Nejen majitelé e-shopů, ale také všichni podnikatelé, kteří mají ve svých databázích jména a e-mailové adresy svých klientů a zákazníků, by měli zpozornět. Od května 2018 vejde v účinnost nové nařízení Evropské unie, které zpracování osobních údajů výrazně zpřísňuje a zavádí pro podniky a instituce nová pravidla.
thedescrier Flickr via cc
Jedná se o Obecné nařízení o ochraně osobních údajů, označováno zkratkou GDPR (General Data Protection Regulation).
Tato nová směrnice byla schválena 27. 4. 2016, začne platit od 25. 5. 2018.
Nové podmínky budou platné pro všechny firmy a instituce (zdravotnická zařízení, banky, úřady), a které shromažďují nebo zpracovávají osobní údaje občanů Evropy. Bude se ale týkat i těch, kteří sledují a vyhodnocují chování uživatelů na internetu, typicky například cookies.
V České republice se tak tato směrnice stane novou právní normou a nahradí dosavadní evropskou směrnici 95/46/ES a zákon č. 101/2000 Sb. O ochraně osobních údajů.
Nově se tedy budou subjekty řídit Obecným nařízením o ochraně osobních údajů (GDPR), zákon č. 101/2000 Sb. bude upravovat pouze některé oblasti, které nejsou evropskou směrnicí upraveny, nebo je ponecháno jejich řešení individuálně jednotlivým státům.
Pro české subjekty tak zůstane Úřad pro ochranu osobních údajů stále platných regulátorem a bude možné se na něj obracet ve všech záležitostech týkající se zpracování osobních údajů.
Změn na základě této nové směrnice je celá řada. Cílem dnešního článku není podat vám kompletní informace o tom, co je obsahem předpisu a dát k tomu komentář. To by bylo na dlouho. 🙂
Chci vám umožnit první pohled na nová pravidla, představit základní informace a postupně se k tomuto tématu určitě budeme v budoucnu vracet, hlavně v souvislosti s tím, jak se tato pravidla dotknou konkrétně malých podniků, živnostníků, majitelů malých e-shopů.
Proč vznikla a co je jejím cílem
Současná právní úprava týkající se zpracování osobních údajů je platná od roku 1995. V té době neexistovaly sociální sítě, různá internetová úložiště, možnost pomocí technologií sledovat a vyhodnocovat chování návštěvníka webu.
Proto bylo potřeba dosavadní pravidla novelizovat a dát všem členům EU jednotný nástroj a stanovit jednotná pravidla.
Cílem nové směrnice je zvýšit ochranu osobních údajů občanů Evropy. Zároveň dává občanům do ruky nástroj, kdy budou mít větší kontrolu nad tím, co se s jejich osobními údaji děje.
Nedotkne se však jen institucí působících v Evropské unii, ale i takových, které na území Evropy působí. Takže například i Google nebo Facebook se budou muset těmto novým podmínkám přizpůsobit. Nařízení bude platné pro všechny státy Evropské unie a dále pak Islandu, Norska a Lichtenštejnska.
Díky tomu, že je zpracována formou evropské směrnice, nemůže docházet k tomu, že by jednotlivé státy přistupovaly k ochraně osobních údajů jinak. Pro všechny je stejně závazná, a musí se jí řídit. Jednotlivým státům je ponechána možnost doplnit některá ustanovení s ohledem na lokální podmínky, ale v žádném případě ji nemohou zmírnit. Naopak.
V případě porušení hrozí vysoké pokuty. Konkrétně maximální výše je 20 mil. EUR, nebo 4 % z celosvětového obratu firmy, podle toho, která částka bude vyšší.
Koho se nová směrnice týká
Nejen e-shopů, ale každého, kdo zpracovává nějaké osobní údaje. Databáze klientů, zaměstnanců, dodavatelů, zákazníků. Jedná se ale pouze o osobní údaje fyzických osob, na „osobní“ údaje právnických osob se nevztahuje.
Když to přeženu, tak stačí, abyste měli jednoho zaměstnance nebo jednoho zákazníka, který vám poskytl své jméno, e-mailovou adresu případně další osobní údaje a už se vás toto Nařízení týká.
Některé novinky
Změn a zpřísnění je celá řada. Záleží na typu subjektu a jeho velikosti. Pro firmy a instituce více povinností, pro občany větší přehled a více práv, než měli doposud.
