GDPR platí již od 25.05.2018!

Potřebuji řešit GDPR když...

mám(e) webové stránky...

mám(e) eshop...

mám(e) zákazníky...

mám(e) zaměstnance...

Čím se zabývá GDPR?

GDPR řeší ochranu osobních údajů fyzických osob.

Osobními údaji můžeme považovat jakékoliv informace, které lze vztáhnout ke konkrétní osobě. Nejedná se tedy pouze o jméno a příjmení, rodné číslo nebo adresu, ale i třeba informaci o tom, jaké zboží si zákazník koupil, jaké webové stránky návštěvník si prohlédl nebo jaké dary podporovatel věnoval neziskové organizaci.

GDPR v zásadě zmiňuje

  • Pokud sbíráte a zpracováváte osobní údaje, můžete tak činit pouze za účelem, který otevřeně prohlašujete, a pouze tehdy, když k tomu máte oprávnění (tzv. zákonný titul).
  • Data získaná za jedním účelem přitom nesmí být použita k účelu jinému.
    Např. adresu klienta zadanou pro dodávku zboží nelze bez dalšího vědomí použít k zasílání reklamních zásilek
  • Pokud už nemáte žádný důvod, oprávnění (zákonný titul), musíte data přestat používat.
  • Použití dat fyzickou osobou pro výlučně osobní potřeby nespadá pod GDPR.
    Např. Telefonní seznam v soukromém mobilu vám tedy nikdo vzhledem k GDPR kontrolovat nemůže.

Skupiny GDPR

GDPR ovlivňuje každého z nás. Důležité je pochopit jakým způsobem a proto jsme vytvořili 6 základních tříd podle stupně náročnosti.

1. skupina

osobní údaje neřeším

Všichni, kdo osobní údaje neukládají nebo pouze pro osobní potřebu.

občané a někteří podnikatelé

2. skupina

osobní údaje ukládám, ale dále nezpracuji

Mnoho živnostníků, kteří podnikají na základě osobního kontaktu se zákazníkem a nevyužívají marketingových nástrojů.

řemeslníci, kadeřnice, drobní podnikatelé…

3. skupina

osobní údaje ukládám, zpracovávám, ale dál nepředávám

Živnostníci, firmy, ale také různé spolky. Zpracování osobních údajů zahrnuje data zaměstnanců, členů, zákazníků nebo obchodních partnerů. Z tohoto důvodu je třeba zajistit základní zabezpečení systémů, které data uchovávají, s oprávněným přístupem. Dle rozsahu a způsobu zpracování dat je pak třeba vhodně určit, jak o tom budou lidé informování a jak budou zajištěna jejich práva. Výjimku tvoří instituce jejichž zpracování je nezbytné pro splnění zákonných povinností např. státní instituce, účetní a daňové firmy.

malé firmy se zaměstnanci, malé eshopy, provozovatelé webových stránek s registrací…

4. skupina

osobní údaje ukládám, zpracovávám, a dál předávám

Tato skupina se týká většině firem a podnikatelů pokud využívají online marketing, ať už cílené reklamy, nebo jen sledování návštěvníků webu pomocí Google Analytics. Zejména u webových služeb je třeba si pohlídat správné informování uživatele o zpracování a předávání údajů dalším subjektům. I pouhé ukládání údajů do cloudu může být předáváním. Je třeba zajistit správně definované souhlasy návštěvníků. Majitelé webových stránek a eshopů budou muset zajisti provedení úprav vzhledem k výše uvedeným skutečnostem, ale taky např. pro zajištění práva na výmaz osobních údajů tzv. právo být zapomenut.

firmy s externími dodavateli, větší eshopy, firmy využívající cloudu…

5. skupina

osobní údaje zpracovávám pro někoho jiného

Analytické a marketingové společnosti, které zpracovávají osobní údaje jako součást nabídky služeb pro jiné firmy. V těchto případech je nezbytné provést důkladnou analýzu IT řešení. S obchodními partnery je potřeba smluvně zajistit rozdělení odpovědnosti za zpracovávaná data. Je na místě, aby firmy měly velmi dobře ošetřen proces předávání a zpracování dat.

online služby spojené s rozesíláním newsletterů, analytické a marketingové agentury & osoby…

6. skupina

vysoké riziko zneužití údajů nebo jejich úniku

Do této skupiny patří státní správa, ale i korporátní firmy a instituce. V tomto případě už je třeba samostatný přístup a doporučuje se obrátit na právní kancelář. Pro splnění GDPR povinností je třeba zpracovat DPIA (posouzení vlivu na zpracování osobních údajů) a nechat prověřit povinnost zřízení DPO (pověřenec pro ochranu osobních údajů)..

státní správa, obce, nemocnice, banky, pojišťovny, call centra, bezpečnostní agentury…

Řešení GDPR

Uvádíme seznam témat k řešení, které ovlivní různými způsoby většinu z nás.

