsahem rozsáhlejší než možnosti tohoto článku, proto se zde snažíme o stručný, avšak výstižný souhrn toho pro vás nejpodstatnějšího. Co to znamená zpracovávat osobní údaje? Jak porozumět pojmům GDPR? Jaké jsou vaše povinnosti? A jaké dokumenty potřebujete k tomu, abyste nebyli od Úřadu pro ochranu osobních údajů bití na milionových pokutách?

Na první pohled se vám GDPR problematika může zdát zbytečně složitá a drahá, nicméně v realitě tomu tak není. Jak si ukážeme níže, stačí jen mít správně nastavených několik dokumentů a jednoduché zabezpečení.

 

Kdy se GDPR stane vaším pánem?

Zjednodušeně řečeno, GDPR povinnosti se na vás budou vztahovat tehdy, pokud:

1. Zpracováváte osobní údaje – tedy máte osobní údaje fyzické osoby a nějak s nimi nakládáte. Zpracováním se rozumí i zaznamenání, shromáždění, uložení, přizpůsobení či nahlédnutí, ať už pomocí či bez pomoci automatizovaných postupů (těch, které nemusíte provádět ručně, ale běží bez vašeho přičinění automaticky); a
2. Jde opravdu o osobní údaje – tedy dané osobní údaje jsou nějaké fyzické osoby, přičemž to může být jakýkoliv údaj, který přímo či nepřímo dokáže rozeznat tuto konkrétní osobu v davu jiných osob. Takovým údajem je nejen jméno, příjmení, datum narození, rodné číslo, fotografie či číslo občanského průkazu, ale může jím být i telefonní číslo, e-mail, adresa pobytu, IP adresa, číslo platební karty atd.

 

 

Jaké jsou pak vaše povinnosti?

Pokud jste si na předchozí 2 otázky odpověděli kladně, pak se na vás budou vztahovat tyto povinnosti:

Pro zpracování osobních údajů musíte mít právní titul

Dle nařízení GDPR musí existovat důvod, proč ke zpracování osobních údajů z vaší strany dochází. Tomu se říká právní titul, který musí být s tímto nařízením GDPR v souladu. Osobní údaje tak mohou být získané na základě právního titulu, kterým je (1) souhlas, (2) plnění smlouvy, nebo (3) zákonná povinnost, úřední oprávnění či veřejný zájem. Přitom platí, že nepotřebujete mít všechny tyto důvody. Máte-li jeden právní titul, nemusíte již mít další.

Nejčastěji se setkáváme s právním titulem v podobě udělení souhlasu dané osoby se zpracováním svých osobních údajů. Tento souhlas musí dát nejpozději při získání údajů, a to například odkliknutím určitého políčka na webovém rozhraní. Souhlas (resp. i jiný právní titul) musí trvat po celou dobu zpracování osobních údajů.

 

Správce, zpracovatel a jejich povinnosti

V rámci zpracování osobních údajů rozlišujeme správce a zpracovatele. Ti sice mají podobná práva a povinnosti, nicméně odpovědnost za zpracování osobních údajů leží především na jednom z nich, a to na správci.

Správcem údajů jste, pokud sbíráte (či jinak zpracováváte) osobní údaje coby data. Správcem jsou tak typicky e-shopy, IT společnosti, školy, zaměstnavatel, agentura práce atd. Správce osobních údajů má zejména povinnost informační (kterou může oprávněná osoba velice snadno zkontrolovat, proto pozor na kontroly státních úřadů!), povinnost chránit osobní údaje před jejich zneužitím, umožnit realizaci práv fyzických osob (právo na výmaz osobních údajů, právo být zapomenutý kompletně apod.), průběžně skartovat osobní údaje a další.

Zpracovatelem je pak osoba, která pro výše zmíněného správce tato data dále zpracovává. Tímto zpracovatelem tak může být například externí účetní, marketingová agentura, IT společnost atd. Mějte však prosím na paměti, že odpovědnost za plnění GDPR povinnosti nese správce. Tuto odpovědnost nemůžete předat třetí straně, a to ani v případě, že máte na tuto problematiku najatou externí firmu.

