Zpracování osobních údajů

Dozvíte se to nejdůležitější z pohledu GDPR – na koho se vztahuje, kdy a jak můžete osobní údaje zpracovávat, jaké jsou vaše základní povinnosti a také co si počít s cookies.

Při sběru a zpracování osobních údajů zbystřete pozornost, protože pravděpodobně musíte splnit množství zákonných požadavků. Od sepsání právních dokumentů až po zabezpečení technické bezpečnosti zpracování v digitálním světě jakož i v tom fyzickém. 

Kromě národních zákonů existuje na úrovni EU i známé Nařízení GDPR. GDPR se považuje za jeden z nejpřísnějších předpisů, i když silná ochrana je i např. v Kalifornii – viz náš blog GDPR vs. CCPA k rozdílům. 

GDPR se vás týká vždy, pokud:

  • máte provozovnu v EU a v souvislosti s její činností zpracováváte data (např. pokud osobní údaje uchováváte na cloudu, přičemž datová centra jsou umístěna mimo EU), a pokud
  • máte provozovnu kdekoliv a zpracováváte osobní údaje osob, které se v EU nacházejí (nemusí být občané EU) a: 
    • zpracování souvisí s nabídkou zboží nebo služeb těmto osobám v EU (např. pokud má americká společnost e-shop aspoň v jednom jazyku členského státu EU a dodává zboží osobám v EU), anebo 
    • souvisí s monitorováním jejich chování, pokud jde o jejich chování na území EU (např. pokud pomocí cookies monitorujete a profilujete EU uživatele vaší webové stránky, abyste věděli, s jakou reklamou je později oslovit).

Za nedodržení GDPR mohou být uložené astronomické pokuty až do výšky 20M EUR nebo 4% celkového světového obratu, ale pro menší podniky jsou typické nejdříve napomenutí a potom pokuty na úrovni spodních sazeb. Na Slovensku bylo v této souvislosti udělených do 100 pokut s průměrnou výškou cca. 3.700 EUR. Pokud jde o množství pokut, v Česku je situace podobná, přičemž nejvyšší uložená pokuta byla okolo 10.000 EUR (250.000 CZK).

1. Právní základ zpracování osobních údajů

Osobní údaje mohou být zpracovávány, pouze pokud na takové zpracování existuje tzv. právní základ. Příklady právních základů jsou:

  • Souhlas subjektu údajů – Souhlas by měl být formulován jednoznačně, získaný zvlášť (např. aktívním zakliknutím opt-in políčka (dopředu nevyplněného), u kterého bude uvedené jen znění souhlasu a žádný jiný související text) a v jednom souhlasu by měl být uveden nejvýše jeden účel zpracování.

Příklad souhlasu:

  • Plnění ze smlouvy – Pokud je zpracování nezbytné pro plnění smlouvy s vaším zákazníkem (např. zpracováváte osobní údaje zákazníků vašeho e-shopu, které vyplnili za účelem dodání zboží, které jim máte doručit podle vašich všeobecných obchodních podmínek), souhlas se nevyžaduje, protože plnění smluvních povinností se považuje za samostatný právní základ.

  • Plnění zákonné povinnosti – Souhlas se nevyžaduje ani v případě, pokud si plníte zákonnou povinnost (např. přihlašujete zaměstnance na sociální a zdravotní pojišťovnu).

2. Jak se osobní údaje mohou zpracovávat?

  • Na konkrétní a výslovně uvedený účel a nesmí se dále zpracovávat způsobem, který není s tímto účelem slučitelný (např. email zákazníka získaný na účel komunikace s cílem dodání zboží se nesmí bez zvláštního dalšího souhlasu využívat na marketing).

  • V rozsahu nezbytném pro dosažení účelu, na které se sbírají (např. pro aplikaci, které účelem je poskytnout jen komunikační platformu, není nezbytný sběr dat týkajících se zdraví, a proto by se neměla sbírat).

  • Do doby, než je to potřebné pro účely, na které se zpracovávají (např. osobní údaje neúspěšného uchazeče o zaměstnání získané za účelem obsažení konkrétní pracovní pozice by se neměly zpracovávat po tom, co se výběrové řízení skončí).

  • Způsobem, který zaručuje jejich přiměřenou bezpečnost.

3. Vaše hlavní povinnosti podle GDPR

  • Vypracovat zásady zpracování osobních údajů (Privacy Policy) – informační materiál (často zveřejněný na webu), který subjekt údajů srozumitelně informuje o všem důležitém, tj. jaká data se zpracovávají, na jaký účel, na jak dlouho, komu se poskytují, jaká práva má dotknutá osoba, atd. 

  • Přijmout technická a organizační opatření s cílem zajistit bezpečnost zpracování osobních údajů (např. šifrování firemních počítačů, pseudonymizace údajů, pravidla manipulace s fyzickými nosiči dat, politika čistého stolu, apod.) – měl by existovat také interní materiál, který tato opatření popisuje.

  • Vyplnit vzorový záznam o zpracovatelských činnostech zveřejněný slovenským Úřadem na ochranu osobních údajů ZDE nebo českým ZDE, v kterém zachytíte ty nejdůležitější informace o toku všech osobních údajů, které se zpracovávají.   

  • Pokud mají k sesbíraným osobním údajům přístup a oprávnění interní osoby je potřebné vypracovat pověření s instrukcemi, jak data zpracovávat, a pokud externí osoby, tzv. zpracovatelé (např. vaši účetní, majitelé cloudů, na kterých běží appka nebo platebních bran, které máte implementované do webu) – je nezbytné uzavření zpracovatelských smluv.

  • V některých komplexnějších případech zpracování dat (např. pokud se skrz aplikaci sleduje poloha anebo zdraví uživatele ve velkém rozsahu) je též potřebné: 
    • ustanovit tzv. pověřence pro ochranu osobních údajů, t.j. osobu, která bude zabezpečovat zákonnost zpracování osobních údajů
    • posoudit vliv plánovaných zpracovatelských operací na ochranu osobních údajů, výsledkem čehož má být písemný dokument, a 
    • prokonzultovat zpracování s kompetentním úřadem.

Pověřencem pro ochranu osobních údajů (tzv. DPO – Data Protection Officer) může být fyzická nebo právnická osoba, interní nebo externí, přičemž by mělo jít o osobu, která má odborné znalosti práva a postupů v oblasti ochrany osobních údajů (nemusí ale jít o právníka) a ideálně také z oblasti IT a bezpečnosti. Online je možné vyhledat množství firem, které poskytují služby pověřence pro ochranu osobních údajů.

4. Cookies

Nelze zapomínat na cookies, které jsou též považované za osobní údaje. Pravidlem je, že kromě cookies, které jsou nevyhnutné k tomu, aby aplikace fungovala, není možné cookies používat bez toho, aby je uživatel aktivně odsouhlasil. Týká se to vlastních cookies i cookies třetích stran (např. google analytics). Ideální je proto nastavit cookies okno/banner, které uživateli vyskočí hned po navštívení webu resp. spuštění aplikace, kde bude mít uživatel možnost se rozhodnout, zda si jednotlivé typy cookies rozdělené podle účelů (marketingové, analytické, funkční) zapne anebo ne (ideálně pomocí opt-in políčka). Pokud tak neučiní, defaultně by měly zůstat vypnuté.

Posted