Připravujeme se na GDPR

GDPR neboli General Data Protection Regulation hýbe nejen online světem. Víte, o co jde, nebo to ještě zatím vůbec neřešíte? Jedná se o nové nařízení EU, které má chránit citlivé osobní údaje všech občanů EU ve stejné úrovni a zabránit jejich zneužívání. V celé EU začne platit 25. května 2018 a nahradí dosavadní právní úpravu ochrany osobních údajů. Je tedy nejvyšší čas na přípravu!

Týká se vás GDPR?

Nařízení platí pro ty, kteří zacházejí s osobními údaji uživatelů. Mají zaměstnance, obchodní databázi, personální databázi uchazečů, pracují s údaji v online službách… Nevyhnou se mu tedy ani jednotlivci. Za porušení nařízení GDPR hrozí velmi vysoké pokuty, pozor na to.

Zásadní změny, které GDPR přinese

Každou osobu (uživatele) musíte od 25. května důkladně informovat o tom, jak budete jeho osobní údaje zpracovávat, jak s nimi budete nakládat a k čemu je využijete. Každý uživatel může proti zpracování vznést námitku, stejně tak může svůj souhlas ke zpracování údajů kdykoliv odvolat. Řada firem si musí nastavit úplně nové procesy zpracovávání. Velkým strašákem je také povinnost neprodleně ohlásit problémy se zabezpečením osobních údajů (nejpozději do 72 hodin).

Kdy můžete zpracovávat osobní informace?

• Pokud to vyplývá z právní povinnosti (pracovně-právní vztah, záruční lhůty apod.). Například po dobu platnosti pracovního vztahu můžete shromažďovat a zpracovávat osobní údaje zaměstnanců, po dobu zajištění záruky zase musíte uchovávat údaje o odběrateli z objednávky.
• Pokud máte uzavřenou smlouvu a údaje zpracováváte maximálně v takové míře, abyste dodrželi všechny smluvní i legislativní povinnosti. Například v objednávce nepotřebujete mít souhlas se zpracováním osobních údajů - v rámci dokončení objednávky totiž potřebujete jméno, e-mail, adresu apod. 
• Pokud vám dá osoba souhlas se zpracováním svých údajů. Tento souhlas musí být daný svobodně (nesmí jím být podmíněno uzavření smlouvy), konkrétní, jednoznačný a odvolatelný. Osoba navíc musí vědět, k čemu její údaje budete používat. Souhlas nesmí být součástí obchodních podmínek. U dětí uděluje souhlas jejich zákonný zástupce (v ČR do 13 let).
• Je zpracování ve veřejném zájmu nebo oprávněném zájmu správce (např. daňový úřad, policie).

Jaká je vaše role?

• Správce určuje účel zpracování. Je primárně odpovědný za dodržování GDPR. Typicky zaměstnavatel, provozovatel e-shopu apod.
• Zpracovatel má na starost zpracovávat údaje na základě pověření od správce. Typickým příkladem zpracovatele je agentura.

Co na to eBRÁNA?

V eBRÁNĚ jsme správcem a zároveň i zpracovatelem. Aktivně spolupracujeme s odborníky a právníky, kteří nám pomáhají zvládnout celou problematiku GDPR. Za své klienty ale bohužel GDPR vyřešit nemůžeme :-(. Budeme ale rádi, když se námi třeba budete inspirovat.

Rozdělili jsme si zpracovávání dat na 3 oblasti:

Interní data - tady jsme zároveň správce a zpracovatel. Jedná se o osobní údaje našich zaměstnanců. Provedeme interní audit, kde minimalizujeme data o zaměstnancích na nejnižší nutnou míru a značně omezíme přístupy k datům. Odpovědné oprávněné osoby proškolíme.

Obchodní databáze - také jsme zároveň správce i zpracovatel. Jsou to data o jednatelích a kontaktních osobách. I tyto údaje budeme minimalizovat a aktualizovat. Budeme proškolovat osoby, které k údajům budou mít přístup.

Data klientů - zde jsme jen zpracovatel, odpovědnou osobou je vždy náš klient, který nás zpracováním dat pověřuje. Opět budeme značně minimalizovat přístupy k datům. Získá je pouze ten, kdo je nutně potřebuje ke své práci. V rámci našich produktů budeme školit zaměstnance. Budeme podrobně zjišťovat všechny právní aspekty a závěry zapracovávat do potřebných dokumentů. 

Abychom si tuto poslední situaci ukázali na konkrétním případě: Klient má u nás e-shopové řešení. Aby mohl realizovat objednávky a doručovat je, potřebuje znát osobní údaje adresáta. Ale náš obchodní zástupce tyto údaje vůbec nepotřebuje znát. Proto je neuvidí, stejně jako další eBRÁŇÁCI. Toho, kdo údaje potřebuje, vidí je z podstaty své práce nebo konkrétního důvodu, proškolíme.

• Všechny potřebné informace o nařízení GDPR najdete na gdpr.cz