GDPR (ochrana osobních údajů)

 
Díky snadno dostupným informacím na internetu, se z GDPR stal pro někoho těžko pochopitelný a abstraktní pojem, kdy nemusí být úplně jasné, jaké povinnosti pro podnikatele, tento nový předpis přináší. My se snažíme vše srozumitelně vysvětlit na jednom místě, a proto se v tomto článku dozvíte základní skutečnosti, práva a povinnosti vyplývající z GDPR, a to z pohledu drobného podnikatele.
 
 

Důležité pojmy

 
Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „Nařízení“ či „GDPR“), zavádí pevný rámec pro ochranu osobních údajů. Má za cíl významným způsobem přispět k nastolení důvěry a ochraně fyzických osob v rámci fungování a rozvoje digitální ekonomiky na celém vnitřním trhu EU. Nositel osobních údajů (fyzická osoba) má tak jistotu, že jeho osobní údaje nebudou na území EU či společnostmi se sídlem v EU zneužity a že dokáže mít přehled o tom, kdo, co, jak a jak dlouhou o něm zpracovává.
 

Co je osobní údaj?

 
 
Osobním údajem se myslí informace, díky které lze identifikovat fyzickou osobu (nazývanou také jako Subjekt údajů). Tzn. jméno, rodné číslo, lokační údaj (adresa), fotografie, telefon, email, ale i jiné údaje, které mají schopnost fyzickou osobu identifikovat. Nařízení chrání člověka podnikajícího i nepodnikajícího, nikoliv právnické osoby.
 

Co je zvláštní kategorie osobních údajů?

 
Etnický nebo rasový původ, zdravotní stav, náboženské vyznání, tresty a odsouzení, sexuální orientace, politické názory, členství v odborných organizacích, osobní údaje dětí, genetické informace, biometrické informace, ekonomická identita a další. Dříve tyto údaje nesly označení „citlivé údaje“.
 

Co je zpracování osobních údajů?

 
 
 
 
Kupní smlouva na auto Olomouc
 
 
 
 
 
Jde o jakoukoli operaci s osobními údaji, např. jejich shromažďování do databází, ukládání, uspořádání, vyhledávání, zpřístupnění, seřazení či zkombinování, zasílání, vymazání apod.
 

Kdo je správce?

 
 
 
Správcem je označena fyzická či právnická osoba nebo orgán veřejné moci, který rozhoduje, jak se budou osobní údaje zpracovávat. V praxi půjde nejčastěji o subjekt, který údaje zpracovává (např. obchodní společnost, živnostník, hotel, nemocnice, obec, …). Odpovědná je vždy tato osoba!
 

Kdo je zpracovatel?

 
Jde o fyzickou nebo právnickou osobu, která zpracovává osobní údaje pro správce. Často půjde o stejný subjekt, pokud se bude jednat o menší společnost či státní institut. Příklad může být účetní firma, archivační firma apod.
 

Kdo je pověřenec/DPO?

 
Jde o osobu, jejímž úkolem je poskytovat informace a poradenství správci či zpracovateli, včetně jeho zaměstnanců (zejména formou pravidelného školení), kteří se na zpracování osobních údajů podílejí. Pověřenec dále monitoruje soulad zpracování osobních údajů s GDPR a dalšími předpisy. Spolupracuje s Úřadem pro ochranu osobních údajů a působí jako kontaktní místo (např. ohlašuje případy porušení). Správce buďto musí pověřence/DPO zřídit jako novou pracovní pozici či si musí najmout externí osobu, která tuto funkci bude vykonávat. Pověřenec by měl mít vzdělání nejlépe v právním oboru a taktéž znalosti týkající se ochrany osobních údajů, konkrétní stupeň a obor vzdělání však zákonem stanoveno není.
 

Co je dle Nařízení Souhlas?

 
Svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Není výslovnou podmínkou, aby souhlas byl písemný. Nicméně z důvodů opatrnosti a možnosti prokázání jeho existence to můžeme jen doporučit.
 
