Osobní údaje jsou veškeré informace získané o fyzické osobě, kterou lze na základě těchto údajů identifikovat. Nikoho jistě nepřekvapí, že osobním údajem je jméno a příjmení, datum narození, adresa bydliště nebo číslo bankovního účtu. Osobním údajem je ale také emailová adresa nebo telefonní číslo, konfekční velikost, IP adresa.
V případě, že při své činnosti, která není jen výlučně osobní nebo domácí, získáváte informace o fyzických osobách, tyto informace shromažďujete, ukládáte nebo s nimi činíte další operace, a to ať už automatizovaně nebo je zařazujete do Vašich evidencí, zpracováváte osobní údaje.
Ke zpracování osobních údajů tak dochází typicky při vyplnění a zpracování objednávkového formuláře při nákupu zboží přes eshop, při zaznamenání kontaktních údajů a rozměrů, případně dalších údajů zákazníka při realizaci zakázkové tvorby, při vystavení faktury zákazníkovi nebo při rozesílání emailových kampaní. Ke zpracování osobních údajů dochází rovněž vždy, pokud máte zaměstnance. Pracovní smlouva obsahuje celou řadu osobních údajů včetně výše mzdy, data nástupu do práce nebo údaje o délce dovolené. Z důvodu plnění zákonných povinností se ale zaměstnavatel od svého zaměstnance dozví rovněž, zda má manžela či manželku, kolik má dětí, u které zdravotní pojišťovny je pojištěn a celou řadu dalších údajů.
Pokud jste došli k závěru, že přeci jenom osobní údaje zpracováváte, rozhodně byste neměli zkratku GDPR ignorovat. Povinnosti vyplývající z nové právní úpravy se budou vztahovat i na Vás a jejich dodržování může u Vás kdykoliv Úřad na ochranu osobních údajů zkontrolovat. Za případná porušení pak hrozí pokuty až do výše 20 miliónů EUR nebo 4 % z celkového obratu.
Každý správce osobních údajů by si měl položit otázku (i) jaké údaje zpracovává, (ii) kde se tak děje, (iii) jakým způsobem je získává a zda je k tomu dán zákonný důvod, (iv) za jakým účelem osobní údaje získává, (v) jak dlouho je zpracovává a (vi) komu je zpřístupňuje.
Například v případě, že si zákazník objedná nové šaty přes eshop, je třeba za účelem splnění povinností prodávajícího z kupní smlouvy znát jeho emailovou adresu pro potvrzení objednávky, dále jméno, příjmení a adresu pro zaslání zboží. Osobní údaje jsou v tomto případě zpracovávány z důvodu plnění kupní smlouvy. Z důvodu splnění zákonných předpisů se zpracovávají fakturační údaje zákazníka za účelem vystavení faktury. Přitom pokud správce spolupracuje s externí účetní agenturou, zpřístupňuje osobní údaje svého zákazníka této účetní agentuře. Pokud má ovšem správce v úmyslu spotřebitelům zasílat emailové kampaně, je oprávněn emailové adresy užít za účelem marketingu pouze na základě souhlasu dotyčného.
GDPR správcům osobních údajů ukládá přijmout vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající riziku pro práva a svobody osob, jejichž osobní údaje jsou zpracovávány. Správce by si tak měl provést analýzu rizik pro jednotlivé osobní údaje, které zpracovává, aby tak mohl v souladu s GDPR vyhodnotit, zda porušení zabezpečení některých osobních údajů by nemohlo představovat vyšší riziko pro fyzické osoby, a mohl tak pro tyto rizikovější osobní údaje přijmout odpovídající zabezpečení, na příklad osobní údaje pseudonymizovat, přijmout interní postupy na příklad formou bezpečnostní směrnice.
Další novinkou, kterou GDPR přináší, je povinnost některých správců vést tzv. záznamy o činnostech zpracování. Jedná se o písemné přehledy, ve kterých je správce osobních údajů povinen uvádět vedle svých kontaktních údajů rovněž účely zpracování, kategorie subjektu údajů a kategorie osobních údajů, subjekty, jimž jsou osobní údaje zpřístupňovány, informace o případném předávání osobních údajů do třetích zemí, plánované lhůty pro výmaz jednotlivých kategorií údajů a obecný popis technických a organizačních bezpečnostních opatření. Správci jsou povinni tyto záznamy předložit Úřadu na ochranu osobních údajů na jeho výzvu. Vzhledem k tomu, že záznamy o činnostech zracování je třeba vést vždy, pokud se zpracování osobních údajů neděje pouze příležitostně, lze uzavřít, že módní návrháři, kteří své modely pravidelně prodávají prostřednictvím eshopu, nebo šijí pro své zákazníky na zakázku, budou muset záznamy v souladu s GDPR vést.
GDPR dále správcům osobních údajů ukládá, aby fyzickým osobám vždy v okamžiku, kdy od nich osobní údaje získají, poskytli zákonem vyžadované informace, zejména informace o tom, kdo je správcem osobních údajů, za jakým účelem budou údaje zpracovány, na základě jakého právního důvodu, po jak dlouhou dobu, komu budou jejich údaje zpřístupňovány, zda budou předávány do třetích zemí a jaká jsou práva fyzických osob v souvislosti se zpracováním jejich osobních údajů a jak je mohou uplatnit.
Správci budou muset rovněž nově hlásit případy porušení zabezpečení osobních údajů Úřadu na ochranu osobních údajů, případně i osobám, jichž se porušení zabezpečení osobních údajů může dotýkat.
Za účelem úplné implementace GDPR je rovněž třeba zrevidovat smluvní dokumentaci a posoudit, zda na subjekt nedopadají i další povinnosti stanovené GDPR pro některé správce, kteří při své činnosti systematicky a rozsáhle monitorují fyzické osoby, případně zpracovávají tzv. citlivé osobní údaje (údaje vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby). Mezi takové povinnosti může patřit jmenování pověřence pro ochranu osobních údajů nebo provedení posouzení vlivu na ochranu osobních údajů. Pokud hovoříme o správci, který provozuje běžný eshop (aniž by v rozsáhlé míře sledoval chování spotřebitelů, případně na základě vyhodnocení svého monitorování činil rozhodnutí dotýkající se takových fyzických osob – například zobrazování různých cenových nabídek na základě profilování spotřebitele), případně šije na zakázku, tyto zvláštní povinnosti se ho týkat nebudou. Vzhledem k tomu, že každá firma funguje svým osobitým způsobem a své činnosti má nastaveny individuálně, doporučujeme, aby každý správce konzultoval implementační proces a compliance s odborníkem tak, aby se vyhnul vysokým sankcím.
Diskuze k článku ()