GDPR – ochrana osobních údajů

GDPR označuje nařízení Evropského parlamentu, která vytváří nové požadavky na ochranu osobních údajů. Nařízení je závazné pro všechny, kteří chtěji uchovávat nebo zpracovávat osobní údaje o občanech evropské unie.

Vzhledem k tomu, že jde o zcela novou legislativu, neexistují precendensy ani závazná stanoviska a chybí i její plné začlenění do české legislativy (stav k létu 2017). Přesto je již většina požadavků dostatečně jasně definovaných, aby se na ní mohli všichni připravovat. Fakt, že jde o nařízení, je významný zejména proto, že národní legislativa se mu musí podřídit.

Koho se nařízení GDPR týká

Nařízení bude mít právní dopad na každý ekonomický subjekt, který si vede evidenci o lidech, ať už jimi jsou vlastní zaměstnanci, klienti nebo potenciální klienti. Praktický dopad ale závisí na tom, kolik informací máte a co s nimi děláte. Určitě se proto musí nařízením GDPR zabývat:

  • eShopy, pokud si drží evidenci zákazníků
  • Všichni, kteří sbírají informace o chování lidí na svém webu za účelem analýzy jejich chování a využívají pro to obvyklé cookies. To platí, ať už web provozujete sami, nebo ho provozuje pro vás někdo jiný a vy informace dostáváte
  • Přepravní a poštovní společnosti a všechny firmy, které si drží databáze adres zákazníků
  • Marketingové firmy, které oslovují cíleně lidi, ať už na jejich domovských nebo pracovních adresách
  • Firmy, které využívají nebo provozují jakýkoli věrnostní program
  • Firmy, které poskytují zákaznický servis nebo služby (např. autoservis, sociální péči)
  • Lékaři, advokáti a další, kteří si drží informace klientů
  • Provozovatelé cloudových služeb. Týká se i poskytovatelů mobilních aplikací, které současně mají účet na serveru (např. aplikace spojené s chytrou elekronikou, žárovkou počínaje, fit-náramkem zdaleka nekonče)
  • Vlastníci web portálů, které umožňují registraci klientů, ať už je obsah jakýkoli, komerční nebo nekomerční
  • Provozovatelé emailových služeb
  • Firmy zapisující příchozí návštěvníky (např. bezpečnostní agentury)
  • Církve a spolky evidující členy

GDPR nařízení se netýká soukromých osob, které zpracovávají informace pro vlastní potřebu. Nařízení nemá praktický dopad ani na samostatné živnostníky, kteří si nedrží evidenci (kontaktní údaje) zákazníků.

Čeho se GDPR týká aneb co je to osobní údaj

Zjednodušeně řečeno je osobním údajem cokoli, co lze spojit s fyzickou osobou. Toto je vágní definice, lépe situaci popíšou typové příklady:

  • Evidence jména, příjmení, adresy
  • Záznam spojený s cookies nebo IP adresa, kterou lze dohledat v zařízení používaném konkrétním majitelem (telefon, vlastní účet na počítači).
  • Registrační záznam osoby, která vyplnila svou emailovou adresu
  • Záznam s identifikátorem dostupným v jiných databázích – např. rodné číslo, číslo u zdravotní pojišťovny, číslo občanského dokladu
  • Záznam jména, příjmení a telefonního čísla

Specifické postavení mají:

  • Lékařské záznamy nebo záznamy o zdravotním stavu (týká se např. aplikací sledujících tep)
  • Záznamy o dětech
  • Záznamy umožňující sledovat polohu osoby (týká se všech telekomunikačních služeb, ale i služeb, které vyhodnocují, z jakých IP adres se osoba přihlašuje, služeb sledujících použití platebních karet apod.)

Jsou i určité typy informací, které je sledovat a uchováva obecně zakázáno. Blíží se svým obahem tomu, co stávající zákon o ochraně osobních údajů nazýval citlivými osobními údaji. Typickými příklady jsou (výčet není úplný):

  • Politická orientace a názory
  • Náboženské vyznání
  • Genetické údaje

Co jsou hlavní rozdíly GDPR proti současné legislativě

Současná legislativa je zákon č. 101/2000 o ochraně osobních údajů. I ten je poměrně přísný, ale zejména jeho rozsah působnosti je poměrně omezený.

Nová legislativa:

  • Má výrazně širší pojem osobního údaje, takže má praktické dopady na mnohem větší počet firem.
  • Zavádí výrazně větší postihy zejména pro větší firmy, pro které se postih vypočítává z celosvětového ročního obratu firmy.
  • Definuje nové oznamovací povinnosti.
  • Zavádí pro firmy, které mají větší objem osobních údajů, povinnost zřidit funkci pověřence pro ochranu osobních údajů, který má pobodnou pozici, jako např. ombudsman: musí být nezávislý, přístupný veřejnosti a mít dostatečné prostředky na to, aby řešil dotazy i požadavky lidí.

GDPR se poměrně jasně vymezuje proti ostatním zákonům, když říká, že se nevztahuje na evidence, které jiný zákon nařizuje. (Ekvivalentní úpravu má i současný zákon v §18.)

Co musím udělat, abych nařízení plnil

Na tuto otázku je těžké odpovědět paušálně a proto nemůže existovat obecná kuchařka. Několik základních kroků ale musí udělat každý:

  • Ujasnit si, jaké osobní údaje mám, kde jsou a co s nimi dělám.
  • Ověřit si, že to co skladuji a dělám, je povinné a pokud ne, výslovně s tím souhlasili ti, kterých se údaje týkají
  • Seznámit se a naplnit požadavky na ochranu a sledování osobních údajů
  • Pokud jakékoli osobní údaje skladuji, musím vytvořit procesní pravidla, kdo, jak a jakým způsobem může s daty nakládat. Musím zajistit dodržování těchto pravidel včetně kontroly, že dodržována jsou.

S implementací těchto kroků vám rádi pomůžeme.

Služby související s GDPR a ochranou osobních údajů

Přesné označení GDPR a dokumenty ke stažení

Přesně jde o nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení 95/46/ES (obecné nařízení o ochraně osobních údajů).

České znění si GDPR si můžete otevřít tímto odkazem (PDF)

Současný zákon č. 101/2000 Sb. o ochraně osobních údajů (PDF)

Pracovní skupina při Evropském parlamentu zveřejnila „Vodítko k tomu, zda je či není třeba, aby organizace měla pověřence pro ochranu osobních údajů a jaké by mělo být jeho postavení“.

Vodítko pro potřebu a úlohu pověřence pro ochranu osobních údajů (PDF)