GDPR na poslední chvíli: Na co nezapomenout?

V minulém díle jsme se věnovali tématu GDPR v obecné rovině. Na příkladu fiktivní firmy jsme představili, jaké údaje jsou považovány za osobní a jaké kroky by měli menší a střední podnikatelé provést před zaváděním případných nových procesů – které často nemusí být ani potřeba. Navrhli jsme: 1. zmapování nakládání s osobními údaji, 2. inventuru nakládání s těmito údaji včetně místa, kde jsou data uložena a osob, jež mají k datům přístup, 3. vypracování analýzy rizik pro každý jednotlivý osobní údaj, 4. zpracování záznamů o činnostech zpracování.

Dnes přiblížíme jeden ze způsobů, jak by takový záznam o zpracování osobních údajů mohl vypadat pro potřeby firmy zpracovávající údaje o klientech, dodavatelích a zaměstnancích. Zodpovíme i dotazy, které se v souvislosti s GDPR často opakují, zejména co se týká drobných podnikatelů. Tak pojďme na to.

Jak na záznamy? Nejlépe tabulkou

Právě záznamy o činnostech zpracování jsou hlavním výstupem přípravy na GDPR a dle Úřadu pro ochranu osobních údajů představují do jisté míry náhradu za oznamovací povinnost. Ta byla totiž obecným nařízením zrušena.

Přesnou podobu záznamů nařízení neurčuje. Očekává se, že v jednotlivých případech se bude lišit v závislosti na rozpětí prováděného zpracování. Často se doporučuje tabulka, ve které ke každému ze zpracovávaných osobních údajů přiřadíte: kategorii, účel zpracování, konkrétní zpracovatele, příjemce, lhůtu pro výmaz, rizika, bezpečnostní opatření a případně další informace.

Zatímco u kategorií budete rozlišovat pouze mezi variantami osobní údaj versus údaj zvláštní kategorie, u účelů se škála rozšiřuje na celkem šest právních důvodů ke zpracování:

• Zákonný předpis – nějaký zákon výslovně ukládá, že daná data musíte zpracovávat
• Smluvní vztah – typicky pracovně-právní vztah či v případě vyřizování objednávky z e-shopu
• Zpracování na základě souhlasu – například u potenciálních zákazníků
• Oprávněný zájem firmy – poměrně široká kategorie, typicky sem spadá třeba ochrana majetku v případě kamerových záznamů, nikdy však nesmí převážit zájmy nebo základní práva a svobody subjektu údajů
• Životní či veřejný zájem – pro ochranu subjektu údajů či jiné fyzické osoby
• Žádost subjektu údajů

Dále je vhodné evidovat, kdo přesně dané údaje zpracovává. Tedy konkrétně která oddělení uvnitř vaší firmy s daty pracují. Z povahy své práce to budou často účetní a HR oddělení, jež přicházejí do styku s celou řadou osobních údajů. Nezapomeňte ani na úřady a veřejné instituce, jimž data předáváte, a software třetích stran, který pro zpracování využíváte.

Důležitou položkou u každého jednotlivé osobního údaje je i takzvaná lhůta pro výmaz nebo také jinak označovaná jako doba uchování. Část stanovuje zákon – daňový doklad je kupříkladu nutné archivovat 10 let, mzdové listy pro výpočet důchodového pojištění pak dokonce 30 let – avšak u většiny případů si konkrétní lhůtu stanoví sám správce.

Vzorovou ukázku dokumentu pro případ zaměstnanců, dodavatelů a zákazníků menší firmy připojujeme níže.

Souhlas se zpracováním, to je to, oč tu běží

Plnily se v posledních dnech vaše e-mailové schránky žádostmi o poskytnutí souhlasu se zpracováním? Nová evropská regulace totiž definuje požadavky na souhlas se zpracováním osobních údajů a počínaje dnešním dnem budou platné jen souhlasy udělené v souladu s GDPR.

Souhlas musí být dle GDPR:

• Svobodný a nepodmíněný
• Konkrétní
• Informovaný
• Jednoznačný a aktivní

Na webu může být souhlas implementován jako zaškrtnutí políčka. Nově ho už není možné vynucovat neposkytnutím či omezením služeb. Věty typu „uzavřením kupní smlouvy současně souhlasíte se zpracováním osobních údajů“ by nejpozději ode dneška měly být minulostí.

Subjekt údajů musí být informován o tom, které údaje budou zpracovávány, za jakým účelem a kým, a to jasným a srozumitelným způsobem. Pamatujte na to, že mlčení neznamená souhlas. Právě naopak. Klient musí souhlas vyslovit aktivně například zatržením checkboxu a nikoliv nečinností. Správce dat tyto souhlasy eviduje spolu s případnými odvoláními. Stejně jednoduché jako udělení souhlasu musí být i jeho odvolání.

Pět nejčastějších dotazů k GDPR

1. Platí GDPR opravdu ode dneška, když stále není schválen nový zákon o zpracování osobních údajů?

Ano, termín 25. května 2018 platí pro celou Evropskou unii bez ohledu na to, že v České republice dosud nebyl schválen adaptační zákon k GDPR. Obecné nařízení je přímo aplikovatelné, má přednost před zákonem a fakticky novelizuje dosavadní zákon č. 101/2000 o ochraně osobních údajů. Chybějící adaptační zákon není překážkou.

2. Jsou nějaké výjimky, na které se GDPR nevztahuje?

GDPR nedopadá na činnosti fyzických osob, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost. Pokud si tedy doma vypracováváte kartotéku oblíbených osobností s fotografiemi a kontakty, rozhodně je nemusíte žádat o souhlas. Obecné nařízení nedopadá ani na zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů – rozuměj činnosti zejména policie. V neposlední řadě ochraně dle nařízení nepodléhají ani osobní údaje zemřelých osob.

3. Jak je to s GDPR a cookies? Je potřeba souhlas?

K používání cookies není potřeba výslovný souhlas. Uživatel souhlasí tím, že má cookies povolené v prohlížeči, čímž logicky souhlasí i s tím, že mu je weby posílají. Zatímco technické cookies řešit nemusíte vůbec – bez nich by služba nefungovala – u všech ostatních sdělte uživatelům že je používáte a proč tak činíte. Souhlas ale ošetřovat nemusíte, lze ho získat nastavením běžných prohlížečů. Blíže doporučujeme prostudovat čtyřstránkový dokument doporučení Úřadu pro ochranu osobních údajů.

4. Mohu oslovovat stávající zákazníky, když od nich z minulosti nemám souhlas?

V rámci zkvalitnění služeb je možné zasílat stávajícím zákazníkům informace o nové službě či produktu. Jedná se o komunikaci mezi dvěma partnery, kteří mají mezi sebou smluvní vztah. Péče o zákazníky je oprávněný zájem firmy.

5. Musím šifrovat data a ukládat šanony do uzamykatelných skříní?

Mějte na paměti, že obecné nařízení GDPR vyznává přístup založený na riziku. Pokud do skladu vašich faktur a objednávek má přístup jedna jediná osoba, opravdu nemusíte všechny šanony ukládat do nových skříněk. Stejně tak nemusíte veškerá data ukládat na šifrované disky. Je vaší povinností v roli správce provést analýzu rizik, vyhodnotit riziko úniku dat a tomu přizpůsobit bezpečnostní opatření.