GDPR. Konečně víte, co to znamená.

Nevěřím, že by ještě dnes na počátku nového roku existoval někdo, kdo by nikdy neslyšel o GDPR. Mluvilo se o něm v podstatě celý loňský rok. Přesto počet lidí, kteří mají alespoň tušení, co tato zkratka znamená, není mnoho. A co teprve počet podnikatelů, kteří si s jeho uplatňováním v praxi poradí i bez pomoci právníka? Ty spočítáme na prstech jedné ruky… Pojďme se tedy v krátkosti podívat na obsah tohoto nařízení, v čem nám ulehčuje a komplikuje život. Konečně víte, co to znamená.

Opakování, matka moudrosti, a proto ještě jednou krátce co GDPR je. Je to nařízení Evropské unie č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, anglicky General Data Protection Regulation (věřím, že už nyní chápete, proč se používá pouze zkratka – kdo by si takto dlouhý název pamatoval 🙂 ) a je účinné od 25. 5. 2018.

Jeho cílem je posílit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Vzhledem k neustálému rozmachu moderních technologií, jehož důsledkem je i jednodušší manipulace s daty, mohou útoky proti osobním údajům lidí narůstat. Z tohoto důvodu se určitě jedná o žádoucí úpravu, byť je pro neprávnickou veřejnost dost komplikovaná. Pokusím se Vám tedy tímto článkem objasnit základní argumenty pro a proti GDPR, ať se můžete zařadit mezi osoby znalé 🙂

Občané si pískají…

Jste občanem EU? Pak má pro Vás toto nařízení velký přínos, umožní Vám lépe chránit své soukromí. Jaké konkrétní prostředky k tomuto díky GDPR máte?

Máte právo na přístup k osobním údajům. To znamená, že máte právo, aby Vám firma poskytla informace, jaké údaje o Vás zpracovává, na základě čeho jimi disponuje a k čemu je používá.

• Své osobní údaje můžete opravit či doplnit tak, abyste opravily nepřesnosti a chyby.

• Můžete chtít být zapomenuti, byť pouze za některých okolností (tj. pokud již nesouhlasíte se zpracováním nebo pokud vznesete námitku a neexistuje jiný právní důvod pro zpracování, vaše údaje byly zpracovány protiprávně, výmaz je právní povinností správce). Výmaz však firma provést nemusí, pokud údaje potřebuje pro splnění právní povinnosti (typicky daňové a účetní) nebo pro splnění úkolu ve veřejném zájmu, z důvodu ochrany veřejného zdraví, pro účely archivace ve veřejném zájmu a v poslední řadě také pro určení, výkon nebo obhajobu právních nároků.

• Své údaje můžete získat a přenést k jinému správci v běžně používaném, strojově čitelném formátu.

• V případě, že firma zpracovává Vaše údaje pro účely tzv. oprávněných zájmů, můžete proti tomuto vznést námitku. Poté se bude porovnávat, zda je oprávněný zájem firmy vyšší nebo nižší než vaše zájmy, práva a svobody a podle toho dojde k ukončení zpracování údajů. Je-li oprávněným zájmem přímý marketing (tj. zasílání nabídek e-mailem, poštou, telefonicky nebo osobně), pak na základě vznesení námitky dojde k ukončení zpracování vždy.

• V poslední řadě máte také právo podat stížnost u dozorového úřadu v případě, kdy se domníváte, že dochází k porušování Vašich práv. Dozorovým úřadem je Úřad na ochranu osobních údajů.

Shrnuto podtrženo, díky GDPR můžete mít větší přehled o svých osobních údajích a můžete s nimi lépe disponovat. Pokud Vás tedy neustále obtěžují reklamní e-maily či telefonáty, neváhejte zjistit, na základě čeho a za jakým účelem daná firma Vaše údaje zpracovává, případně svůj souhlas odvolat. Pokud ani toto nepomůže, obraťte se na Úřad na ochranu osobních údajů. Každá firma si jistě rozmyslí, zda jí porušování Vašich práv stojí za tučnou pokutu.

…a podnikatelé trpí.

Pokud jste však podnikatelem, GDPR je pro Vás značná (nejen administrativní) zátěž. A přitom ani nezáleží, zda a kolik zaměstnanců máte, GDPR musíte dodržovat v každém případě. Situaci máte nepatrně lehčí, pokud jste malý živnostník, který nemá webové stránky, nerozesíláte marketingové nabídky apod. Pokud jste však firmou s online službami a zaměstnanci, máte věrnostní programy, nebo třeba cílený marketing, budete muset splnit více.

Co tedy GDPR pro podnikatele znamená? Nejen nastudovat si nařízení, ale také uvědomit si druh a rozsah zpracovávaných osobních údajů a důvod pro toto zpracování, vypracovat základní dokumenty pro klienty, zaměstnance i obchodní partnery, získání souhlasů pro zpracování údajů v případě, že zde není žádný zákonný důvod pro zpracování bez souhlasu. Dále vést záznamy o činnostech zpracování (tj. souhrnný dokument, jaké údaje a k jakým účelům zpracováváte včetně lhůt pro výmaz, jakým příjemcům tyto informace předáváte a jaká opatření jste pro zajištění bezpečnosti přijali), školit zaměstnance a provádět průběžné kontroly a také uzavřít písemné smlouvy se zpracovateli. Není toho zrovna málo, že? A přitom toto je pouze základní kostra pro menší firmu či OSVČ. A to vůbec nehovoříme o zabezpečení zpracovávaných osobních údajů – ať už prostřednictvím hesel nebo zamykatelných místností.

Celá úprava ochrany dat GDPR je natolik komplikovaná a pro podnikatele zatěžující, že se přímo nabízí možnost ji ignorovat. To se však nemusí vyplatit, neboť za nedodržování firma může dostat pokutu až do výše 20 milionů eur nebo 4 % z jejího celkového ročního obratu (podle toho, která částka je vyšší)!  Přesto zůstává nezanedbatelné procento společností, které zásady ochrany osobních dat nedodržují, osobní údaje zpracovávají i bez zákonného důvodu či souhlasu a na GDPR nedbají.

Takže na jednu stranu ano, rozruch ohledně GDPR již z větší části utichl, lidé i firmy už tuší, že mají nějaká práva či povinnosti z tohoto nařízení vyplývající, na straně druhé i nadále zůstávají osoby a společnosti nevědomé či nejisté, zda jsou správcem, zda plní své povinnosti správně či jak má vypadat záznam o činnostech zpracování.

---

Pokud Vás téma GDPR zajímá, tento článek Vám vzhledem ke své délce všechny odpovědi neposkytne, proto doporučuji pročíst si jak záložku GDPR na webových stránkách Úřadu pro ochranu osobních údajů www.uoou.cz, tak i podívat se na GDPR rozcestník na webu www.monikabakesova.cz.