  • Záznamy o činnostech zpracování

    Záznamy o činnostech zpracování neboli „datový audit“ mají povinnost provádět firmy nad 250 zaměstnanci, ale doporučuje se, aby si ho zpracovali všichni.
    Získáte tak odpovědi na otázky:

    • s jakými daty nakládám,
    • co s nimi dělám,
    • jaký mám k tomu zákonný titul,
    • jak mám data zabezpečena.

     

     

    Účel

    Jaký je důvod data sbírat nebo zpracovávat. Obvykle těch účelů není mnoho a mohou se u jednotlivých zpracování opakovat. Několik příkladů možných účelů pro sběr a zpracování dat rozdělených do cílových skupin:

    • pro klienty: zasílání zboží, obsluha klientů (třeba možnost zaznamenat si osobní míry v obchodě s oblečením), marketingové oslovování, prevence podvodů (např tzv. blacklisty u zákazníků, kteří historicky nezaplatili objednané zboží),…
    • pro zaměstnance: docházka, zvyšování kvalifikace (školení), mzdová agenda,…
    • pro obchodní partnery: sjednávání obchodních příležitostí, fakturace, vykazování odpracovaných hodin,…
    • pro členy spolku: komunikace se členy, členské příspěvky, organizace spolku (kronika, členská databáze),…
    • pro příznivce spolku: zasílání informací o akcích,…
    • pro sponzory: zasílání výročních zpráv, daňové odpočty,…

     

    Zákonný titul

    GDPR určuje celkem 6 skupin zákonných titulů, pro většinu zpracovatelů dat jsou však použitelné pouze následující čtyři:

    • Plnění smlouvy, zpracování z ní vyplývající, nebo zpracování směřující k uzavření smlouvy. Do této kategorie spadají např.smlouvy s klientem, zaměstnanecké smlouvy, sponzorské smlouvy, smlouvy s dodavateli. Spadají sem ale také veškeré činnosti, které vyplývají z neplnění smlouvy, tedy soudní spory, reklamace (v případě delší než zákonné reklamační lhůty), spory s bývalými zaměstnanci, apod.
    • Plnění právní povinnosti, která se na vás vztahuje – do této skupiny spadají uchování a zpracování dat vyplývající ze zákon, nebo jiných nařízení (vyhlášek,…). Spadá sem povinnost předávat informace státním orgánům (typicky mzdová agenda, ale i třeba povinnost archivovat data podle archivačního zákona, povinnost ukládat data pro kontrolu z Finančního úřadu,…).
    • Oprávněný zájem váš, nebo třetí osoby, pokud tento zájem má přednost před zájmy nebo základními právy a svobodami subjektu údajů.
    • Souhlas osoby, jejíž data uchováváte a zpracováváte pro daný účel či více účelů. Nejčastěji se jedná o marketingový souhlas.

     

    Zákonný titul Oprávněný zájem

    Použití zákonného titulu Oprávněný zájem, zaujímá poměrně široké pole působnosti. Může obsahovat cokoliv, co není vaše zákonná povinnost, nemáte na to uzavřenu smlouvu, ani vám daná osoba neudělila se zpracováním souhlas.

    Případy, kdy je použití oprávněného zájmu v pořádku,

    • Podnikatel si vede kontaktní informace na osoby, se kterými v minulosti jednal.
    • Občanské sdružení pořádá jednou ročně akci, na kterou se musí účastníci přihlásit včetně svých kontaktních údajů. Další rok sdružení pošle e-mailem upozornění, že se akce opakuje a že je možné se opět hlásit.
    • Firma vede soudní spor se svým dodavatelem. I když by už za jiných okolností měla data o dodavateli již skartovat.

