GDPR – ochrana osobních údajů

Ve videu jsou základní informace o GDPR. Pro přehrání klikněte do náhledu.
Úplný text je pod videem.

Co to je GDPR?

Je to Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation) a jde o novou legislativu EU, která
1) výrazně zvyšuje ochranu osobních dat občanů
2) pod hrozbou vysokých pokut znamená pro podnikatele, živnostníky, různé instituce a dalších subjekty nové povinnosti

 

Týká se GDPR i vás?

 

Pokud vystavujete faktury fyzickým osobám, máte v mobilu kontakty na své zákazníky, zasíláte e-mailem obchodní sdělení či máte zaměstnance, pak dopadá GDPR i na vás. Obecně se GDPR týká každého, kdo zpracovává jakékoli osobní údaje fyzických osob.

Jsou to všichni, kteří dělají některou z těchto činností:

  • pracují s fakturami fyzických osob (faktura obsahuje osobní údaje – viz níže)
  • pracují s e-maily fyzických osob (shromažďování e-mailů, běžná korespondence, posílání obchodních sdělení a informací)
  • pracují s telefonními kontakty svých zákazníků, zaměstnanců, spolupracovníků
  • zpracovávají zaměstnaneckou agendu (výplaty, docházka, odvody atd.)
  • pracují se životopisy
  • uzavírají pracovní smlouvy/dohody
  • práce s osobními údaji je nařízena některým ze zákonů, například:
    – Zákon o účetnictví
    – Zákoník práce
    – Zákony v oblasti soc. zabezpečení a zaměstnanosti
    – Zákon o pojišťovnictví
  • a celá řada dalších činností, při kterých se pracuje byť jen s jediným osobním údajem

Do GDPR tedy „spadnou“ pravděpodobně všichni živnostníci, podnikatelé a firmy, od instalatérů po nadnárodní koncerny, lékaři a nemocnice, dále veřejné instituce jako školy či obecní úřady.

 

A co jsou to osobní údaje?

 

Osobní údaje jsou všechno, podle čeho lze identifikovat konkrétní osobu.

Jsou to zejména:
jméno
e-mail
telefonní číslo
IČ, DIČ
rodné číslo
adresa
cookies
IP adresa
foto, video

Dále se odlišují osobní údaje týkající se dětí a tzv. zvláštní kategorii údajů (nazývané též „citlivé údaje“), např. národnostní, rasový nebo etnický původ, politické postoje, náboženství a filozofické přesvědčení, zdravotní stav, sexuální orientace apod.

 

Jak se vyhnout problémům s úřady a pokutám

 

Pokud nějakým způsobem pracujete s osobními údaji, musíte být připraveni na kontrolu ze strany UOOU (Úřadu pro ochranu osobních údajů) Úřad provádí kontroly při úniku osobních údajů, namátkově a na udání. Výše pokut může být skutečně velmi vysoká. Abyste se nedostali do potíží, musíte mít jasno zejména v těchto věcech:

  • jaké údaje zpracováváte (standardní, „citlivé“)
  • jak je zpracováváte (marketing, evidence faktur, zakázek, telefonní seznamy atd.)
  • na základě čeho je zpracováváte (souhlas klienta, plnění smlouvy, oprávněný zájem, životní zájem, veřejný zájem)
  • jak dlouho uchováváte získané osobní údaje (např. po dobu nezbytně nutnou, archivujete je atd.)
  • jak jsou osobní údaje zabezpečeny proti zneužití (např. uložení pod uzamčením, data v PC, databázích, telefonech atd. chráněna silnými hesly)

 

Jak se můžete připravit?

 

Pokud se vás GDPR týká, musíte být při kontrole schopen písemně doložit zacházení s osobními údaji, se kterými pracujete.

Musíte mít zpracovány minimálně některé z těchto dokumentů:

  • Záznamy o činnostech zpracování
  • Posouzení vlivu na ochranu osobních údajů
  • Zásady zpracování osobních údajů
  • Záznamy o souhlasu klienta se zpracováním jeho osobních údajů, pokud je souhlas ze zákona nutný
  • Dokument o ochraně osobních údajů (soulad se zákonem 101/2000 Sb., tento zákon končí po začátku platnosti GDPR)
  • Doplnění obchodních podmínek o text o ochraně osobních údajů

V případě kontroly bude pro její uspokojivý průběh nutné tyto dokumenty předložit. Samozřejmě se také předpokládá, že se podle nich vaše instituce řídí. Šanony s údaji o zaměstnancích volně na polici v kanceláři či nezabezpečený mobil plný jmen a telefonních čísel by měly být minulostí.

Informace o tom, jak mají uvedené dokumenty vypadat, co přesně musí obsahovat atd., je podrobně uvedena v NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016. Velké firmy, nemocnice, obecní úřady a všichni, kdo zpracovávají informace ve velkém rozsahu, musí mít navíc ještě tzv. pověřence, tj. někoho, kdo dohlíží na správné zacházení s osobními údaji. Informace na těchto webových stránkách se týkají jen menšího zpracování dat bez nutnosti mít pověřence.

 

Kdy začíná GDPR platit?

 

Rozhodující datum je 25.5.2018.

K tomuto datu byste měli mít nastavenou ochranu osobních údajů a zpracované všechny potřebné dokumenty. Vzhledem k tomu, že GDPR dopadne na statisíce podnikatelů a institucí, dá se předpokládat poměrně velký zájem o konzultační služby. Určitě vám proto nedoporučuji nechávat vše na poslední chvíli a připravit se raději s předstihem.

 

Kde potřebné dokumenty získám?

 

Žádné předlohy („formuláře“), které byste si jednoduše vyplnili a měli klid, k dispozici nejsou, protože každý pracuje s jinými osobními údaji a různým způsobem. Analýzu vlastního zpracování a potřebné dokumenty si můžete zpracovat i sami. Pokud si pečlivě nastudujete NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016, mohli byste to zvládnout.

Pokud se vám do toho z jakéhokoli důvodu nechce nebo máte obavy, že byste to nezvládli, můžu to za vás udělat já.

Pak stačí, když mi poskytnete informace o tom, jak zpracováváte osobní údaje, a já se postarám o to ostatní.

KONTAKTUJTE MĚ a dohodneme se, jak připravit návrhy potřebné dokumentace přímo pro vaše potřeby.

Poradím vám i to, jak osobní údaje chránit a snížit na minimum riziko jejich úniku.

Přeji vám hodně štěstí v podnikání a klid od úřadů!

Ing. Zdeněk Peterka [GDPR konzultace]

Cena služeb a kontakt zde

Slovník základních pojmů GDPR:
Anonymizace  Evidence  Oprávněný zájem  Osobní údaj  Pověřenec  Právní titul  Profilování  Pseudonymizace  Souhlas  Správce  Subjekt údajů  Účel zpracování Únik osobních údajů  Zpracování osobních údajů  Zpracovatel


Zobrazeno: 1866