 
 
 

Čí osobní údaje jsou chráněny

 
  • GDPR dopadá na veškeré zpracování osobních údajů fyzických osob na území EU či zpracování osobních údajů evropských občanů
  • Ochrana nedopadá na již zemřelé osoby
  • Ochrana je pouze pro fyzické osoby (člověka)
  • Nechrání anonymizované údaje, ale chrání pseudonymní osobní údaje
  • Nechrání údaje ve věcech trestního řízení
 

Povinnosti správců

 
Pokud dle výše uvedené definice a popisu patříte mezi správce osobních údajů čtěte dále a zjistěte, jaké povinnosti Vám jsou GDPR ukládány.
 

Vést záznamy o činnostech zpracování

 
Je třeba vést záznamy o činnostech, které se s osobními údaji provádějí. Lze doporučit připravit si na to formulář s kolonkami a do nich zapsat informace požadované v článku 30 GDPR (záznam o evidenci smluv, o evidenci zaměstnanců aj.). Nařízení přesně stanoví, jaké údaje se evidují. Jde zjednodušeně o uvedení kdo, jak a proč osobní údaje zpracovává. Jde o povinnost obecnou, která se týká téměř každého správce.
 

Ohlašovat případy porušení zabezpečení

 
Druhou obecně platnou povinností je ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů podle článku 33 GDPR (do 72 hodin od zjištění takového incidentu). Hlásit je třeba závažné incidenty s předpokládanými závažnými důsledky. Proto je tato povinnost ohlašování nejen vůči Úřadu pro ochranu osobních údajů, ale i vůči subjektům údajů, kterých se osobní údaje týkají. Je důležité si uvědomit, že samotné porušení ochrany osobních údajů (např. ztráta pracovního počítače s osobními údaji) není vždy pokutováno. Až neohlášení či nesplnění jiných povinností, vyplývajících z porušení, je pod hrozbou velmi vysoké pokuty.
 

Pověřenec pro ochranu osobních údajů

 
Nařízení uvádí 3 případy, kdy je správce či zpracovatel povinen ustanovit pověřence. Půjde o veřejné instituce, obce všech velikostí, školy, státní orgány apod. Dále o společnosti, jejichž hlavní činnost spočívá ve zpracování osobních údajů či zpracovávají údaje citlivé. Osoba pověřence je blíže specifikována výše. Předpokládá se, že bude problematice ochrany osobních údajů v příslušném odvětví rozumět. Pověřencem může být jak vlastní zaměstnanec (nedoporučuje se, viz dále), tak externista. Lze využít možnost, že jeden pověřenec bude moci činnost vykonávat pro více správců. Pověřencem ale nemůže být šéf organizace nebo oddělení informatiky, protože by byli ve střetu zájmů. Dále platí, že pověřenec má být obecně osobou nezávislou, což v případě zaměstnance nemusí platit.
 

Posouzení vlivu a konzultace s Úřadem pro ochranu osobních údajů

 
Stejně jako jmenování pověřence není ani posouzení vlivu na ochranu osobních údajů a předchozí konzultace s Úřadem pro ochranu osobních údajů povinností obecně platnou, týká se těch, kdo hodlají provádět s osobními údaji rozsáhlé rizikové operace, spočívající například v rozsáhlém profilování lidí prostřednictvím internetu, při kterém jsou pro marketingové účely získávány podrobné informace o jejich soukromém životě. Rizikovost může dále spočívá ve využití nových technologií používaných, např. na velké množství údajů o zdravotním stavu pacientů. Seznam těchto operací bude Úřadem pro ochranu osobních údajů zveřejněn. Posouzení vlivu bude rozsáhlí a složitý úkol, který bude mít za úkol podrobně popsat zpracování osobních údajů, jejich rizikovost, zabezpečení a zmapování všech procesů zpracování.
 