    Podstatné je, že oprávněný zájem musí být v souladu se zákonem. Vedení podnikatelských kontaktů je v pořádku, vedení seznamu třídních nepřátel či zrádců národa je jasně protizákonné. Oprávněný zájem vyžaduje, aby byl proveden balanční test viz níže…,

     

    Balanční test

    Srovnání oprávněnosti vašeho zájmu na straně jedné a zájmy a základní práva osob, o kterých jsou data uchovávána, na straně druhé. Pokud test vyjde tak, že vaše zájmy nepřevažují, nesmíte dané zpracování konat. Jediná legální forma, jak v takovém případě data zpracovávat, je získat souhlas dané osoby.

     

    Zpracování údajů o dětech

    U dětí do 16 let je zapotřebí ke zpracování osobních údajů prostřednictvím sítě elektronické komunikace (tzv. služby informační společnosti) souhlasu rodičů.

     

    Citlivá data

    GDPR věnuje zvláštní pozornost citlivým údajům. Jedná se o tyto informace:

    • rasový či etnický původ
    • politické názory osob
    • náboženském či filosofickém přesvědčení
    • členství v odborech
    • genetické a biometrické informace za účelem identifikace osoby
    • údaje o zdravotním stavu
    • informace o sexuálním životě
    • informace o sexuální orientaci

    Obecně je uchovávání a těchto informací zakázáno, ovšem platí i některé výjimky, nejpodstatnější jsou uvedeny níže:

    • výslovný souhlas dané osoby,
    • informace je nutná kvůli pracovnímu právu, sociálnímu zabezpečení, apod.,
    • zpracování se děje v rámci oprávněných činností spolků, které sledují politické, filosofické, náboženské nebo odborové cíle a to jen o svých současných či minulých členech a spolupracujících osobách,
    • data jsou nutná pro posouzení pracovní schopnosti zaměstnance.
  • Informace o zpracování osobních údajů neboli tzv. informační memorandum

    Informování osob, jejichž osobní data uchováváte a zpracováváte, o tom, jaká data o nich držíte a k čemu je používáte, patří mezi nejzákladnější povinnosti GDPR. K naplnění tohoto požadavku stačí tyto informace sepsat a vhodným způsobem zveřejnit, obvykle na vašich internetových čí intranetových stránkách. Toto pak nazýváme Informace o zpracování osobních údajů, neboli tzv. „Informační memorandum“.

    Jaké informace je potřeba zveřejnit?

    Informace by měly být podány stručně, srozumitelně za použití jednoduchých jazykových prostředků a je potřeba zajistit jejich snadnou přístupnost. Jedná se zejména o následující informace:

    • vaše identifikaci a kontaktní údaje (název a sídlo firmy, spolku,…),
    • za jakým účelem zpracováváte sebraná data a jaký je právní titul pro jejich zpracování,
    • pokud je zpracování podloženo oprávněným zájmem, tak o jaký oprávněný zájem se jedná,
    • komu posíláte jaká data,
    • pokud data hodláte poslat do zahraničí, je třeba na to explicitně upozornit,
    • jak dlouho budete tato data uchovávat,
    • jestli jsou data nějakým automatických způsobem analyzována (tzv. profiling),
    • pokud zpracováváte data o osobách získané odjinud, než od samotné osoby (třeba z internetu, nebo z veřejných rejstříků), je třeba uvést odkud data pocházejí.

     

    Informační memorandum musí navíc obsahovat několik dalších sdělení:

    • upozornit, že osoby mají právo na informaci o tom, jaká konkrétní data o nich držíte, že mají právo na opravu, výmaz a další práva,
    • pokud je nějaké zpracování založena na souhlasu, tak upozornit na právo kdykoliv tento souhlas odvolat,
    • upozornit na právo podat stížnost u Úřadu na ochranu osobních údajů.
  • Práva na kopii osobních dat

    Fyzická osoba má právo na získání i přímo kopie dat, které o ní držíte. Pokud vás tato osoba požádá elektronicky, měla by elektronicky obdržet i odpověď. Získaná data musí být předána transparentně a srozumitelně.

