Jistě jste již v novinách či na internetu narazili na záhadnou zkratku GDPR. Zpravidla v doprovodu několika vykřičníků. Co to je? Zkratkou GDPR se označuje nové nařízení Evropské unie o ochraně osobních údajů (General Data Protection Regulation). Toto nařízení výrazně zpřísňuje právní úpravu v oblasti ochrany osobních údajů a zavádí v celé EU, tedy i v ČR, nové povinnosti, a to i pro drobné podnikatele. Začíná platit již 25. května 2018. Co konkrétně to bude znamenat, pro vás sepsala právnička Pavla Hořínková.

Na koho se GDPR vztahuje?

Tím, kdo musí plnit všechny povinnosti stanovené tímto nařízením (tzv. povinným), jsou všechny subjekty, které zpracovávají osobní údaje identifikovaných nebo identifikovatelných fyzických osob.

Pro to, abyste spadli pod režim GDPR, postačí, když zpracováváte údaje i jen jednoho jediného klienta. Rozhodující přitom není váš obrat, počet případných zaměstnanců ani jiný faktor.

Takže i vy musíte GDPR implementovat do svého podnikání. Vyhnout se mu nelze.

Co je to osobní údaj?

Obecné nařízení o ochraně osobních údajů definuje osobní údaje jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý rozeznávací znak, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Definice obsažená v nařízení je tedy zcela obecná, neboť samozřejmě nikdo není schopen taxativně vyjmenovat naprosto všechny osobní údaje. Negativem toho je, že vždy bude docházet k diskusi o tom, zda daný údaj je či není osobní.

A jak tedy poznáte, že jde o osobní údaj?

Pro přehlednost rozdělíme definici na tři části: „veškeré informace“, „o identifikované nebo identifikovatelné“ a „fyzické osobě“.

První část definice „veškeré informace“ je nutné vykládat v tom nejširším možném významu – tedy opravdu všechny informace bez ohledu na jejich důležitost nebo vypovídací schopnost. Takže jsou to i informace o oblíbených jídlech, domácích mazlíčcích, velikosti bot či oblečení, informace, že dotčená osoba vlastní červené jízdní kolo, že nerada lyžuje, a tak dále.

Třetí část definice „fyzické osobě“ určuje, že se musí jednat o fyzickou, nikoli právnickou osobu.

Z toho plyne, že pro určení, zda se jedná o osobní údaj, bude rozhodující především druhá část definice, tedy zda příslušná fyzická osoba je identifikovaná nebo identifikovatelná.

Identifikovaná je, pokud je jednoznačně určena, zejména jménem a příjmením. Identifikovatelná je, pokud ji lze přímo či nepřímo identifikovat, tedy určit její totožnost odkazem na jeden či více faktorů, jež jsou specifické právě pro tuto fyzickou osobu (například rodné číslo, číslo pojistky, zvláštní jizva).

Osobní údaje najdeme například:

  • v telefonním seznamu, kde je telefonní číslo spojené se jménem,
  • v adresáři nebo v e-mailové korespondenci (e-mailová adresa spojená se jménem),
  • na faktuře, na příjmovém dokladu, jsou-li označeny tak, že lze identifikovat fyzickou osobu,
  • na záznamu o konzultaci, jsou-li označeny jménem a příjmením.

Většinou se naopak nevyskytují:

  • na příjmovém dokladu / paragonu bez uvedení jména a příjmení,
  • tam, kde není možné jakékoli údaje spojit s identifikovanou nebo identifikovatelnou fyzickou osobou (například záznam z konzultace, který neobsahuje ani jméno a příjmení klienta, ani jakékoli údaje, podle nichž by bylo možno dotčenou osobu identifikovat).

Jistě jste již plně pochopili klíč, podle kterého určíte, zda jde či nejde o osobní údaje. To je zásadní pro všechny vaše další kroky.

Co je to zpracování osobních údajů?

Nařízení definuje zpracování osobních údajů takto:

Zpracováním se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, jakékoli zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Z toho vyplývá, že zpracováním osobních údajů jsou všechny činnosti týkající se osobních údajů od jejich shromáždění (tj. klient vám něco vypráví) až po jejich výmaz (smažete soubor z počítače nebo vyhodíte sešit s poznámkami).

Jaké základní povinnosti se vás budou týkat?

Podle nové právní úpravy jste povinni:

  • zabezpečit zpracování osobních údajů, tedy musíte provést vhodná technická a organizační opatření, abyste zajistili úroveň zabezpečení odpovídající danému riziku,
  • vést záznamy o činnostech zpracování za účelem poskytnutí orientačních obecných informací o prováděném zpracování osobních údajů,
  • ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu, kterým je Úřad pro ochranu osobních údajů,
  • oznámit porušení zabezpečení osobních údajů subjektu údajů (tj. klientovi).

Jaké sankce vám hrozí?

Za porušení povinností stanovených nařízením se ukládají správní pokuty, které mohou být opravdu velmi vysoké.

To, že jste podnikající jednotlivec, může být pouze jedno z dílčích hledisek, které dozorový úřad při případném udělování pokuty může zohlednit, jeho povinnost to však rozhodně není.

Nařízení stanoví, že sankce musí být účinné, přiměřené a odrazující. Navíc by měly být v průřezu celou Evropskou unií stejně vysoké. Dá se tedy očekávat, že dozorový úřad bude při rozhodování o sankcích spíše přísnější a spoléhat se na tolerování nějakých prohřešků se moc nemusí vyplatit.

Jak se na GDPR připravit?

Abyste se úspěšně a dobře připravili na GDPR, nemusíte platit horentní sumy externím poradcům, se správným návodem to zvládnete i sami.

  • Nejprve musíte zjistit, zda vůbec, kdy, jak a s jakými osobními údaji zacházíte, jestli je to nutné a v jakém rozsahu, a jaké je jejich stávající zabezpečení.
  • Potom se rozhodnete, jaká opatření na ochranu osobních údajů přijmete, s tím, že zabezpečení aplikujete nejen na „nově“ (tj. po 25. květnu 2018) zpracovávané údaje, ale i všechny již dříve shromážděné a zpracovávané údaje.
  • Nakonec zlikvidujete osobní údaje, které jsou nepotřebné, nadbytečné, nebo k jejichž zpracování nemáte oprávnění, a osobní údaje z míst, která nejsou řádně zabezpečena.

Držím vám palce, ať implementaci GDPR do svého podnikání zvládnete s úsměvem a přehledem.

Foto Jose Fontano, Unsplash