 

 

Bez následujících dokumentů se prakticky neobejdete

Výše vymezené povinnosti se vztahují na fyzické i právnické osoby. Nehledě na to, kterou z těchto osob jste, pro zvládnutí plnění povinností GDPR doporučujeme mít tyto dokumenty:

 

1. Zásady ochrany osobních údajů – povinný dokument

Jde o informativní dokument, kterým se plní informační povinnost vás coby zpracovatele. Jeho obsahem jsou informace o způsobech, účelech, trvání a formě realizace práv osob ve vztahu ke zpracování jejich osobních údajů. Tedy uvedete zde, jaké údaje budete sbírat, za jakým účelem, s jakým právním titulem, na jakou dobu, identifikaci společnosti, organizační a technická opatření, kterými data chráníte, poučíte o právech a povinnostech (např. právo na informace, přenositelnost údajů, aktualizace údajů, právo na námitky, opravu, omezení zpracování, kam se obrátit v případě dotazů, právo na výmaz či jak odvolat souhlas se zpracováním osobních údajů aj.).

Tento dokument obvykle spojujeme s dalším dokumentem, a to zásadami používání webu. Zde jsou upravené i cookies a další funkcionality webu tak, aby řešení bylo kompletní. Tento dokument musí být umístěný a uveřejněný tam, kde data sbíráte, tedy na webu či třeba v provozovně. Úřad pro ochranu osobních údajů (ÚOOÚ) provádí přes internet jednoduše kontrolu, zda na svém webu tento dokument máte. Pokud ne, pošle vám výzvu k nápravě, jinak udělí citelnou pokutu.

 

2. Souhlas se zpracováním osobních údajů – povinný dokument

Tento lze mít buď jako fyzický formulář přímo v provozovně, či jako zaškrtávací tlačítko na webu s funkčním odkazem na zásady ochrany osobních údajů. Pokud sbíráte cookies, souhlas s jejich sběrem a zpracováním by měl být v samostatné liště též s tímto odkazem.

Pokud máte s někým (typicky se zákazníkem) uzavřenou smlouvu, je tato sama o sobě právním titulem pro zpracování osobních údajů. Avšak pozor, ne pro kategorii citlivých údajů, kterými jsou např. zdravotní stav (u společností poskytujících např. zdravotní pomůcky či doplňky stravy), vyznání, rasa, přesvědčení apod. Ke zpracování těchto citlivých údajů vyžaduje nařízení výslovný souhlas. Tento dokument bude také umístěný tam, kde získáváte osobní údaje a musíte jej archivovat.

 

3. Smlouva s dodavateli externích služeb – povinný dokument

Pokud máte externího zpracovatele (jelikož dodavatel externích služeb zpracovatelem je), je vaší povinností si jej ověřit a smluvně zavázat k dodržování GDPR povinností. Ve smlouvě byste měli uvést, jaké údaje bude zpracovávat, za jakým účelem a po jakou dobu. A nezapomeňte také na dohodu o mlčenlivosti. Správce totiž odpovídá za to, že zpracovatel dodržuje GDPR. Za tímto účelem můžete jako správce provést jeho kontrolu.

 

4. Záznamy činností o zpracování osobních údajů – doporučený dokument

Jedná se o doporučený interní dokument. Popisuje jak, kdy, za jakým účelem byly osobní údaje reálně zpracované, kdo má přístup k osobním údajům, kdy budou skartované, komu budou předávané atd. Jedná se o dokument takříkajíc „do šuplíku“ a je určený pro kontrolu ze strany ÚOOÚ.

 

5. Interní směrnice pro zaměstnance a externí spolupracovníky – doporučený dokument

Doporučujeme vyhotovit interní směrnici, kde bude uvedené, jak mají zaměstnanci a externí spolupracovníci (IČaři) nakládat s daty. Směrnice by měla být komplexní, návodná a navazovat na školení, na jehož konci ji tito zaměstnanci a externí IČaři podepíší.

 

6. Evidence výmazů osobních údajů – doporučený dokument

Doporučujeme vést automatizovaným způsobem, kde bude mít fyzická osoba přiřazené interní číslo ve vaší databázi a u čísla bude uvedené např. „Smazané ke dni…“.

 

 

Nebojte si říct o pomoc

Problematika GDPR je daleko rozsáhlejší. Pokud máte jakékoli otázky či potřebujete pomoci s vypracováním smluvní dokumentace, neváhejte nás kontaktovat a využít našich právních služeb. Vždy je lepší vše nastavit správně už na začátku, než pak muset úřadům a státu platit milionové pokuty.

 

Autor: Pavla Bachurová

 

Potřebujete konzultaci či vypracovat dokumenty GDPR? Kontaktujte nás