    Existuje několik scénářů, na které je nutné se připravit při dotazu na vyžádání osobních údajů:

    1. pokud žádná data nemáme,
    2. data máme, a jsme si jistí kdo se ptá,
    3. data máme a nejsme si jistí kdo se ptá,

     

    Přitom je nutné vědět:

    • práva dalších osob – poskytnutím kopie dat nesmí být nepříznivě dotčena práva a svobody třetích osob,
    • právo na přenositelnost údajů – pokud je umožněno smí si osoba vyžádat své poskytnuté údaje v elektronické podobě (např. csv soubor) na základě smlouvy nebo souhlasu osoby,
    • odpověď do 1 měsíce – je předepsáno poskytnout odpověď bez zbytečného odkladu do jednoho měsíce od podání žádosti. Výjimečně lze prodloužit až na 3 měsíce, ale je potřeba do 1 měsíce oznámit o využití prodloužené lhůty včetně odůvodnění proč došlo k této situaci,
    • další náležitosti – nelze vyžadovat poplatek za poskytnutí údajů, alespoň ne v prvních případech. V případě, že je žádost neodůvodněná nebo nepřiměřená, můžete žádost odmítnout. V takových případech musí být součásti odpovědi uvedení možnosti vytvoření stížnosti u Úřadu pro ochranu osobních údajů nebo i u soudu.
  • Délka držení dat

    O tom jak dlouho můžeme data držet rozhodují zákonné tituly. Zákonné tituly vám dávají oporu v tom, za jakých podmínek můžete data držet a zpracovávat:

    1.skupina

    Plnění smlouvy – pokud máte uzavřenou smlouvu (s klientem, se zaměstnancem, s dodavatelem,…), máte právo a často i povinnost data držet a to po celou dobu platnosti této smlouvy a ještě po čas nezbytný k vypořádání případného ukončení smlouvy.
    Tento čas nezbytný ale většinou nemusíme řešit, protože v mnoha případech máme zákonnou povinnost data držet delší dobu.

    2.skupina

    Zákon o účetnictví – data účetní uzávěrky a výroční zpráva se musejí držet 10 let (počínaje následujícím rokem). Účetní doklady, účetní knihy, odpisové plány, inventurní soupisy a další dokumenty 5 let (počínaje následujícím rokem). Pokud je záruční lhůta delší, než výše uvedené, pak po dobu trvání této lhůty.

    Daňový řádpodklady pro výpočet daní musí být drženy alespoň 3 roky, tato lhůta však může být prodloužena až na 10 let za podmínek stanovených v řádu. Živnostníci používající daňovou evidenci musí veškeré podklady držet také 3 roky, lhůtu mohou prodloužit daňové kontroly a při podání dodatečného daňového přiznání a v dalších případech.

    Zákon o DPH – všechny daňové doklady rozhodné pro stanovení daně z přidané hodnoty se musí držet 10 let (počínaje následujícím rokem) a to i v elektronické podobě.

    Zákon o organizaci a provádění sociálního zabezpečení – držení dat o zaměstnancích: stejnopisy evidenčních listů 3 roky (počínaje následujícím rokem), mzdové listy po dobu 30 let, pro poživatele důchodového zabezpečení pak 10 let  (počínaje následujícím rokem).

    3.skupina

    Oprávněné zájmy

    Umožňují v některých případech také uchovávat data, podívejte se na některé z nich:

    • Oprávnění zájem u spolků pro vedení informací o svých členech a to i po určitou dobu po skončení jejich členství.
    • V případě kdy firma nebo jiná organizace provádí akce s přihlášenými účastníky, je její oprávněný zájem držet informace o účastnících po dobu, kdy by mohli vznést námitku nebo nárok na nějaké odškodnění.
    • Pokud vedete archiv, matriku, kroniku, seznam členů, či podobnou knihu za účelem archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, můžete tato data vést až po neomezenou dobu, pokud splníte nezbytné podmínky příslušných technických a organizačních opatření s cílem zaručit práva a svobody subjektu údajů.
    • V případě, že vedete reklamační řízení, nebo soudní spor, pak je vaším oprávněným zájmem držet si podklady potřebné k domožení se práva.

    4.skupina

    Souhlas – Osoba udělí souhlas se sběrem jejich údajů. Data se smí držet po dobu platnosti tohoto souhlasu.

     

    Doba uplynutí držení údajů

    Data, pro která nemáme žádný právní titul jste povinni skartovat včetně všech kopií. Přitom nezáleží v jaké formě jsou uchovávaná, papírová nebo elektronická uložená na harddisku, na vlastních serverech nebo v cloudu.