Christoph Scholz Flickr via cc
Pro firmy a instituce
- směrnice zavádí nově tzv. princip zodpovědnosti, tzn. ukládá povinnost každému, kdo zpracovává osobní údaje bez ohledu na velikost firmy zavést taková technická a organizační opatření, za účelem prokázání souladu s GDPR
- rozšíření definice, co spadá pod osobní údaje
- povinnost vést záznamy o činnostech zpracování osobních údajů
- vypracování posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment)
- konzultace s dozorovým orgánem před započetím zpracování osobních údajů, které by mohlo pro lidi znamenat velké riziko
- ustanovení pověřence pro ochranu osobních údajů (DPO – Data Protection Officer)
- v případě ohrožení nebo úniku dat ukládá povinnost oznámit tuto skutečnost dozorovému orgánu, v ČR Úřadu pro ochranu osobních údajů
- zavedení pseudonymizace osobních údajů
- přísnější pravidla při zpracování osobních údajů dětí
- nově již není potřeba se registrovat na ÚOOÚ, ale je potřeba konzultovat s dozorovým orgánem
Pro občany
- větší přehled o svých osobních údajích
- právo vyžádat si informaci, jaké osobní údaje o mně příslušný subjekt zpracovává
- vznést námitku proti jejich zpracování
- právo být zapomenut – právo na výmaz osobních údajů, pokud není právní důvod pro jejich zpracování
- právo na přenos osobních údajů
Několik základních pojmů
Pod pojem osobní údaje spadají veškeré informace o fyzické osobě, kterou lze přímo nebo nepřímo identifikovat na základě určitých identifikátorů. V nové směrnici je taková fyzická osoba označená jako subjekt údajů. Mezi obecné osobní údaje patří údaje jako jméno, datum narození, věk, pohlavní, osobní stav, IP adresa, fotografie, e-mailová adresa, telefonní číslo a ostatní státem přidělené identifikační údaje.
Mezi zvláštní kategorii osobních údajů patří údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání, zdravotním stavu, sexuální orientaci, ale také například informace o pravomocném odsouzení za nějaký trestný čin. Nově jsou mezi citlivé údaje zařazeny biometrické údaje (otisk prstu, snímek obličeje nebo podpis), genetické údaje nebo osobní údaje dětí.
Pokud nenajdeme jiný žádný zákonný důvod ke zpracování osobních údajů člověka (například plnění smlouvy), musíme ke zpracování získat jeho souhlas. Souhlas se zpracováním osobních údajů je definován jako jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jinak zjevným potvrzením své svolení ke zpracování osobních údajů.
Ten, kdo tyto údaje zpracovává, například podnikatel o svých zákaznících je správcem osobních údajů. Pokud ke zpracování využívá nějaký CRM systém nebo jiný online nástroj, tak jeho provozovatel je zpracovatelem osobních údajů.
Jednoznačný a nijak nepodmíněný souhlas
owenwbrown Flickr via cc
Velké změny se dotknou získávání souhlasu se zpracováním osobních údajů.
Souhlas je podle Nařízení jedním ze šesti právních titulů, na základě kterých můžete osobní údaje zpracovávat. Do této chvíle byl souhlas hlavním právním titulem pro zpracování osobních údajů. Podle Nařízení bude ale až tím posledním institutem. To znamená, že pokud nenajdete jiný právní důvod pro zpracování, teprve tehdy přichází na řadu souhlas.
A to takový, který je v Nařízení definován jako jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením, či jinak zjevným potvrzením své svolení ke zpracování osobních údajů.
V praxi to znamená, že občan musí takový souhlas aktivně udělit.
V současné době řada podnikatelů má takový souhlas zakomponován ve smlouvách nebo obchodních podmínkách. V případě e-shopů se můžeme setkat s tím, že ve objednávkovém formuláři už je toto políčko předem zaškrtnuté.
Podle nové směrnice už toto není možné a takový souhlas není platný.
Souhlas musí být udělen ke konkrétnímu účelu zpracování, pokud je účelů několik, a nijak spolu nesouvisí, je potřeba každý souhlas získat zvlášť.
Ještě před udělením souhlasu musí mít subjekt údajů k dispozici informaci o tom, jaké jeho údaje budou zpracovávané, kdo bude jejich správcem. Všechny tyto údaje musí být jednoduše dostupné a srozumitelné.
Správce osobních údajů musí být schopen doložit, že mu subjekt údajů souhlas se zpracováním udělil.
