GDPR: Co znamená a jak se dotýká vašeho podnikání

V dnešní digitální době se osobní údaje stávají cenným aktivem, ale zároveň představují i zodpovědnost. V reakci na rostoucí objem zpracovávaných informací a potřebu chránit soukromí jednotlivců vstoupilo v platnost Obecné nařízení o ochraně osobních údajů, známé po celém světě pod zkratkou GDPR (General Data Protection Regulation).

Co je GDPR a proč vzniklo?

GDPR představuje komplexní právní rámec, který sjednocuje pravidla pro ochranu osobních údajů napříč Evropskou unií. Jeho hlavním cílem je dát občanům větší kontrolu nad jejich osobními údaji a zároveň stanovit jasná pravidla pro subjekty, které tyto údaje zpracovávají. Důvody vzniku tohoto nařízení jsou zřejmé: firmy shromažďují stále větší množství dat o uživatelích, která pak využívají k různým účelům, například k efektivnějšímu cílení reklamy. Často si však lidé nejsou vědomi toho, kolik toho o nich firmy vědí, a nemají snadný způsob, jak to zjistit či ovlivnit.

Nařízení Evropského parlamentu a Rady (EU) bylo schváleno s cílem vytvořit jednotný a moderní přístup k ochraně soukromí. V České republice toto nařízení z velké části nahradilo dosavadní zákon o ochraně osobních údajů a jeho dodržování kontroluje Úřad pro ochranu osobních údajů (ÚOOÚ).

Klíčové pojmy: Osobní údaje a jejich členění

GDPR se vztahuje na osobní údaje, což jsou veškeré informace, na jejichž základě lze identifikovat konkrétní fyzickou osobu. Může jít o jméno, příjmení, ale také o údaje jako je věk, pohlaví, nebo třeba IP adresa. Podnikatelé by měli mít jasno v tom, jaké údaje zpracovávají, k jakému účelu, zda k tomu potřebují souhlas, a jak jsou tyto údaje zabezpečeny.

Mezi osobní údaje patří také citlivé údaje, které vyžadují zvláštní ochranu. Jedná se například o informace týkající se rasového nebo etnického původu, politických názorů, náboženského vyznání, členství v odborech, zdravotního stavu, sexuální orientace, nebo biometrických a genetických údajů. Tyto údaje mohou být v případě jejich zveřejnění nebo zneužití pro danou osobu diskriminační či škodlivé.

Anonymizace vs. Pseudonymizace

Je důležité rozlišovat mezi anonymizovanými a pseudonymizovanými údaji:

• Anonymizované údaje: U těchto údajů nelze ani s použitím dodatečných informací určit, o koho se jedná. Příkladem je statistické zpracování dat, kdy jsou odstraněny identifikační prvky, například jméno a příjmení, a zůstanou jen obecné informace jako věk či vzdělání, které již nelze přiřadit konkrétní osobě. Tyto údaje nepodléhají ochraně GDPR.
• Pseudonymizované údaje: U pseudonymizovaných údajů je možné identifikovat subjekt údajů, ale pouze s použitím dodatečných informací, které jsou uchovávány odděleně. Typickým příkladem je nahrazení jména a příjmení číselným kódem, přičemž seznam kódů a odpovídajících jmen je uložen zvlášť. Tyto údaje podléhají ochraně GDPR, protože přímá identifikace je možná.

Mezi další údaje, které nepodléhají ochraně, patří údaje o právnických osobách, orgánech veřejné moci a institucích, či údaje zemřelých osob. Stejně tak nejsou chráněny údaje zpracovávané čistě pro osobní potřebu, které nemají obchodní ani institucionální charakter.

Pro koho je GDPR závazné?

GDPR je závazné celosvětově pro všechny subjekty, které zpracovávají osobní údaje občanů Evropské unie, bez ohledu na jejich velikost nebo sídlo. To znamená, že se netýká pouze velkých nadnárodních korporací, ale i drobných živnostníků, spolků, organizací, školních či zdravotnických zařízení. Rozhodující je, zda firma pracuje s osobními údaji občanů EU.