    Data lze skartovat buď jejich smazáním, nebo tzv. anonymizací. Pokud data nedokážete skartovat, musíte alespoň data zabezpečit tak, aby nemohlo dojít k jejich neoprávněnému použití. Tento postup už je totiž krajní řešení, které může být v konfliktu s dalším nařízením a to tzv. právem být zapomenut .

  • Právo být zapomenut

    Toto právo nám předepisuje že data, u nichž právní tituly pominuly, je třeba bez zbytečného odkladu vymazat v těchto případech:

    • uplynutí lhůty vyplývající ze smluv nebo zákonných povinností,
    • odvoláním souhlasu nebo jeho vypršením,
    • vznesením námitky proti oprávněnému zájmu,
    • osobní údaje byly získány protiprávně (toto dává např. možnost vyžadovat odstranění nejrůznějších údajů v seznamech, které někteří publikují na internetu, aniž by pro to měli zákonnou oporu).

     

    Právo být zapomenut není absolutní. Pokud se někdo na vás obrátí s požadavkem na právo být zapomenut,  lze jej odmítnout ještě v několika dalších případech, z nichž nejpodstatnější jsou:

    • výkon práva na svobodu projevu a práva na informace,
    • archivace ve veřejném zájmu (platí zejména u státních orgánů), pro účely vědeckého či historického výzkumu či pro statistické účely, pokud by se smazáním dat ohrozilo splnění těchto cílů.
  • Ostatní práva

    Seznam individuálních práv, která GDPR dává fyzických osobám vůči správcům jejich osobních dat.

     

    Právo na opravu

    Toto právo umožňuje požadovat opravu dat, která o dotyčné osobě držíte, a to jak dat neúplných, tak dat chybných. Můžete si vybrat jakým způsobem proběhne oprava dat, jestli opravdu dat provedete vlastními silami nebo osoba provede opravu dat sama např. pomocí webového přístupu ve formuláři.

     

    Právo na omezení zpracování

    Zde můžeme narazit na různé požadavky např:

    • Pokud osoba tvrdí, že data o ní jsou chybná (a vy odmítáte uznat právo na opravu), může žádat, aby data nebyla zpracovávána (používána) do té doby, než si ověříte pravdivost požadavku dané osoby.
    • Pokud vás daná osoba požádá, abyste její data uchovali a to i v případě, že nemáte žádný jiný právní titul k držení těchto dat. Důvodem může být třeba soudní pře, kterou vede a chce tato data u soudu použít. A může to být i soudní pře s vámi.

    Pokud dojde k omezení zpracování z vaši strany na základě některého z těchto bodů, musíte osobu upozornit v případě, že se rozhodnete data opět používat.

     

    Právo vznést námitku

    Pokud osobní data zpracováváte na základě vašeho oprávněného zájmu a dotyčná osoba vznesla námitku proti tomuto zpracování. Může touto cestou žádat, abyste daná data jste nepoužívali do té doby, než ověříte, zda je platný balanční test i v jejím specifickém případě.

    Specificky je u tohoto práva uvedeno, že se tato námitka vztahuje i na automatické profilování (např. pro optimalizci nabízených reklam na e-shopu). Pokud používáte automatické profilování, měli byste si jej nastavit tak, aby šlo pro jednotlivé uživatele vypnout.

    Pokud se rozhodnete použít oprávněný zájem pro oblast marketingu, v tomto případě GDPR nařizuje, že námitka vznesená proti zpracování musí být pro danou osobu automaticky uznána a zpracování dat dané osoby musí být ukončeno.

    Právo na individualizované rozhodování

    Toto právo definuje, že každý má právo na lidský vstup v případech, které na něj mají právní dopad, nebo se ho obdobným způsobem významně dotýká. Člověk by tedy v takovýchto závažných případech neměl být předmětem plně automatizovaného zpracování, např. profilování.

  • Souhlas se zpracováním

    Musím požadovat souhlas?

    V mnoha případech nemusíte. Pokud máte uzavřenu s dotyčnou osobou smlouvu, nemusíte na zpracování dat pro plnění smlouvy už žádný souhlas. Stejně tak v případě zákonné povinnosti data zpracovávat (třeba data pro sociální nebo zdravotní pojištění) nebo v případě oprávněného zájmu.

