3. díl: Jak postupovat bezchybně při zavádění GDPR

Nařízení GDPR je v platnosti a jeho dodržování je vymáháno vysokými pokutami. Nejste si jisti, jestli jste při zavádění postupovali správně? Shrnuli jsme pro vás nejdůležitější body, jak postupovat.

Smartphone with lock icon - security concept

Přečtěte si další články z našeho seriálu o GDPR.

Dne 25. května vstoupilo v platnost obecné nařízení GDPR, které je dosud nejpokročilejším právním rámcem týkajícím se osobních údajů. Dotýká se velkých i malých firem, živnostníků, obcí a dalších institucí, jež pracují s osobními daty. Subjektům, které se nařízením nebudou řídit, přitom hrozí maximální pokuty až ve výši 20 milionů EUR nebo 4 % z celkového ročního obratu, což může být pro některé společnosti likvidační. Zavádění se tudíž nevyplatí podceňovat.

Zmapujte současný stav
Prvním krokem je zjištění současného stavu, ideálně v podobě důkladného auditu. Zjistit byste měli, s jakými osobními daty pracujete, jestli je uchováváte, a pokud ano, tak jak. Neméně důležitý je i způsob, jakým o zpracování dáváte vědět svým zákazníkům.

Za osobní údaje považuje GDPR veškeré údaje, které se vztahují ke konkrétní fyzické osobě, potažmo je na jejich základě možné onu osobu identifikovat. Konkrétně rozlišuje tři typy osobních údajů, u nichž klade různé nároky na jejich zabezpečení a uchovávání:

  • Obecné osobní údaje – nejvíce firem uchovává údaje z této kategorie. Jde například o jméno a příjmení, věk, datum narození a rodné číslo, číslo občanského průkazu, číslo pasu, telefonní číslo, e-mail, pohlaví, osobní a pracovní adresu a další kontaktní údaje, případně fotografický záznam.
  • Zvláštní kategorie osobních údajů – výčet těchto údajů je velmi podobný výčtu citlivých údajů v dosavadním zákoně č. 101/2000 Sb. Mohou vypovídat o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení. Dále se může jednat o členství v odborech, informace o zdravotním stavu, sexuálním životě a sexuální orientaci. Citlivými údaji jsou také ty biometrické a genetické (např. DNA), za citlivé se také automaticky považují veškeré údaje týkající se dětí.
  • Údaje týkající se rozsudků v trestních věcech a trestných činech – údaje týkající se trestní minulosti fyzické osoby mají v nařízení speciální kategorii, kterou naleznete v článku 10.

Auditem údajů nejen získáte přehled o tom, co vše zaznamenáváte, zároveň v nich můžete také udělat pořádek a určit si, které z nich skutečně potřebujete.

Přepište ujednání s uživateli
Ke sběru a uchovávání osobních údajů potřebujete získat od dotyčného jasný souhlas. Nesmí být proto skrytý například v obchodních podmínkách či jiném dokumentu, nýbrž musí být uživateli na první pohled jasné, že požadovaný souhlas se týká právě osobních údajů. Souhlas také nelze podmiňovat takovým způsobem, aby byl při jeho neposkytnutí subjekt, o jehož osobní údaje se jedná, jakkoliv znevýhodněn. Za nežádoucí označuje nařízení sběr takových dat, která nejsou pro danou službu či smlouvu nezbytná. Týkat se může například webů či aplikací, jež za účelem cílené reklamy sbírají namátkou údaje o poloze. Pro samotné fungování služby jde totiž o nedostatečně odůvodněnou podmínku.

Při vyžadování souhlasu by se uživatel měl dozvědět, jaká data budou sbírána, kým a za jakým účelem. Pokud je účelů více, musí být odděleny a uživatel si může vybrat, se kterými souhlasí. Dotyčnému je také třeba sdělit, že může souhlas kdykoliv odvolat a uchovaná data si vyžádat. Jazyk, kterým je žádost o souhlas napsána, by měl být srozumitelný pro každého. Při příliš složité formulaci může být prohlášen za neplatný.

Bude-li správce sbírat citlivá data, je vyžadován tzv. výslovný souhlas. U něj musí být plně doložitelné, že jej uvedla osoba, které se údaje týkají a jež se sběrem výslovně souhlasí. Může tak mít podobu například oskenovaného a podepsaného formuláře, elektronického podpisu či e-mailu potvrzeného SMS zprávou.

U dětí do 16 let vyžaduje GDPR souhlas zákonných zástupců, přijatelná jsou nicméně i dosavadní řešení, jako je odškrtávací políčko „jsem starší 16 let“ či vyplnění data narození. Správce by měl dle nařízení vyvinout přiměřenou snahu o získání pravdivého údaje, a pokud bude o splnění kritéria pochybovat, měl by veškerá data takového subjektu odstranit.

Správce je povinen souhlas uchovávat po celou dobu sběru dat až do jejich vymazání. Pokud by navíc měnil účel jejich zpracování, musí vyžádat souhlas nový.

Zabezpečte data i jejich databáze
Jako správce dat jste odpovědni také za jejich zabezpečení. Nařízení v tomto směru zohledňuje velikost firmy, u těch s malými obraty budou dostačovat jednodušší řešení než u velkých korporací, přesto je třeba mít tuto problematiku ošetřenou co nejlépe. U dat máte v zásadě dvě možnosti.

První a povětšinou vhodnější je šifrování. Data jsou zašifrována tak, že je lze přečíst pouze s klíčem. Čím delší je klíč, tím vyšší je bezpečnost šifrování, dále záleží také na jeho algoritmu. Pro menší firmy je nejvýhodnější sáhnout po některém z nabízených řešení a zabezpečení doplnit antivirovým programem na všech úložištích.

