Splňujete povinnosti GDPR, pokud ne hrozí Vám pokuta

Už žádné vrásky ani problémy s GDPR!


Zde je přehled vašich povinností a potřebných dokumentů

Podnikáte? Pak jistě musíte zpracovávat (něčí) osobní údaje, jelikož při podnikání se tomu jen těžko vyhnete. Zpracovávat osobní údaje však můžete i jako fyzická osoba nepodnikatel. Ať tak, či tak, bude se na vás v takovém případě vztahovat právní regulace týkající se ochrany osobních údajů, především pak nařízení EU, které nabylo účinnosti koncem května 2018 a které je zkráceně nazývané jako nařízení GDPR. Toto GDPR nařízení totiž ukládá jak fyzickým, tak právnickým osobám povinnost podle tohoto nařízení postupovat právě tehdy, pokud zpracovávají osobní údaje jiných fyzických osob.

Problematika GDPR je svým obsahem rozsáhlejší než možnosti tohoto článku, proto se zde snažíme o stručný, avšak výstižný souhrn toho pro vás nejpodstatnějšího: Co to znamená zpracovávat osobní údaje? Jak porozumět pojmům GDPR? Jaké jsou vaše povinnosti? A jaké dokumenty potřebujete k tomu, abyste nebyli od Úřadu pro ochranu osobních údajů biti na milionových pokutách?

Na první pohled se vám GDPR problematika může zdát zbytečně složitá a drahá, nicméně v realitě tomu tak není – jak si ukážeme níže, stačí jen mít správně nastaveno několik dokumentů a jednoduché zabezpečení.

Kdy se GDPR stane mým pánem?

Zjednodušeně řečeno, GDPR povinnosti se na vás budou vztahovat tehdy, pokud:

  1. Zpracováváte osobní údaje – tedy máte osobní údaje fyzické osoby a nějak s nimi nakládáte. Zpracováním se rozumí i zaznamenání, shromáždění, uložení, přizpůsobení či nahlédnutí, ať už je toto prováděno pomocí či bez pomoci automatizovaných postupů (těch, které nemusíte provádět ručně, ale běží bez vašeho přičinění automaticky); a
  2. Jde opravdu o osobní údaje – tedy dané osobní údaje jsou nějaké fyzické osoby, přičemž to může být jakýkoliv údaj, který přímo či nepřímo dokáže rozeznat tuto konkrétní osobu v davu jiných osob. Takovým údajem je nejen jméno, příjmení, datum narození, rodné číslo, fotografie či číslo občanského průkazu, ale může jím být i telefonní číslo, e-mail, adresa pobytu, IP adresa, číslo platební karty atd.

Jaké jsou pak moje povinnosti?

Pokud jste si na předchozí 2 otázky odpověděli kladně, pak se na vás budou vztahovat tyto povinnosti:

  1. Pro zpracování osobních údajů musíte mít právní titul

Dle nařízení GDPR musí existovat důvod, proč ke zpracování osobních údajů z vaší strany dochází – tomu se říká právní titul, který musí být s tímto nařízením GDPR v souladu. Osobní údaje tak mohou být získány na základě právního titulu, kterým je (1) souhlas, (2) plnění smlouvy, nebo (3) zákonná povinnost, úřední oprávnění či veřejný zájem. Přitom platí, že nepotřebujete mít všechny tyto důvody – máte-li jeden právní titul, nemusíte mít další.

Nejčastěji se setkáváme s právním titulem v podobě udělení souhlasu dané osoby se zpracováním svých osobních údajů. Tento souhlas musí být dán nejpozději při získání údajů, a to například odkliknutím určitého políčka na webovém rozhraní. Souhlas (resp. i jiný právní titul) musí trvat po celou dobu zpracování osobních údajů.

  1. Správce, zpracovatel a jejich povinnosti

V rámci zpracování osobních údajů je nutné rozlišovat správce a zpracovatele, kteří mají podobná práva a povinnosti, nicméně odpovědnost za zpracování osobních údajů leží především na jednom z nich, a to na správci.

Správcem údajů jste, pokud sbíráte (či jinak zpracováváte) osobní údaje coby data. Správcem jsou tak typicky e-shopy, IT společnosti, školy, zaměstnavatel, agentura práce atd. Správce osobních údajů má zejména povinnost informační (kterou lze velice snadno zkontrolovat, proto pozor na kontroly státních úřadů!), povinnost chránit osobní údaje před jejich zneužitím, umožnit realizaci práv fyzických osob (právo na výmaz osobních údajů, právo být zapomenut kompletně apod.), průběžně skartovat osobní údaje a další.

Zpracovatelem je pak osoba, která pro výše zmíněného správce tato data dále zpracovává. Tímto zpracovatelem tak může být například externí účetní, marketingová agentura, IT společnost atd. Mějte však prosím na paměti, že odpovědnost za plnění GDPR povinnosti nese správce – tuto odpovědnost nelze předat třetí straně, a to ani v případě, že máte na tuto problematiku najatou externí firmu.

