Přejít na obsah

Strašák jménem GDPR není žádná revoluce, ale evoluce.

Opravdu již dnes kladete důraz na ochranu osobních údajů ve Vaší společnosti? Schválně, tušíte, kolik z Vašich zaměstnanců smí používat na firemním telefonu například WhatsApp či Viber? Pokud ano, tak asi víte, že si tyto aplikace zkopírovaly všechna jména, telefony a případně další osobní údaje z adresářů.

Již v současné době existuje povinnost chránit osobní údaje upravená zákonem na ochranu osobních údajů č. 101/2000 Sb. Nové nařízení EU č. 2016/679 o ochraně osobních údajů, které ho nahrazuje, je v podstatě jen jeho zpřísněním a rozšířením.

Strašák jménem GDPR (General Data Protection Regulation), začne platit jednotně na celém území Evropské unie 25.5.2018 a dotkne se úplně všech společností, ať už se zabývají čímkoli. Práce s osobními údaji je totiž obsahem téměř každé provozované aktivity.

Jaké osobní údaje?

GDPR jako takové nevyjmenovává, co všechno je osobním údajem. Pouze definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Osobním údajem je tedy například rodné číslo, osobní stav, zdravotní znevýhodnění (pozor, zdravotní údaje patří do zvláštní kategorie citlivých osobních údajů), e-mailová adresa, telefonní číslo, poloha, vzdělání, ale i různé identifikační údaje vydané státem (DIČ, číslo občanského průkazu…). Výčet není zdaleka úplný a osobním údajem může být i například informace o uskutečněných nákupech jednotlivé osoby, či seznam přístrojů, které vlastní, pokud je podle takové informace osoba identifikovatelná. Díky rozvoji nových technologií budou do budoucna vznikat samozřejmě i další, zatím neznámé osobní údaje. Každý si tedy musí udělat pořádek v tom, jaké osobní údaje ukládá, odkud je získal, komu je dal k dispozici, jak je zabezpečuje apod. Zdůrazňujeme, že nejde jen o data v elektronické podobě. I práce s vyplněnými osobními dotazníky podléhají tomuto Nařízení.

Většina společností ani netuší, kde všude jsou uložené osobní údaje partnerů, zaměstnanců či dalších osob. Zaměstnanci jsou zvyklí důvěřovat svému internímu prostředí a data se šíří často nekontrolovaně a v mnoha Excelových kopiích.

Mimochodem, samotná role jedince (soukromá, veřejná, či pracovní) s jehož daty nakládáme, není z hlediska Nařízení rozlišována. Osobní údaje jsou vždy osobní a tudíž chráněné. Proto jsou chráněné i výše zmíněné kontakty na zaměstnance Vašich zákazníků.

Právní titul, oprávněný zájem nebo souhlas?

Získávání souhlasu ke zpracování osobních údajů by mělo být vyžadováno pouze tam, kde k nakládání s osobními údaji nemáme jiný právní titul, oprávněný či veřejný zájem. Možnost nakládat s osobními údaji často bude vznikat například z titulu plnění uzavřené smlouvy či zákonné povinnosti.

Pokud jste dospěli k závěru, že pro nakládání s osobními údaji nemáte žádný zákonný důvod (smlouva, zákonná povinnost apod.), tak teprve tehdy jste oprávněni žádat subjekt údaje o souhlas s jeho zpracováním. Souhlas musí být psán srozumitelným jazykem a musí být oddělitelný – nemůže se tedy jednat o pouhé zaškrtávací pole uprostřed textu (aby nebyl subjekt uváděn v omyl, že bez souhlasu nelze pokračovat). Souhlas musí být hlavně jednoznačný – komu jej uděluji, na jakou dobu a proč (k jakému účelu). Bohužel, staré souhlasy, pokud tyto náležitosti neobsahují a tudíž nejsou v souladu s GDPR, budou po datu účinnosti nařízení neplatné. Nesmíme též zapomenout, že souhlas je kdykoli odvolatelný a ten, kdo ho uděluje, o tom musí být dopředu poučen.

Milionové pokuty. V EUR.

Opravdovým strašákem v GDPR je ovšem podstatné zvýšení pokut za porušení ochrany osobních údajů. Pozor, pokud se porušení ochrany osobních údajů dotkne občanů v jiné zemi, může být správní řízení vedeno dozorovým úřadem pro ochranu osobních údajů v této zemi. Při určování výše pokuty bude mimo jiné vyhodnocována povaha, závažnost a doba či opakování porušení ochrany osobních údajů, ale také zda porušení bylo nahlášeno dozorovému úřadu. Na druhou stranu, bude bráno za polehčující okolnost, pokud jsou ve Vaší společnosti nastaveny, popsány a
dodržovány procesy pro systematickou ochranu osobních údajů.

