Časté otázky a odpovědi k GDPR

Co je GDPR?

GDPR neboli General Data Protection Regulation je nařízením Evropské unie o ochraně osobních údajů z roku 2016, které vstoupí v platnost již 25. května 2018. Cílem tohoto nařízení je zvýšit úroveň ochrany osobních údajů a posílit v této oblasti práva občanů Evropské unie.

Na koho se GDPR vztahuje?

GDPR vstupuje v platnost celosvětově pro všechny subjekty, společnosti, organizace a instituce zpracovávající osobní údaje zaměstnanců, zákazníků či dodavatelů Evropské unie, a to ve všech sférách podnikání od bankovnictví, přes internetové obchody až například po zdravotnictví.

Kdo je dle GDPR správce?

Správce osobních údajů odpovídá za dodržování všech povinností vyplývajících z GDPR a obecně také za zpracování osobních údajů. Správce je každý subjekt, ať už firma, či fyzická osoba, která určuje účely a prostředky zpracování osobních údajů (mimo výjimky zpracování v rámci osobní a domácí činnosti). Správce musí být schopen prokázat řádný právní důvod zpracování osobních údajů. Jako provozovatel eshopu jste tedy v kontextu GDPR správce.

Kdo je dle GDPR zpracovatel?

Zpracovatelem osobních údajů je subjekt (právnická či fyzická osoba, orgán veřejné moci apod.), který jménem správce provádí operace, kterými jej tento správce pověřil. Zpracovatel může být zároveň i správcem a to např. pro osobní údaje svých vlastních zaměstnanců. K vymezení povinností a odpovědností mezi správcem a zpracovatelem slouží tzv. zpracovatelská smlouva. V rámci provozování eshopu budou pro Vás zpracovateli například marketingové či účetní agentury, daňový poradce apod.

Pověřenec pro ochranu osobních údajů (DPO)

Pověřenec pro ochranu osobních údajů (neboli DPO - Data Protection Officer) je osobou, kterou budou muset nově někteří správci dle GDPR jmenovat. Hlavními úkoly pověřence jsou poskytování konzultací správci a monitorování souladu zpracování osobních údajů s GDPR. Máte povinnost jmenovat DPO?

Mám / máme povinnost jmenovat DPO (tedy Pověřence pro ochranu osobních údajů neboli Data Protection Officer)?

Jmenování DPO je novou a velice důležitou povinností vyplývající z nařízení o ochraně osobních údajů GDPR. Jmenování DPO je povinné pro orgány veřejné moci a veřejné subjekty (kromě soudů). Týká se Vás ovšem také v případě, že provádíte rozsáhlé, pravidelné a systematické zpracování osobních údajů nebo zvláštních kategorií údajů (např. o zdravotním stavu, politických názorech, sexuální orientaci apod.).

Osobní údaje dle GDPR

Osobní údaje jsou jakékoliv informace týkající se identifikovaného nebo identifikovatelného subjektu osobních údajů. Subjekt osobních údajů je identifikovaný nebo identifikovatelný, pokud lze subjekt přímo či nepřímo identifikovat, a to na základě jednoho či více údajů, specifických pro jeho identitu. Prodáváte-li tedy na Vašem eshopu boty, pak lze považovat i velikost boty za osobní údaj a to v případě, že jste schopní si tuto informaci spojit s konkrétní osobou. Pokud ovšem máte jen číslo bot, pak se o osobní údaj nejedná. Zvláštní kategorií osobních údajů s přísnějším režimem jsou pak citlivé osobní údaje.

Citlivé osobní údaje dle GDPR

Citlivé osobní údaje jsou zvláštní kategorií osobních údajů. Jejich zpracování věnuje GDPR větší pozornost. Jsou to např. údaje o rasovém či etnickém původu, politických názorech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Patří sem nově také genetické, biometrické a osobní údaje dětí. 

Jaký je rozdíl mezi směrnicí a nařízením?

Směrnice je právním aktem stanovujícím cíl, který musejí všechny země Evropské unie splnit a je na jednotlivých zemích, jak nadefinují příslušné vnitrostátní zákony. Naopak nařízení je právně závazné a platí v celém svém rozsahu v celé Evropské unii. GDPR je nařízením a ne směrnicí!

Co přináší GDPR nového?

GDPR je komplexní regulací v oblasti ochrany osobních údajů a přináší celou řadu nových pojmů, práv (jako jsou práva na přenositelnost informací či právo být zapomenut) a zároveň i povinností (hlásit Úřadu pro ochranu osobních údajů a dotčeným subjektům bezpečnostní incidenty v souvislosti s osobními daty apod.).