    Pokud se ale stane, že držíte data, kde pro daný účel  nemáte smluvní podklad, zákonnou povinnost nebo nevyšel balanční test oprávněného zájmu, musíte o souhlas požádat.

     

    Co musí souhlas se zpracováním splňovat?

    • Musíte být schopni doložit, že vám dotyčná osoba souhlas udělila.
    • Pokud je to součást rozsáhlejšího dokumentu, nesmí být souhlas ukryt v jiném textu, musí být jasně odlišený od zbytku dokumentu, musí být srozumitelný a jednoduchý.
    • Souhlas musí být jasně vyjádřený, třeba pokud se uděluje pomocí formuláře na webových stránkách, nesmí se jednat o předem zaškrtnuté políčko. Zaškrtnout jej musí sám uživatel.
    • Nesmí vzniknout dojem, že udělení souhlasu je podmínkou uzavření smlouvy.
    • Osoba musí mít právo souhlas kdykoliv odvolat a to stejně snadno, jako byl udělen.

     

    Jak prokázat, že dotyčná osoba udělila souhlas?

    Jistotou je podpis. Ať už na papíře, nebo elektronický. Ten první ale nejde pořádně použít na internetu, ten druhý zase není v České republice příliš rozšířen.
    Za obecně přijatelnou variantu lze uvést „zaškrtněte políčko se souhlasem a uveďte e-mail“. Ale musíte mít v každém zaslaném e-mailu možnost se jednoduše (např. kliknutím na odkaz) z odběru zpráv odhlásit.

     

    Byl souhlas udělen dítětem?

    V tomto případě je třeba být ostražitý. Do 16 let mohou souhlas udělit, případně jej schválit, pouze rodiče.

  • Ochrana dat

    Obecná ochrana dat

    Je požadováno, aby bylo zpracování osobních dat chráněno vhodnými prostředky s přihlédnutím ke konkrétním podmínkám.
    Některá základní pravidla:
    • mějte legální operační systém a software, ve kterém data zpracováváte,
    • pravidelně provádějte aktualizace, aby se vám instalovaly záplaty na zjištěné bezpečnostní problémy,
    • mějte nainstalovaný antivirový program,
    • používejte na svých počítačích a sítích firewall,
    • uživatelé ať se do systému hlásit heslem pod svým osobním účtem,
    • klíčová data šifrujte – při ukládání, nebo posílání k dalšímu zpracování,
    • šifrujte i data při komunikaci přes internet, osobní data by měla být přenášena https protokolem,
    • zálohujte.

     

    Použití co nejméně dat

    Je požadováno, abyste nepoužívali data, která nepotřebujete. Případně, pokud nejste živnostník, nebo malá společnost se třemi osobami se zcela stejnými potřebami přístupu k datům, ale už větší společnost, abyste rozlišovali mezi jednotlivými skupinami osob, které k datům přistupují. Několik příkladů:

    • k detailním informacím o zaměstnanci by mělo mít přístup jen oddělení lidských zdrojů a bezprostřední nadřízený,
    • k informaci o mzdách by měly mít přístup pouze mzdová účtárna,oddělení lidských zdrojů a nadřízení,
    • k informacím o zákaznících by měli mít přístup pouze obchodníci,
    • k informacím o platbách by měla mít jen účtárna a obchodníci,
    • marketing bude mít přístup pouze k informacím o zákaznících, kteří udělili marketingový souhlas.

     

    Přijatá opatření, organizační i technická, nemusí být komplikovaná, musí však být vedena snahou ochránit práva osob, o kterých jsou informace drženy. Klíčové je, aby data nebyla „přístupná všem“.

  • Porušení zabezpečení

    Pravidla v případě úniku dat

    Pokud nastane situace, že někdo ukradne, neoprávněně zkopíruje, nebo neoprávněně přistupuje k osobním datům fyzických osob, která spravujete, pak je zapotřebí do 72 hodin od zjištění, že k porušení zabezpečení došlo oznámit tuto událost Úřadu na ochranu osobních údajů (dále jen UOOU), s výjimkou případů, kdy je nepravděpodobné, že by tento únik měl za následek riziko pro práva a svobody fyzických osob. Podoba tohoto oznámení musí obsahovat:

    • co se stalo, jaká data unikla, o jaké a jak početné skupině osob,
    • kontakt na osobu nebo místo, kde je možné získat podrobnější informace,
    • popis možných důsledků úniku dat,
    • popis opatření, které jste udělali, abyste těmto důsledkům zabránili.