Povinnosti vyplývající ze zásad zpracování a z práv subjektu údajů

 
Při zpracování osobních údajů, má podnikatel i další obecné povinnosti, které vyplývají z práv subjektu údajů a zásad zpracování. Vždy by si měl nejprve uvědomit, proč a jaké osobní údaje potřebuje nebo chce získávat. Z toho je pak třeba vyjít při požadavku na omezené zpracování osobních údajů, aby zbytečně nezaznamenával informace, které vlastně vůbec nepotřebuje. Rozsah údajů by tak měl být jen minimální, aby dosáhl požadovaného cíle. Měli bychom dbát na to, aby získávané údaje byly přesné a jejich přesnost ověřovat. Možnost ověřit přesnost údajů z občanského průkazu dotyčné osoby není vyloučena, kopírování občanského průkazu i pasu je však až na zákonem stanovené výjimky zakázáno.

Zaznamenané údaje nemohou být využívány v rozporu s původním cílem. Například na záznamu kamery je uložena spousta obrazových informací o všech osobách, které do sledovaného prostoru vstoupily. Jsou po přiměřenou dobu uchovávány, aby případně bylo možné policii poskytnout informace o trestné činnosti. Nemohou však být využívány k nedůvodnému sledování sousedů, zjišťování nevěry, nebo k nepřiměřenému kontrolování zaměstnanců na pracovišti.

Další zásadou je mít údaje jen tak dlouho, jak je potřeba. Doba se může v různých případech hodně lišit. Od několika dnů u záznamu z kamery, až po desítky let u zákonem stanoveného uchovávání některých dokumentů (např. mzdových listů). Ne vždy končí doba nutná k uchovávání všech údajů ukončením nějaké činnosti, např. ukončením pracovního poměru nebo naplněním smluvního ujednání. V úvahu je třeba brát jak lhůty stanovené zákonem pro uchovávání některých dokumentů, tak případné promlčecí lhůty pro možnost podání soudní žaloby a v případě listinných dokumentů i lhůty skartační.

Další důležitou povinností je dostatečně informovat subjekt údajů o zpracování jeho osobních údajů. Nejvíce nedorozumění a stížností vzniká z toho, že lidé nedostanou dostatečnou informaci o tom, proč své osobní údaje poskytují a co se s těmito údaji bude dále dít, komu budou případně předány. Již při získávání údajů je proto třeba dotyčnému člověku takové informace poskytnout, nejlépe v písemné podobě, ať již v místě, kde k získání údajů dochází nebo i prostřednictvím webových stránek (viz. výše sdělení o zpracování osobních údajů).

Vyhovět je třeba i dalším právům, která mohou lidé uplatnit, jestliže jejich osobní údaje uchováváte a používáte. Právo na poskytnutí informací o svých údajích mají nejen ve chvíli jejich poskytnutí, ale mohou se dotázat i kdykoliv později. Pokud se to nedotkne práv jiných osob, má každý právo i na poskytnutí kopie svých údajů. Za více než jednu kopii ale můžete požadovat přiměřený poplatek, jako náklady za poskytnutí informace. K dalším právům patří i právo na opravu nepřesných údajů, právo vznést námitku, např. proti dalšímu zasílání marketingových nabídek, a také právo na výmaz údajů, ale pouze pokud není jiný důvod pro jejich další uchovávání (např. můžete odmítnout vymazat osobní údaje dlužníka, jelikož je potřebujete pro podání žaloby).

Neposlední řadě je povinností správce i zajistit přiměřené zabezpečení osobních údajů. Úroveň zabezpečení se zvyšuje s citlivostí a důležitostí osobních údajů. Zabezpečení by mělo být takové úrovně, aby se neoprávněný subjekt nemohl dostat bez omezení k osobním údajům. Tzn. zamčené skříně, kanceláře, zabezpečení budovy, zaheslované počítače, Wi-Fi, programy či složky.

Jelikož je GDPR právní předpis velmi obecný, musí se konkrétní povinnosti, a zejména dostatečné zabezpečení, každého povinného subjektu (správce či zpracovatele) zjišťovat individuálně, s čímž Vám rádi pomůžeme u v naší advokátní kanceláři.

Hledáte-li kvalitní právní služby advokátní kanceláře (advokáta) v Olomouci a Olomouckém kraji, tak využijte tento - kontakt.