Co obnáší "Souhlas se zpracováním osobních údajů"?

Souhlas je pro správce jedním z právních důvodů pro zpracování osobních údajů. Souhlas je vždy poskytován ke konkrétnímu účelu zpracování (např. pro zasílání newsletteru). Ke dni 25.5.2018 musí být stávající souhlasy uvedeny do souladu s GDPR, případně by mělo být zastaveno zpracování osobních údajů za daným účelem.

Co je profilování?

Za profilování lze považovat jakékoliv automatizované zpracování osobních údajů, během kterého dochází k vyhodnocování různých aspektů chování subjektů osobních údajů. Za profilování lze považovat například vyhodnocování chování, pohybu či zájmů subjektu osobních údajů, pracovního výkonu zaměstnance, vyhodnocování finanční situace zákazníka pro schválení úvěru či vyhodnocení zdravotního stavu pacienta atd.

Jaké jsou postihy za nedodržování GDPR?

GDPR zavádí sankce za nedodržení nařízení, a to dle rozsahu a závažnosti až do výše 4 % z celkového obratu společnosti nebo až 20 milionů EUR. V případě nesouladu s požadavky ovšem riskujete také ztrátu reputace, zákazníků, případně při naplnění znaků dle trestního zákoníku, také trestní odpovědnost jako fyzická či právnická osoba.

Jak je to s přístupem k e-mailové poště odkudkoliv pomocí webového rozhraní, popř. z mobilu?

U vzdáleného přístupu k emailům se nejedná o nic nového a nepochybně je takového přístupu využíváno čím dál častěji. Výši rizika zde stanovíte na základě informací, jaké jsou v emailech sdíleny. Doporučujeme tento typ přístupu zahrnout v interních metodikách, resp. směrnicích, a to především s ohledem na sílu zabezpečení heslem (pravidla pro vytváření hesel). Obecně je důležité proškolení a nastavení pravidel pro chování zaměstnanců na internetu a využití zařízení pro vlastní soukromou potřebu apod.

Je nutné využívat několikanásobného uzamčení (např. fyzických dokumentů - uzamčená schránka, vstup do kanceláře i objektu?

Prvky zabezpečení by vždy měly odpovídat reálné potřebě a případnému reálnému riziku a povaze údajů, které v kanceláři uchováváte. Také po Vás nebude nikdo vyžadovat nutně instalaci alarmu a napojení na centrální pult ochrany. V případě dokumentů nám připadne rozumné umístění dokumentů v uzamčené místnosti a případně v uzamčené skříni. Je na zvážení zavést pravidla přístupu do místností a ke klíčům.

Co e-maily a kontakty ve služebních telefonech - stačí uzamčení obrazovky?

V případě uzamčení obrazovky není obvykle nijak chráněn obsah telefonu (například šifrováním), případně uzamčením sim karty. Pokud tedy máte kontakty uložené na sim kartě bez hesla, nebo s jednoduchým heslem 1234, pak lze předpokládat, že by při krádeži zařízení mohlo dojít k úniku těchto informací. Zde je opět na zvážení, jaká hrozí rizika. Tomu by měla odpovídat pravidla pro chování zaměstnanců a pro práci s mobilními zařízeními. Lze předpokládat, že telefonní čísla na kolegy jsou nezbytné k výkonu práce zaměstnancem. 

Jak na zálohování dat z PC na datových nosičích a na používání USB flash disků a jejich zabezpečení?

Zálohování obecně je bráno pozitivně a jako součást zabezpečení IT, a to i v případě GDPR. Další úrovní zálohování je pak zálohování v cloudu, kde lze obvykle očekávat mnohem lepší úroveň zabezpečení (šifrování apod.). Šifrování a ochranu heslem pochopitelně doporučujeme i u lokálních řešení, a to včetně používání USB disků. V případě ztráty je pak riziko minimální. Pozor na rozdíl mezi archivací (přesun nepotřebných dat do archívu) a zálohováním (kopie využívaných dat pro potřebu obnovy).

Automatické odhlašování a přihlašování uživatelů na sdílených PC stanicích - po dokončení práce dojde k uzamčení obrazovky - je toto dostačující?

Zde by bylo zapotřebí rozvést konkrétní řešení do více rovin. První z nich jsou osobní údaje, ke kterým mají uživatelé přístup (typy údajů, zda jsou zde nějaké skupiny uživatelů či zda mají všichni přístup ke všemu a zda je to takto v pořádku, či zda by někdo měl mít přístup omezený apod.). Dále je pak stále třeba se zamyslet nad směrnicemi pro přístup uživatelů k údajům.