Alternativou je tzv. pseudoanonymizace dat. V takovém případě se skryje identita subjektu, kterého se data týkají, a ta se oddělí. Propojení údajů zpět k osobě je proveditelné pouze pomocí klíče. Výhodou tohoto řešení je snazší možnost předávání dat jiným zpracovatelům, jelikož mohou pracovat pouze s tou částí dat, s jejichž pomocí nelze osobu identifikovat.

Veškerá zařízení, ze kterých se k datům přistupuje, stejně jako data samotná by měla být chráněna bezpečnými hesly, jež se ideálně v pravidelných intervalech mění. Přístup k těmto údajům by měly mít jen ty osoby, které jej potřebují, odpovědností správce je zamezit jakémukoliv neoprávněnému přístupu.

Největší hrozbou je vynášení dat zaměstnanci, a to i tehdy, když si v dobré vůli berou práci domů. Na místě je také kvalitní antivirová ochrana. Pochopitelně je potřeba dodržovat pravidla bezpečnosti práce s internetem, pozor si dejte při přenášení dat. Ať už data přenášíte prostřednictvím internetu či například přenosných médií, měla by při tom být vždy zašifrována.

Protože především u menších firem bývají bezpečnostní opatření interních serverů nízká, vyplatí se takovým subjektům data ukládat do cloudových služeb. Ty jsou totiž vždy zabezpečené velmi dobře a na soulad s GDPR jsou připraveny. Důležité je prostudovat smluvní podmínky, mělo by v nich být mimo jiné specifikováno, že zpracovatel (tedy externí služba) přebírá v případě bezpečnostního incidentu odpovědnost.

Nezapomeňte, že nutnost zabezpečení se týká i fyzických dat, mělo by mít podobu sejfu s uloženými šanony nebo alespoň uzamykatelné kartotéky

Jasně nastavené interní procesy jsou základ
Samotné zabezpečení dat je důležité, neméně zásadní je ale i správně nastavit interní procesy. Vaše firma musí mít jasně stanoveno, jak jsou data uchovávána a zabezpečena, kdo k nim má přístup a čím je podmíněn. Navíc by tyto údaje vždy měly být doložitelné. Při zavádění GDPR byste měli důkladně proškolit své zaměstnance, zejména pak ty, kteří budou mít k datům přístup a budou s nimi pracovat.

U firem s více než 250 zaměstnanci, případně menších, jež pracují ve velkém s citlivými daty či je zpracování dat jejich hlavní činností, je nutné vést tzv. záznamy o činnostech zpracování. Ty kromě údajů o správci a případném zpracovateli musí obsahovat také rozsah a účel zpracovávaných údajů, informace o předávání a podrobný popis přijatých technických a bezpečnostních opatření.

Únik dat je nutné hlásit
V případě bezpečnostního incidentu je správce povinen tuto skutečnost nahlásit Úřadu pro ochranu osobních údajů do 72 hodin. Ohlášení musí obsahovat alespoň přibližné informace o tom, jak k úniku došlo, koho a jakých dat se dotýká, popis možných důsledků a kontakt na pověřence pro ochranu osobních údajů či jiný subjekt, kterého se úřad může doptat. Výjimku tvoří incident, při kterém lze jednoznačně říci, že únik nemůže nijak narušit práva a svobody dotčených osob.

Při hledání pomoci buďte opatrní
S příchodem GDPR se pochopitelně vyrojilo velké množství firem a subjektů, které nabízí pomoc se zaváděním a implementací nařízení. Ne všechny ale mají odpovídající odbornou kvalifikaci. V případě, že si s GDPR neporadíte sami, hledejte firmu s prokazatelnou odborností a ideálně dobrými referencemi od předchozích klientů. Pozor si dejte na různé lákavé nabídky s nízkými cenami, které často mohou vyústit pouze v jednodenní seminář,
po němž vše stále zůstane na vás.

Obvykle jsou nabízeny dva druhy služeb. Buď můžete získat důkladné proškolení a návrh řešení, v případě potřeby ještě audit současného stavu, nebo kompletní řešení na klíč. U něj se zajímejte o to, proč firma volí právě daný způsob řešení. Zaměřte se i na to, jestli bude pro chod vaší společnosti vhodný a pro vaše zaměstnance srozumitelný.

Připravte se na práva klientů
Připraveni musíte být také na dvě nová a důležitá práva uživatelů. Prvním z nich je právo na výmaz, kdy data dotyčného musí být smazána bez zbytečného odkladu, pokud odvolá souhlas a neexistuje žádný jiný právní důvod pro uchovávání dat. Dalšími důvody může být, že osobní údaje již nejsou pro původně stanovený účel zpracování potřeba, byly zpracovány protiprávně nebo k tomu EU či konkrétní stát vydá právní povinnost.

Neméně důležité je právo na přístup, kdy musí být každý občan informován o konkrétních uchovávaných datech, účelech zpracování, příjemcích, jimž jsou data přístupná, a době, po kterou budou uchovávána. Vědět musí také o právu na výmaz či vznesení námitky a o tom, kdy jsou data zpracovávána automatizovaným rozhodováním, například za účelem lepšího cílení reklamy. Na žádost mu veškerá uchovaná data musí být poskytnuta právě proto, aby mohl zkontrolovat jejich podobu, jestli vše koresponduje s ujednaným souhlasem, a případně vznést námitku či požádat o výmaz.

Za čtyři týdny vám poradíme, jakou podobu by měly mít smlouvy s klienty, dodavateli, zaměstnanci a dalšími subjekty.
Chcete více chytrých rad pro své podnikání a užitečné nástroje? Sledujte náš web průběžně, ať jste pořád o krok napřed před konkurencí.