- května vešlo v platnost obecné nařízení o ochraně osobních údajů, GDPR (General Data Protection Regulation). Co to znamená?
Nová legislativa, která vzešla z pera Evropské unie, si klade za cíl zvýšit ochranu osobních dat občanů. Ta se totiž dají, respektive dala poměrně snadno zneužít. Laika by mohlo napadnout, k čemu tedy byl svého času zřízen Úřad pro ochranu osobních dat, a jaké vlastně měl kompetence. Evidentně velmi malé. Zasáhnout musela až EU. A to dost razantně. Především tedy výší pokut dosahujících astronomických částek, které k tématu přilákaly pozornost široké veřejnosti. Ale zpět ke GDPR nařízení.
Co je GDPR?
Už jste asi zaslechli různé názory na to, co je GDPR. Je ale možné, že se v těch právních definicích trošku ztrácíte a i přesto, že tento pojem média propírají už půl roku, stále si nejste jisti, jestli se vás třeba směrnice také náhodou netýká.
GDPR hájí práva občanů EU
Alespoň to zní vznešeně. GDPR se tedy ujímá zodpovědného a náročného úkolu chránit občany EU před těmi, kteří by chtěli neoprávněně zacházet s jejich daty. Týká se firem, institucí, online služeb, ale i jednotlivců, kteří zpracovávají data svých klientů a zákazníků. Pozastavme se u slovíčka „zpracovávání“ osobních dat. Co si pod tímto pojmem vlastně představit? Jak právní systém tento pojem definuje?
Co to je zpracování dat?
Teď si dovoluji citovat ze stránky lepsi-reseni.cz, která se právě definici pojmu zpracování dat věnuje. „Za zpracování osobních údajů se označují všechny operace, které správci nebo zpracovatelé provádějí s osobními údaji subjektů systematicky a za určitým cílem, bez ohledu na prostředky a způsoby zpracování. Mezi výčet operací, které představují zpracování osobních údajů, patří: shromažďování, ukládání na datové nosiče, vyhledávání, předávání, šíření či zveřejňování, uchovávání a třídění, blokování nebo likvidace.“ Pokud tomu dobře rozumím a zmíněná definice mi to jen potvrzuje, tak do pojmu „zpracování“ dat patří i jejich shromažďování a evidování. Pokud tedy klientovi vystavíte fakturu s náležitými fakturačními údaji na 500 Kč za posekání trávníku, a tu si pro případ případné kontroly z finančního úřadu založíte do složky, v tom okamžiku evidujete data další osoby neboli s nimi nakládáte. GDPR směrnice se pak týká i vás. Co tedy musíte učinit?
Stanovení účelu zpracování dat
Ať již jste firma či jednotlivec, musíte si v první řadě stanovit ÚČEL zpracování těchto dat. Tím se jednoduše myslí důvod, který vás nutí k tomu je zpracovávat. A těch může být celá řada. Uzavíráte smlouvy? V tom případě potřebujete osobní údaje pro jejich plnění. Důvodem může být i vedení účetnictví. Fakturační údaje, ve kterých samozřejmě nechybí ani data osobní, potřebujete, abyste vyhověli zákonné povinnosti pro vystavování a evidenci daňových dokladů – tedy zpracování je předepsané zákonem. Osobních údajů se dále využívá za účelem přímého marketingu v podobě zasílání obchodních sdělení.
Vyslovení souhlasu
S marketingovým použitím dotyčná osoba, jejíž data používáte, musí souhlasit. Samozřejmě nebude stačit, když vám na to kývne. Souhlas musí být projeven náležitým způsobem jako například klasickým podpisem nebo odkliknutím určitého odkazu. Vyvstává otázka, co se stane, když se tak nestane.
Jednodušší situace je u faktury – ty podnikatel musí vystavovat ze zákona a každá faktura opět ze zákona musí být vybavena jistými náležitostmi, jejichž součástí jsou i osobní data. Musím tedy vystavit fakturu a tu evidovat. Nepotřebuji tedy souhlas dotyčného, jen ho na toto zpracování osobních údajů musím upozornit.
Data musíte chránit
Tím to ale nekončí. Evidovaná data druhých osob musíte podle GDPR nařízení náležitě chránit – nejenom před ukradením, ale i předčasným smazáním. V mnoha prohlášení firem, kterých již teď mám plnou schránku, se například opakuje tato věta: „Chráním osobní údaje v maximální možné míře pomocí moderních technologií, které jsou v aktuální době dostupné. Přijala jsem a udržuji veškerá možná (aktuálně známá) technická a organizační opatření, která zamezují zneužití, poškození nebo zničení vašich osobních údajů.“ Konkrétně tuto větu cituji z pojednání o tom, jak zachází s osobními daty svých klientů mateřská škola You&Me.
Takováto „pojednání“ v současné době rozesílá hodně firem. Není to zrovna jednoduché a nejeden podnikatel při studiu GDPR směrnice, mající mimochodem přes 700 stran, přímo zešedivěl. Naší radou je nestresovat se a obrátit se na odborníky, kteří vám poradí. KISSKL
Když se seznámíte s tím, co je GDPR a jak si s tímto nařízením poradit, už se ho nebudete obávat.