GDPR: Jak se na nové nařízení připravit?

Obecné nařízení na ochranu osobních údajů neboli GDPR si klade za cíl chránit práva občanů EU a osob pohybujících se v rámci jejích hranic. Všechny firmy a organizace, které nyní shromažďují a zpracovávají osobní údaje, budou muset fungovat od 25. května 2018 v souladu s tímto nařízením. Pokud firmy, orgány veřejné správy a jednotlivci, kteří pracují s osobními údaji, nesplní své povinnosti, mohou je čekat pokuty ve výši 20 milionů euro nebo 4 procent celosvětového obratu. Co z nařízení ale vyplývá? A jak se na něj připravit? O to se podělil Josef Bátrla z advokátní kanceláře KROUPAHELÁN na přednášce BusinessClubu.

Žádná revoluce, jen větší pořádek v datech

GDPR nepřináší podstatnější změny v přístupu k osobním údajům pro jednotlivce, kteří o sobě sdělují údaje, a také ani pro subjekty, které tyto údaje zpracovávají. Je GDPR jen mediální bublina a lukrativní byznys? Především je potřeba na něj nahlížet i z jiného úhlu pohledu. Mimo dílčí nové povinnosti a instituty GDPR představuje příležitost, jak si udělat pořádek v datech a začít s efektivnějším marketingem.

Mohlo by se zdát, že firmy doposud mohly sbírat a využívat údaje o svých zaměstnancích, zákaznících a dodavatelích jakkoliv se jim zachtělo. Pravdou však je, že nejen z pohledu GDPR by však měly mít vždy jasno v tom, jakého cíle nebo účelu chtějí sběrem a zpracováním dat dosáhnout. A také, jaké údaje k tomu potřebují.

Přechod na správný přístup ke zpracování osobních údajů bude pro většinu firem sice bolestný, protože vyžaduje mnoho času a financí, ale ve finále by měl prospět oběma stranám. Pokud totiž znáte a dobře definujete marketingové účely svých zpracování a vaši zákazníci o nich budou poctivě informováni, je to základ pro dobrý obchod.

Jaká jsou práva a povinnosti nařízení GDPR?

Práva uživatelů

GDPR chrání jednotlivce, kteří o sobě poskytují své údaje, popř. o kterých údaje zpracováváte. Do jejich práv patří také právo na přístup, na opravu, na přenositelnost a právo na vymazání. Lidé musejí mít kontrolu nad tím, komu jsou jejich osobní údaje poskytnuty, a vědět, jak se s nimi bude zacházet. Není novinkou, že kdykoliv mohou svůj souhlas s využitím dat odvolat nebo použít námitku proti zpracování na základě oprávněného zájmu.

Povinnosti správců a zpracovatelů

GDPR pracuje s dvěma povinnými osobami – správce a zpracovatel – na které primárně dopadají povinnosti. Správce je osoba, která určuje účely zpracování, stanovuje cíle a prostředky zpracování. Zpracovatel je osoba, která zpracovává osobní údaje na základě pověření správce. Ačkoliv z GDPR vyplývají povinnosti pro oba subjekty, větší zodpovědnost mají správcové. Proto je klíčové si uvědomit, zdali jste správce či zpracovatel.

Každý správce má minimálně následující povinnosti:

• Informovat jednotlivce o jejich právech (zásada transparentnosti)
• Prokázat, že zpracování probíhá v souladu s GDPR (zásada odpovědnosti)
• Najít zpracovatele, který je v souladu s GDPR, a podepsat s ním písemnou zpracovatelskou smlouvu s předepsanými náležitostmi
• Povinnost nahlásit bezpečnostní incident

Aby bylo zpracování osobních údajů v souladu s GDPR, musí být správcové schopni doložit souladnost každého konkrétního účelu zpracování osobních údajů, nezbytný rozsah osobních údajů, který potřebují pro splnění účelu, a právní titul (souhlas, oprávněný zájem či plnění právní povinnosti a další). Všechny tyto informace společně se základní dokumentací (souhlas se zpracováním, informační text a zpracovatelská smlouva) a interními předpisy (např. dokumentace o zabezpečení, záznamy o zpracování, interní směrnice o zpracování osobních údajů apod.) musejí mít firmy připravené pro případnou kontrolu ze strany Úřadu pro ochranu osobních údajů.  

Než se pustíte do zpracování osobní údajů

Mít jasno v tom, jak zacházíte s osobními údaji, je dobré nejenom pro vaše zákazníky a úřad, ale i pro vás. Následující čtyři body vám pomůžou lépe pochopit, jak správně zpracovávat osobní údaje:

1)    Rozmyslete si, co má být cílem zpracování dat, tedy proč je chcete, nebo musíte zpracovávat

2)    Určete si konkrétní účel, který slovně vyjadřuje výše stanovený cíl (např. zpracování osobních údajů za účelem oslovení s nabídkou vlastních služeb)

3)    Posuďte, jaké údaje ke splnění účelu potřebujete. Dejte si pozor na zásadu minimalizace a nevyžadujte osobní údaje, které pro splnění účelu nepotřebujete

4)    Vyberte si vhodný právní titul, který vám umožní údaje zpracovat

Doporučení od právníka na závěr

Od konce května 2018 by vaše firma měla již fungovat v souladu s GDPR. Možná si ale stále říkáte, jak na to, když nikde neexistuje žádný oficiální návod. Advokát Josef Bátrla doporučuje:

1)    Zmapujte si celé své podnikání včetně všech procesů a vytvořte si jeden přehledný dokument (nebo také sérii dokumentů), do kterého zakreslíte všechny datové toky.

2)    Udělejte si tzv. GAP analýzu, tedy porovnání rozdílů zmapovaného stavu a dopady GDPR a zamyslete se nad tím, jak si stojíte a které zjištěné skutečnosti jsou v nesouladu s GDPR.

3)    Vypracujte si návrhy řešení těchto mezer.

4)    Začněte s implementací spočívající ve vyřešení zjištěných nedostatků, a to úpravou dokumentace, procesů zpracování a přístupu ke zpracování osobních údajů ve vaší společnosti.

Pokud se chcete o GDPR dozvědět více, podívejte se na záznam celé přednášky BusinessClubu na YouTube.