Detailnější informace o postupu dozorujících úřadů při vyměřování pokut lze najít v článku 83 Nařízení.

Nová práva, nová práce…

Musíte se připravit na řešení nových situací. Určitě se najdou subjekty, které po Vás budou požadovat například vymazání svých osobních údajů (uplatní právo být zapomenut). Je ale potřeba mít na paměti, že nemusíte vymazat údaje, k jejichž zpracování máte „právní titul“. Výrazně technicky náročnější to bude s plněním dalších nových povinností – s právem na přístup k osobním údajům
či právem na přenositelnost údajů k jinému správci. Osobní údaje (a to jak získaných se souhlasem tak bez něj) musí být předány v kompatibilním formátu. GDPR také dává subjektům možnost vznést námitku proti způsobu zpracování (použití) osobních údajů a také mají nárok na opravu svých osobních údajů. Nezapomeňte si při zpracovávání těchto žádostí řádně ověřit, že žadatel je opravdu „on“! Na reakci na tyto požadavky Vám Nařízení dává lhůtu 30 dní.

Privacy-by-design

Ochrana osobních údajů je v současnosti často na okraji zájmu. GDPR vyžaduje, aby byl kladen důraz na záměrnou a standardní ochranu osobních údajů již od začátku. Ať už při výběru nového informačního systému, jeho přechodu do cloudu, či při jeho rozšíření, je pokaždé nutné zajistit nejen dostupnost, integritu a ochranu dat, ale i například možnost exportu, přenosu, či výmazu dat.

Dnešní systémy například velmi často opomíjejí nastavení a procesy pro nezvratnou likvidaci dat po uplynutí retenční doby (tj. doby, po kterou bylo umožněno či vyžadováno subjektem či legislativou data uchovávat, resp. po dosažení účelu, pro který bylo využití osobních údajů odsouhlaseno). Osobní údaje nelze uchovávat jen tak, pro případ, že by se mohly hodit v budoucnu!

72 hodin? Jak to stihneme?

Společnosti se musí připravit i na oznámení špatných zpráv. Nařízení jim dává povinnost do 72 hodin od zjištění úniku osobních údajů tento únik nahlásit na Úřad pro ochranu osobních údajů. A teď si představte, že se o něm dozvíte v pátek večer. Při zvláště rozsáhlém úniku osobních údajů má navíc společnost povinnost informovat nejen dozorující úřad, ale i všechny postižené subjekty údajů.

U společností s více jak 250 zaměstnanci a v některých dalších případech (např. pokud společnost při své hlavní činnosti provádí rozsáhlé, pravidelné a systematické monitorování osob) je za komunikaci odpovědný pověřenec pro ochranu osobních údajů (neboli DPO). Mimo kontaktu s dozorovým úřadem DPO plní funkci koordinátora ochrany osobních údajů. Je podřízený přímo managementu a nesmí být v konfliktu zájmů (např. vedoucím IT).

Zpracování osobních údajů by mělo sloužit lidem

Evropský předpis ale hovoří i o objektivních mezích tj. o přiměřenosti nákladů na řešení požadavků GDPR s ohledem na dostupnou technologií. Recitál 4 k GDPR praví: „Zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. „

Jak začít?

Začněte tím, že ověříte, kde a jaké osobní údaje máte uloženy (nezapomeňte na to, že zaměstnanci jsou často velmi kreativní!). V druhém kroku zjistěte, kdo s nimi může manipulovat. Jsou na nich nastavena správná přístupová práva? Komunikujte s lidmi jednoduše, když údaje vyžadujete. Sdělte, proč údaje zpracováváte, jak dlouho je budete uchovávat, kdo je získá, a jak budou zabezpečeny. Umožněte lidem, aby měli ke svým údajům přístup a mohli je poskytnout jinému zpracovateli, nebo je nechali „zapomenout“. Chraňte údaje koncepčně. Utvořte a popište si pravidla pro práci s osobními údaji. Pokud je Vás více než 250, určete pověřence pro ochranu osobních údajů. Ochrana osobních údajů je důležitá. Teď už to víte.

Štítky , , , ,

zpět na seznam novinek

Naše vize

Našim zákazníkům poskytujeme odborný servis na špičkové úrovni, včetně pečlivosti, která do oboru financí patří. Rady a doporučení poskytujeme tak, jak bychom je sami od důvěryhodného a profesionálního partnera očekávali.

Skupina VGD

Jsme mezinárodní společnost, poskytující služby v oblastech auditu, daní, účetnictví, mezd a podnikového poradenství.

Nexia International

VGD je aktivním členem NEXIA, prestižní celosvětové sítě auditních, účetních a poradenských firem. Díky tomu jsme schopni zajistit své profesionální
služby po celém světě.