Co s fotkami zaměstnanců na Facebooku?

V tomto případě záleží na povaze fotografií a na způsobu jejich pořízení a jejich využití. Portrétní fotografie je nepochybně osobní povahy a může zde být viditelná rasa, náboženství apod. Pokud je tedy např. na fotografiích z Vaší firemní akce zaměstnanec, který Vám pro fotografování zapózoval a nechal se tak vyfotit, pak je to v pořádku. Nemusí být vždy nutný explicitní souhlas v písemné podobě. Souhlasem je v tomto případě již samotné jednání. Fotografie byste ovšem měli využít pouze pro tento "známý" účel, a ne například pro reklamu na plakát apod. Zde by již bylo zapotřebí dalšího souhlasu pro tento další účel. Pokud zaměstnanec vysloveně odmítne fotografování pro daný účel, pak na to má pochopitelně právo. Udělený souhlas musí být také kdykoliv odvolatelný.

Je nutné ohlásit ÚOOÚ konkrétní jméno zvoleného DPO?

V případě jmenování DPO (ať už interně či externě) je nutné zveřejnit informace o dostupnosti DPO, tedy jakým způsobem je možné DPO kontaktovat. Je doporučeno zveřejnit jak na intranetu (podnikový portál pro zaměstnance jako pro subjekty) tak i na internetu (subjektům údajů, tedy zákazníkům) stránku s kontaktními údaji, jako je adresa, telefonní číslo a email (například dpo@spolecnost.cz). Informace jsou předány také směrem ke kontrolnímu orgánu, a to především pro účely řešení případných bezpečnostních incidentů. Konkrétní jméno osoby není dle znění nařízení nutné a toto je ponecháno na zvážení správce, či zpracovatele údajů. 

Co je zpracovatelská smlouva?

Zpracovatelskou smlouvu uzavře správce se zpracovatelem. Povinnost tuto smlouvu vyhotovit není nová a nevyplývá pouze z GDPR ale zároveň také ze zákona o ochraně osobních údajů. Ve smlouvě je třeba výslovně uvést v jakém rozsahu, jakých osobních údajů se zpracování týká, na jakou dobu a za jakým účelem se smlouva uzavírá. Dále musí obsahovat povinnosti a práva správce i zpracovatele a také záruky zpracovatele o technických a organizačních opatřeních pro zabezpečení ochrany osobních údajů.

Jaké jsou právní důvody zpracování osobních údajů?

Právní důvody zpracování osobních údajů jsou nezbytným oprávněním pro správce, aby tyto osobní údaje mohl zpracovávat. Správce může zpracovávat osobní údaje pro různé účely. Pro každý z těchto účelů potřebuje pro zpracování právní důvod. Typickými právními důvody pro zpracování osobních údajů je plnění smlouvy či souhlas od subjektu údajů. V případě, že správce pozbude právní důvod, pak má povinnost osobní údaje zlikvidovat.

Účely zpracování osobních údajů

Osobní údaje může správce či zpracovatel zpracovávat pro různé účely a z různých právních důvodů zpracování. Zpracování osobních údajů je vždy vázáno na účel, na jehož základě je také stanoven právní důvod zpracování.

Posouzení vlivu na ochranu osobních údajů (DPIA)

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment - DPIA) provede správce, před zpracováním osobních údajů, pokud je pravděpodobné, že bude mít daný druh zpracování za následek vysoké riziko pro práva a svobody subjeků. Zpracování této analýzy se tak nebude týkat obecně všech. Kdy Vám vzniká povinnost posouzení vlivu zpracovat?

Jaká jsou nová práva subjektů osobních údajů?

Subjekt údajů má právo být informován o zpracování svých osobních údajů, a to zejména o totožnosti správce, účelu zpracování, o oprávněných zájmech a o případných příjemcích osobních údajů. Dalšími právy, založenými na aktivitě subjektu jsou právo na přístup, právo na opravu a doplnění, na výmaz, omezení zpracování, právo na přenositelnost a další.

Co dělat, když subjekt / zákazník zažádá o výmaz, ale zároveň máte povinnost údaje nadále uchovávat?

V určitých případech Vám některé právní předpisy ukládají povinnost uchovávat osobní údaje po určitou dobu (např. zákon o účetnictví). V takovém případě tedy osobní údaje na základě požadavku mazat nemusíte, protože Vám povinnost jejich uchovávání stanoví právní předpis. Jakmile však uplyne doba, po kterou byla povinnost údaje uchovávat, pak je musíte vymazat.