     

    Pokud do 72 hodin nemáte k dispozici veškeré informace, lze tak učinit pouze oznámení a další informace dodat v okamžiku, kdy je máte k dispozici. Pokud se stane, že k oznámení nedojde do 72  hodin, musí vaše oznámení ještě obsahovat zdůvodnění, proč jste oznámení neodeslali ve stanoveném termínu.

    Druhou povinností je informovat osoby, jejichž data unikla. Tyto osoby musí být informovány s výjimkou případů, kdy je nepravděpodobné, že by tento únik měl za následek vysoké riziko pro práva a svobody fyzických osob. Text oznámení by měl obsahovat stejné informace, jako oznámení pro UOOU, musí ale být navíc psán srozumitelně za použití jednoduchých jazykových prostředků. Forma, jakou musíte zasažené osoby informovat by měla být přiměřená. To může znamenat rozeslat e-mail, sms, dopis, stejně dobře jako vyhlásit obecním rozhlasem, nebo třeba oznámit na schůzce členům sdružení.

    • data byla zabezpečena (třeba šifrováním) tak, že jsou pro případné třetí osoby nesrozumitelná,
    • opatření, která byla v souladu s únikem učiněna s vysokou pravděpodobností zneužití vylučují,
    • přímé informování dotčených osob by vyžádalo nepřiměřené úsilí – v tomto případě je tu stále povinnost sdělit informaci veřejným oznámením, nebo jinou podobnou formou.

     

    Třetí povinností je vždy dokumentovat úniky dat. Ne jenom, když jste povinni tyto informace sdělit UOOU nebo osobám, jejichž data unikla. Je zapotřebí mít zdokumentovány všechny informace, které jsou výše uvedeny pro komunikaci s UOOU nebo osobami, jejichž data unikla, včetně toho, že jste jim informace předali. Tuto dokumentaci si může UOOU vyžádat a to i v případech, kdy nevznikla povinnost učinit oznámení.

     

    Ostatní porušení zabezpečení

    Do porušení zabezpečení osobních údajů vstupují i další problémy se zabezpečením, např.:

    • technický výpadek e-shopu nebo webových stránek,
    • útok typy DDoS, kdy jsou stránky nedostupné, ale k úniku dat nedošlo,
    • poškození dat třeba vlivem špatného hard disku,
    • přístup zaměstnance k datům, na která nemá právo ze své pozice.

     

    Výše uvedená pravidla se vztahují na všechny tyto případy.

    V každém případě, platí relativně jednoduchá pravidla:

    • každé porušení zabezpečení je potřeba zdokumentovat a samozřejmě řešit,
    • pokud vznikne riziko pro práva osob, zabezpečení jejichž dat bylo porušeno, je třeba to oznámit UOOU,
    • pokud vznikne vysoké riziko pro práva osob, zabezpečení jejichž dat bylo porušeno, je třeba to oznámit i jim.

     

  • Sankce

    GDPR stanovuje maximální výši správní pokuty až 20 milionů EUR, nebo 4% z celosvětového obratu. Je ale potřeba si uvědomit, že tyto částky mají pokrýt případy zásadního a úmyslného porušení ochrany práv fyzických osob ze strany obřích společností, jako jsou třeba Facebook, Google, nebo Amazon.

    …co reálně hrozí ze strany Úřadu pro ochranu osobních údajů

    Pokud nastane situace, že se u vás kontrola z UOOU objeví, bude následovat postup, který je popsán v zákoně č. č. 101/2000 Sb., o ochraně osobních údajů a zákoně č. 255/2012 Sb., o kontrole (kontrolní řád). Ve stručnosti dojde k tomuto postupu:

    • dostanete dopředu oznámení o konání kontroly a jejích důvodech,
    • následuje samotná kontrola, o které dostanete písemně vyhotovený protokol (obvykle do 30 dnů) ,
    • podle výsledku kontroly může být zahájeno správní řízení, které může mj. žádat (a obvykle žádá) odstranění zjištěných nedostatků,
    • Pokud nedostatky odstraníte, nemusí být pokuta vůbec uložena (a poměrně často uložena nebývá, nebo jen symbolická).

     

    Kdy bude vnímat UOOU důvody k případnému postihu?

