Dozvíte se to nejdůležitější z pohledu GDPR – na koho se vztahuje, kdy a jak můžete osobní údaje zpracovávat, jaké jsou vaše základní povinnosti a také co si počít s cookies.
Při sběru a zpracování osobních údajů zbystřete pozornost, protože pravděpodobně musíte splnit množství zákonných požadavků. Od sepsání právních dokumentů až po zabezpečení technické bezpečnosti zpracování v digitálním světě, jakož i v tom fyzickém.
Kromě národních zákonů existuje na úrovni EU i známé Nařízení GDPR. GDPR se považuje za jeden z nejpřísnějších předpisů, i když silná ochrana je i např. v Kalifornii – viz náš blog GDPR vs. CCPA k jejich rozdílům.
GDPR se vás týká vždy, pokud:
- máte provozovnu v EU a v souvislosti s její činností zpracováváte osobní údaje (např. pokud osobní údaje uchováváte na cloudu, přičemž datová centra jsou umístěna mimo EU), a pokud
- máte provozovnu kdekoliv a zpracováváte osobní údaje osob, které se v EU nacházejí (nemusí být občané EU) a:
- zpracování souvisí s nabídkou zboží nebo služeb těmto osobám v EU (např. pokud má americká společnost e-shop alespoň v jednom jazyce členského státu EU a dodává zboží osobám v EU), anebo
- souvisí s monitorováním jejich chování, pokud jde o jejich chování na území EU (např. pokud pomocí cookies monitorujete a profilujete EU uživatele vaší webové stránky, abyste věděli, s jakou reklamou je později oslovit).
Za nedodržení GDPR mohou být uložené astronomické pokuty až do výše 20M EUR nebo 4 % celkového světového obratu, ale pro menší podniky jsou typické nejdříve napomenutí a potom pokuty na úrovni spodních sazeb. Na Slovensku bylo v této souvislosti udělených do 100 pokut s průměrnou výši cca 3.700 EUR. Pokud jde o množství pokut, v Česku je situace podobná, přičemž nejvyšší uložená pokuta byla okolo 10.000 EUR (cca 250.000 Kč).
1. Právní důvody zpracování osobních údajů
Osobní údaje mohou být zpracovávány pouze pokud pro takové zpracování existuje tzv. právní důvod. Příklady právních důvodů jsou:
- Souhlas subjektu údajů – Souhlas by měl být formulován jednoznačně, získaný zvlášť (např. aktívním zakliknutím opt-in políčka (dopředu nevyplněného), u kterého bude uvedené jen znění souhlasu a žádný jiný související text) a v jednom souhlasu by měl být uveden nejvýše jeden účel zpracování.
Příklad souhlasu:
- Plnění ze smlouvy – Pokud je zpracování nezbytné pro plnění smlouvy s vaším zákazníkem (např. zpracováváte osobní údaje zákazníků vašeho e-shopu, které zákazníci vyplnili za účelem dodání zboží, které jim máte doručit podle vašich všeobecných obchodních podmínek), souhlas se nevyžaduje, protože plnění smluvních povinností se považuje za samostatný právní důvod.
- Plnění zákonné povinnosti – Souhlas se nevyžaduje ani v případě, pokud si plníte zákonnou povinnost (např. přihlašujete zaměstnance na sociální a zdravotní pojišťovnu).
2. Jak se osobní údaje mohou zpracovávat?
- Pro konkrétní a výslovně uvedený účel a nesmí se dále zpracovávat způsobem, který není s tímto účelem slučitelný (např. email zákazníka získaný na účel komunikace s cílem dodání zboží se nesmí bez zvláštního dalšího souhlasu využívat na marketing).
- V rozsahu nezbytném pro dosažení účelu, pro který se sbírají (např. pro aplikaci, jejimž účelem je poskytnout jen komunikační platformu, není nezbytný sběr dat týkajících se zdraví, a proto by se neměla sbírat).
- Do doby, než je to potřebné pro účely, pro které se zpracovávají (např. osobní údaje neúspěšného uchazeče o zaměstnání získané za účelem obsazení konkrétní pracovní pozice by se neměly zpracovávat po tom, co se ukončí výběrové řízení).
- Způsobem, který zaručuje jejich přiměřenou bezpečnost.
3. Vaše hlavní povinnosti podle GDPR
- Vypracovat zásady zpracování osobních údajů (Privacy Policy) – informační materiál (často zveřejněný na webu), který subjekt údajů srozumitelně informuje o všem důležitém, tj. jaká data se zpracovávají, pro jaký účel, na jak dlouho, komu se poskytují, jaká práva má subjekt údajů, atd.
- Přijmout technická a organizační opatření s cílem zajistit bezpečnost zpracování osobních údajů (např. šifrování firemních počítačů, pseudonymizace údajů, pravidla manipulace s fyzickými nosiči dat, politika čistého stolu, apod.) – měl by existovat také interní materiál, který tato opatření popisuje.
- Vyplnit vzorový záznam o zpracovatelských činnostech zveřejněný slovenským Úřadem na ochranu osobních údajů ZDE nebo českým ZDE, v kterém zachytíte ty nejdůležitější informace o toku všech osobních údajů, které se zpracovávají.
- Pokud mají k sesbíraným osobním údajům přístup a oprávnění interní osoby, je nutné vypracovat pověření s instrukcemi, jak data zpracovávat, a pokud externí osoby, tzv. zpracovatelé (např. vaši účetní, majitelé cloudů, na kterých běží appka nebo platebních bran, které máte implementované do webu), je nezbytné uzavření zpracovatelských smluv.
- V některých komplexnějších případech zpracování dat (např. pokud se skrz aplikaci sleduje poloha anebo zdraví uživatele ve velkém rozsahu) je též nutné:
- ustanovit tzv. pověřence pro ochranu osobních údajů, t.j. osobu, která bude zabezpečovat zákonnost zpracování osobních údajů,
- posoudit vliv plánovaných zpracovatelských operací na ochranu osobních údajů, výsledkem čehož má být písemný dokument, a
- prokonzultovat zpracování s kompetentním úřadem.
Pověřencem pro ochranu osobních údajů (tzv. DPO – Data Protection Officer) může být fyzická nebo právnická osoba, interní nebo externí, přičemž by mělo jít o osobu, která má odborné znalosti práva a postupů v oblasti ochrany osobních údajů (nemusí ale jít o právníka) a ideálně také z oblasti IT a bezpečnosti. Online je možné vyhledat množství firem, které poskytují služby pověřence pro ochranu osobních údajů.
4. Cookies
Nelze zapomínat na cookies, které jsou též považované za osobní údaje. Pravidlem je, že kromě cookies, které jsou nutné k tomu, aby aplikace fungovala, není možné cookies používat bez toho, aby je uživatel aktivně odsouhlasil. Týká se to vlastních cookies i cookies třetích stran (např. google analytics). Je proto nutné nastavit cookies okno/banner, který uživateli vyskočí hned po navštívení webu, resp. spuštění aplikace, kde bude mít uživatel možnost se rozhodnout, zda si jednotlivé typy cookies rozdělené podle účelů (marketingové, analytické, funkční) zapne nebo ne (ideálně pomocí opt-in políčka). Pokud tak neučiní, musí zůstat vypnuté.