Bez následujících dokumentů se prakticky neobejdete

Výše vymezené povinnosti se vztahují na fyzické i právnické osoby. Nehledě na to, kterou z těchto osob jste, pro zvládnutí plnění povinností GDPR doporučujeme mít tyto dokumenty:

  1. Zásady ochrany osobních údajů – povinný dokument

Jedná se o informativní dokument, kterým se plní informační povinnost vás coby zpracovatele, jehož obsahem jsou informace o způsobech, účelech, trvání a formě realizace jejich práv ve vztahu ke zpracování jejich osobních údajů. Tedy uvedete zde, jaké údaje budete sbírat, za jakým účelem, s jakým právním titulem, na jakou dobu, identifikaci společnosti, organizační a technická opatření, kterými jsou chráněna data, poučíte o právech a povinnostech (např. právo na informace, přenositelnost údajů, aktualizace údajů, právo na námitky, opravu, omezení zpracování, kam se obrátit v případě dotazů, právo na výmaz či jak odvolat souhlas se zpracováním osobních údajů aj.).

Tento dokument obvykle spojujeme s dalším dokumentem, a to jsou zásady používání webu, kde se upravují i cookies a další funkcionality webu tak, aby řešení bylo kompletní. Tento dokument musí být umístěn a uveřejněn tam, kde data sbíráte, tedy na webu či třeba v provozovně. Úřad pro ochranu osobních údajů (ÚOOÚ) provádí přes internet jednoduše kontrolu, zda na svém webu tento dokument máte, a pokud ne, pošle vám výzvu k nápravě, jinak udělí citelnou pokutu.

  1. Souhlas se zpracováním osobních údajů – povinný dokument

Tento lze mít buď jako fyzický formulář přímo v provozovně, či jako zaškrtávací tlačítko na webu s funkčním odkazem na zásady ochrany osobních údajů. Pokud sbíráte cookies, souhlas s jejich sběrem a zpracováním by měl být v samostatné liště též s tímto odkazem.

Pokud máte s někým (typicky se zákazníkem) uzavřenou smlouvu, je tato sama o sobě právním titulem pro zpracování osobních údajů, avšak ne pro kategorii citlivých údajů, kterými jsou např. zdravotní stav (u společností poskytujících např. zdravotní pomůcky či doplňky stravy), vyznání, rasa, přesvědčení apod. Ke zpracování těchto citlivých údajů vyžaduje nařízení výslovný souhlas. Tento dokument bude také umístěn tam, kde získáváte osobní údaje a je nutno jej archivovat.

  1. Smlouva s dodavateli externích služeb – povinný dokument

Pokud máte externího zpracovatele (jelikož dodavatel externích služeb zpracovatelem je), je vaší povinností si jej ověřit a smluvně zavázat k dodržování GDPR povinností. Ve smlouvě by mělo být uvedeno, jaké údaje bude zpracovávat, za jakým účelem a po jakou dobu. A nezapomeňte také na dohodu o mlčenlivosti. Správce totiž odpovídá za to, že zpracovatel dodržuje GDPR – za tímto účelem můžete jako správce provést jeho kontrolu.

  1. Záznamy činností o zpracování osobních údajů – doporučený dokument

Jedná se o doporučený interní dokument, který popisuje jak, kdy, za jakým účelem byly osobní údaje reálně zpracovány, kdo má přístup k osobním údajům, kdy budou skartovány, komu budou předávány atd. Jedná se o dokument takříkajíc „do šuplíku“ a je určen pro kontrolu ze strany ÚOOÚ.

  1. Interní směrnice pro zaměstnance a externí spolupracovníky – doporučený dokument

Doporučujeme vyhotovit interní směrnici, kde bude uvedeno, jak mají zaměstnanci a externí spolupracovníci (IČ) nakládat s daty. Směrnice by měla být komplexní, návodná a navazovat na školení, na jehož konci ji tito zaměstnanci a externí IČaři podepíší.

  1. Evidence výmazů osobních údajů – doporučený dokument

Doporučujeme vést automatizovaným způsobem, kde bude mít fyzická osoba přiřazeno interní číslo ve vaší databázi a u čísla bude uvedeno např. „Smazáno ke dni…“.

Nebojte si říct o pomoc

Problematika GDPR je daleko rozsáhlejší. Pokud máte jakékoliv otázky či potřebujete pomoci s vypracováním smluvní dokumentace, neváhejte nás kontaktovat a využít našich právních služeb. Vždy je lepší vše nastavit správně už na začátku, než pak muset úřadům a státu platit milionové pokuty.

 #gdpr  #povinnost  #problem  #pravnititul  #smlouva  #dodavatel  #zaznam  #smernice  #zamestnanec  #sluzba  #osobni  #udaj  #osobniudaj  #zpracovani  #titul  #pravnititul  #spolecnost  #podnikani  #web  #webovestranky