    • úplné zanedbání přípravy na GDPR,
    • neoznámění porušení ochrany dat ať už UOOU, nebo osobám, jejichž data unikla,
    • úmyslné shromažďování a nelegální zpracování dat,
    • nespolupráce s kontrolou.
  • Zpracování dat pro někoho jiného

    GDPR řeší ve velkém i situace, kdy některé zpracování dat dělá někdo jiný než ten, kdo data pořídí a spravuje je. Takových případů může být celá rada. Účetnictví, nebo mzdové účetnictví může být děláno specializovanou firmou. Tisk dopisů (papírových) a jejich podání na poštu pro vás může dělat jiná specializovaná firma, vy jí jen předáváte v elektronické podobě texty dopisů a adresy.

     

    Kdo je správce a kdo je zpracovatel?

    Správcem je fyzická nebo právnická osoba nebo jiný subjekt, který určuje účely a prostředky zpracování osobních údajů. Tuhle složitou právní formulací lze nahradit jednodušší pomůckou – správcem dat je ten, kdo drží smlouvu s dotyčnou osobou. Jste tedy zpracovatelem dat svých klientů (smlouva podle občanského zákona), svých zaměstnanců (zaměstnanecká smlouva) či sponzorů (smlouva je uzavřena registrací sponzora). Tahle pomůcka nefunguje úplně vždy, ale pro cílovou skupinu tohoto seriálu by platit měla.

    Zpracovatelem je fyzická nebo právnická osoba nebo jiný subjekt, který zpracovává osobní údaje pro správce. Tedy pokud ten, kdo drží smlouvu (s klientem, zaměstnancem,…)  předá zpracování někomu jinému, pak je držitel smlouvy nadále správcem, ten kdo data zpracovává, je zpracovatel. Nejčastějším příkladem budou účetní, které zpracovávají účetnictví nebo mzdy pro více správců dat. Zpracovateli ale mohou být třeba i marketingové či komunikační agentury.

     

    Jste správce a máte činnosti, které pro vás vykonává zpracovatel?

    Pak jste primárně zodpovědní za to, že i váš zpracovatel dodržuje zásady ochrany osobních údajů. Pokud s daty nevhodně naloží on, je to i vás problém. Přitom platí:

    • Vybírejte si pouze důvěryhodné zpracovatele.
    • Každé zpracování osobních dat, které přenášíte na zpracovatele, musíte mít pokryté písemnou smlouvou. Ve smlouvě musí být uvedeno za jakým účelem a jakým způsobem bude data zpracovávat, povinnost zachovávat mlčenlivost o předaných informacích.
    • Správce musí informovat zpracovatele o povinnosti skartovat (smazat) konkrétní data s osobními údaji, které mu předal a ověřit provedení skartace.

     

    Jste v nějaké oblasti zpracovatelem pro nějakého správce?

    Vztahují se na vás všechny povinnosti, jako na správce. Chce se přitom po vás:

    • Poskytněte dostatečné záruky (včetně technických a organizačních opatření), že plníte požadavky na ochranu osobních dat.
    • Nesmíte do svého zpracování zahrnout žádné další zpracovatele, bez předchozího svolení správce, správce musí schválit i změny sub-zpracovatelů.
    • Pokud zahrnete do zpracování další zpracovatele, jste vůči nim v pozici správce, se všemi právy a povinnostmi.
    • Skartovat (smazat) data předaná správcem podle jeho pokynů a poskytnout o skartaci potvrzení.
    • Poskytovat součinnost při auditech a správních řízeních v oblasti osobních dat.

     

    Používáte cloudová úložiště nebo maily?
    V tom případě pro vás danou činnost (ukládání dat, posílání mailů,…) provádí poskytovatel služby. Z pohledu GDPR jste vy v roli správce, poskytovatel služby je zpracovatel. A tedy by mezi vámi měla být uzavřena smlouva. Zpracovatelskou smlouvu (byť standardizovaně formulovanou ze strany zpracovatele) jste uzavřeli v průběhu vytváření dané služby. Jedná se o právní dokument, se kterým jste se souhlasili a který od vás poskytovatel služby chce čas od času znovu potvrdit, že jste jej četli.

Potřebujete pomoci nebo vyřešit GDPR?

Ozvěte se a domluvte si s námi konzultaci zdarma.

info@smartelephant.cz nebo +420 739 909 607