Výjimky jsou minimální. Povinnost vést Záznamy o činnostech zpracování (které detailně popisují, jaké údaje se zpracovávají, k jakému účelu, kdo k nim má přístup atd.) se netýká firem s méně než 250 zaměstnanci, pokud zároveň nezpracovávají citlivé údaje nebo zpracování údajů není jejich hlavní činností. Další výjimkou je situace, kdy jsou veškeré osobní údaje plně anonymizovány, nebo jsou zpracovávány jen nahodile či v malé míře pro osobní potřebu.

Správce a zpracovatel: Kdo za co odpovídá?

V kontextu GDPR se často setkáváme s pojmy správce a zpracovatel:

• Správce: Je to subjekt, který zpracování osobních údajů provádí, určuje jeho účel a odpovídá za jeho zákonnost.
• Zpracovatel: Je to subjekt, který zpracovává osobní údaje na základě pověření správce. Příkladem může být externí IT firma, poskytovatel cloudových služeb nebo marketingová agentura.

Standardně nese odpovědnost správce. Pokud však využívá služeb zpracovatele, odpovídají za osobní údaje oba. Pokud zpracovatel zjistí porušení nařízení ze strany správce a nenahlásí to, nese za případný postih stejnou míru odpovědnosti.

Zabezpečení dat a práva subjektů

Jedním z klíčových požadavků GDPR je dostatečné zabezpečení dat. V praxi to znamená zejména:

• Zabezpečení všech zařízení, na kterých se data nacházejí (např. heslem).
• Ideálně šifrování samotných dat, zvláště pokud jsou sdílená nebo přenášená.
• Pozor na nezabezpečené sítě, přenos dat přes ně je velmi rizikový.
• Ochrana papírových databází a kartoték uložením v zabezpečeném úložišti či sejfu.

V případě narušení bezpečnosti dat (tzv. data breach) je správce povinen informovat dotčené uživatele a také ÚOOÚ, a to nejpozději do 72 hodin od úniku. Tato povinnost nevzniká, pokud při narušení nejsou ohrožena práva a svobody uživatelů.

GDPR posiluje také práva subjektů údajů:

• Právo na informace: Uživatel musí dát výslovný souhlas s ukládáním osobních údajů a firma mu na žádost musí poskytnout všechny nasbírané údaje a informace o jejich zpracování.
• Právo na opravu: Pokud uživatel zjistí nesrovnalosti v datech, může se domáhat jejich opravy.
• Právo být zapomenut: Uživatel má právo požádat o odstranění všech s ním souvisejících údajů.

Co dělat, aby vaše podnikání bylo v souladu s GDPR?

Abyste předešli vysokým finančním postihům, které mohou dosáhnout až 4 % ročního obratu nebo 20 milionů eur, je nezbytné dodržovat pravidla GDPR.

Zkuste si odpovědět na následující otázky:

• Uchováváte nějaké osobní údaje svých klientů?
• Jsou tyto údaje propojitelné s konkrétními osobami?
• Využíváte tyto údaje pro nějaký účel (např. kontaktování zákazníků), nebo jsou jen pro osobní potřebu?
• Jedná se o základní, zvláštní, nebo citlivé údaje?
• Má vaše firma více než 250 zaměstnanců, nebo zpracováváte citlivé údaje?
• Zpracováváte data pouze interně, nebo využíváte služby třetí strany (např. cloudové úložiště, databázový software)?

Pokud odpovíte kladně na většinu těchto otázek, je pravděpodobné, že se vás GDPR týká. Doporučujeme prověřit vaše interní procesy, nastavit adekvátní zabezpečení dat a v případě nejistoty se obrátit na odborníky, kteří vám pomohou s nastavením a udržením systému ochrany osobních údajů v souladu s platnou legislativou.

Dodržování GDPR není jen právní nutností, ale také projevem důvěryhodnosti vaší firmy a respektu k soukromí vašich zákazníků.