GDPR a co je dobré o něm vědět?
O GDPR jste asi už slyšeli, co ale přesně znamená nebo čeho se týká mnozí z nás spíše jen tuší. Přinášíme vám proto jednoduchý přehled základních zásad týkajících se GDPR.
GDPR (General Data Protection Regulation) je evropské nařízení o ochraně osobních údajů, které u nás začalo platit 25. května. Nařízení sjednocuje nakládání s osobními údaji v členských státech EU, mění a zpřísňuje požadavky na zabezpečení osobních dat, pravidel nakládání s daty a v neposlední řadě upravuje i výši sankcí za porušení pravidel. V českém právním prostředí koncem května nahradilo zákon o ochraně osobních údajů, který u nás platil od roku 2000.
Co všechno jsou osobní údaje?
„Jsou to jakékoli informace, na jejichž základě lze identifikovat konkrétní fyzickou osobu. Nejčastěji se jedná např. o jméno, adresu, telefonní číslo, datum či místo narození a rodné číslo. Osobním údajem je ale třeba i IP adresa, výše vaší mzdy, důchodu či sociální dávky a samozřejmě i identifikační údaje vydané státem, jako jsou např. číslo občanského či řidičského průkazu nebo cestovního pasu. Osobním údajem může být ale i vaše fotografie, video- nebo audiozáznam,“ vysvětluje vedoucí právního oddělení společnosti Provident Financial Ivana Minaříková s tím, že zvláštní kategorii osobních údajů představují tzv. citlivé údaje, jimž musí být poskytnuta zvýšená ochrana při jejich zpracování. Jedná se zejména o informace vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, genetické či biometrické údaje za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby.
Kdo se musí GDPR řídit?
Každý, kdo nějakým způsobem pracuje a zachází s osobními údaji, ať už svých zaměstnanců, zákazníků, dodavatelů… Týká se tedy nejen velkých firem, ale i malých živnostníků, státních institucí, spolků, neziskových organizací, zájmových kroužků, sportovních klubů, internetových obchodů apod.
Koho se naopak GDPR netýká?
„Z působnosti GDPR jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí potřebu. Příkladem jsou osobní údaje zpracovávané pro účel tvorby rodinného rodokmenu pro osobní potřebu. A nevztahuje se ani na osobní údaje shromažďované orgány za účelem předcházení trestních činů, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení,“ uvádí I. Minaříková z Providentu.
Je možné zpracovávat osobní údaje zveřejněné na internetu?
Ani informace zveřejněné za nějakým účelem na internetu nelze neomezeně přebírat a zpracovávat, a tím na nich profitovat. K jakémukoli nakládání s osobními údaji je vždy potřeba mít souhlas osob, jichž se osobní údaje týkají.
Udělit souhlas se zpracováním osobních údajů je možnost, ne povinnost!
„Platný je pouze takový souhlas, který byl získán od dotčené osoby svobodně a transparentním způsobem. Zatímco souhlas, který si např. prodejce služby či výrobku na zákazníkovi nějak vynutil, je neplatný. Jako příklad lze uvést souhlas zakomponovaný v obchodních podmínkách,“ upozorňuje právnička společnosti Provident Financial a pokračuje: „Každý má navíc právo svůj souhlas odvolat. Pro správce osobních údajů to znamená, že již nesmí dále takovéto osobní údaje zpracovávat pro účel, k němuž původně souhlas získal. Na druhou stranu to ale nutně neznamená, že by taková data musel zlikvidovat. To platí i v případě, pokud osobní údaje musí uchovat ze zákonem stanovených důvodů – např. kvůli povinnosti archivovat údaje po dobu pěti let.“
Jak je nutné osobní údaje zabezpečit?
Správce osobních údajů musí s ohledem na povahu, rozsah a účel zpracování údajů přijmout adekvátní bezpečnostní technická a organizační opatření, aby nejen zajistil, ale byl i schopen doložit, že zpracovává osobní údaje v souladu s nařízením. Zabezpečit osobní údaje lze např. jejich pseudonymizací nebo šifrováním (není to ale povinnost či výslovná podmínka).
Co představuje porušení zabezpečení osobních údajů?
Jedná se např. o náhodné nebo protiprávní zničení osobních údajů, jejich ztrátu, změnu nebo neoprávněné poskytnutí či zpřístupnění osobních údajů cizím osobám. Pokud dojde k úniku dat, platí, že provinilec musí do 72 hodin nahlásit Úřadu pro ochranu osobních údajů, že k úniku dat došlo. Za únik dat může dostat i pokutu (výše pokuty by měla být přiměřená míře závažnosti prohřešku, rozhodně by neměla být likvidační). Vysokou pokutu lze např. dostat za nevhodný způsob likvidace starých dokumentů obsahujících osobní údaje. Hodit je do směsného kontejneru nebo tříděného odpadu rozhodně nestačí, musí se řádně zlikvidovat, aby je nikdo další nemohl zneužít!
Doporučení odborníka
„Podívejte se, co přesně za informace shromažďujete, zda je opravdu potřebujete, kde je máte uložené a kdo všechno k nim má přístup. Sběr a uchovávání osobních dat by měl probíhat v rozumné míře a s vědomím dotčených osob,“ říká na závěr Ivana Minaříková z Providentu.