V neposlední řadě má občan právo svůj souhlas vzít zpět, to znamená, využije „právo být zapomenut“. Správce má povinnost v takovém případě zpracovávané údaje smazat, pokud už nejsou potřebné pro účely, pro které byly pořízeny, nebo byly získány protiprávně případně už neexistuje žádný právní důvod pro jejich zpracování.
Pověřenec pro ochranu osobních údajů
Nařízení zavádí do praxe nový institut, a to pověřence pro ochranu osobních údajů. Jeho úkolem je monitorování zpracování osobních údajů, provádí audit, spolupracuje a zastupuje společnost před Úřadem pro ochranu osobních údajů. Zkrátka má na starosti celou problematiku v dané společnosti, aby zpracovávání bylo v souladu s GDPR.
Tato povinnost se ale nevztahuje na všechny firmy a subjekty. Aby měla firma povinnost jmenovat pověřence pro ochranu osobních údajů, musí splňovat alespoň jednu ze tří následujících podmínek:
- zpracování je prováděno orgánem veřejné moci nebo veřejného subjektu s výjimkou soudů
- hlavní činnost správce nebo zpracovatele spočívá v operacích, které kvůli své povaze, svému účelu a svému rozsahu vyžadují rozsáhlé pravidelné a systematické monitorování subjektu údajů
- hlavní činnost správce nebo zpracovatele spočívá v rozsáhlém zpracování zvláštních kategorií a osobních údajů v trestních věcech
Pokud nesplňujete ani jednu z těchto tří podmínek, tato povinnost se vás netýká.
Jak se na nové Nařízení připravit
Pokud zpracováváte osobní údaje svých zaměstnanců a zákazníků, je potřeba udělat několik kroků. A nespoléhejte na to, že je ještě spousta času. Jasně, nová právní úprava bude platná až od května příštího roku, ale její implementace zabere nějaký čas.
Navíc, pokud už v současné době budujete svoji databázi, bude fajn, když budete mít jistotu v tom, že všechny získané kontakty máte v pořádku.
První věc, co byste měli udělat, je provést si interní audit.
Interní audit
Zaměstnanci
Jestli máte zaměstnance, určitě zpracováváte jejich osobní údaje. Ve složkách a šanonech máte jejich osobní složky, které obsahují osobní údaje. Prověřte, jestli jsou dobře zabezpečené a mají k nim přístup jen oprávnění pracovníci. A ne třeba uklízečka.
Od zaměstnanců nepotřebujete získat souhlas se zpracováním, protože vám jejich zpracování ukládá zákon.
Zájemci a zákazníci
Podívejte se na svoje databáze a sepište si, jaké osobní údaje zpracováváte. Kde je máte uloženy. Jak jsou zabezpečeny a kdo k nim má přístup.
Pokud pro zpracování využíváte právní titul souhlas, máte ho? A je v souladu s Nařízením?
Pokud ke zpracování osobních údajů využíváte služeb zpracovatele, například Clipsan, určitě vám to celou implementaci usnadní.
To jsou první kroky, které by měl udělat každý podnikatel a každá firma. Seznámit se s Nařízením a provést si interní audit. Na základě jeho výsledků potom vyhodnotíte, které oblasti máte už teď pořešené a v pořádku, a kde bude potřeba přijmout další opatření.
Sami se problematice GDPR věnujeme, budeme vás i nadále informovat o tom, jak implementaci nových pravidel zvládnout.
Budeme na toto téma připravovat další články a v nich se budeme věnovat konkrétním otázkám, souvisejícím s tímto tématem.
Zdroje informací
Jestli se chcete seznámit s textem nového nařízení, tady si ho můžete stáhnout – Obecne narizeni o ochrane osobnich udaju. Ale raději se podívejte na naše shrnutí GDPR ve 2018 hezky česky.
Další informace najdete také na stránkách Úřadu pro ochranu osobních údajů.
Pokud vás toto téma zajímá a máte už v tuto chvíli nějaké otázky k tématu, napište nám je do komentářů.
Petra Langová
Nejnovější příspěvky autora Petra Langová (zobrazit všechny)
- Co je to double opt-in - 1.1.2018
- Co je GDPR? Nové nařízení o ochraně osobních údajů - 30.8.2017
- LinkedIn – nástroj na získání kontaktů nejen na zaměstnance, ale také na zákazníky - 7.11.2013
- Google+ a jeho využití při získávání kontaktů - 5.11.2013
