GDPR a ochrana osobních údajů: Co by měl podnikatel vědět?
Straší vás GDPR už i ve snech? Nebojte, vysvětlíme vám základní pojmy a poradíme, jak správně nastavit procesy na ochranu osobních údajů.💆♀️
Co je GDPR?
GDPR (General Data Protection Regulation), česky Obecné nařízení o ochraně osobních údajů je jednotný právní rámec ochrany osobních údajů v rámci Evropské unie. Cílem GDPR je chránit zájmy lidí v souvislosti se zpracováním a sdílením jejich osobních údajů. Zjednodušeně tak chrání naše právo na soukromí.
Koho se GDPR týká?
Nařízení o ochraně osobních údajů se vztahuje nejen na firmy, které v EU sídlí, ale také na společnosti, které jakýmkoliv způsobem nakládají s daty lidí žijicích v EU. Týká se všech podnikatelů, kteří pracují s osobními daty uživatelů, klientů, ale i zaměstnanců. Pravidla ochrany osobních údajů zkrátka platí pro všechny, a je jedno, jestli je podnikatelem jednotlivec, spolek, nebo velká firma.
GDPR platí tedy i pro OSVČ. Stačí už to, že vystavujete faktury, které obsahují osobní údaje. Ze zákona musíte faktury uchovávat, pracujete tak s osobními údaji a musíte se nařízením o GDPR řídit.
Co jsou osobní údaje?
Jedná se o jakékoliv informace, podle kterých je možné identifikovat konkrétní osobu. Jako když přijdete mezi skupinku lidí, představíte se svým jménem (třeba Hugo) a od toho okamžiku všichni vědí, kdo z vás je Hugo – všichni zkrátka znají jeden z vašich osobních údajů.
Příklady osobních údajů jsou:
- jméno a příjmení,
- domácí adresa,
- číslo občanského průkazu nebo pasu,
- e-mailová adresa,
- IP adresa,
- lokační údaje (např. funkce v mobilních telefonech, kde aplikace sbírají data o vaší poloze),
- cookies soubory na webech (obsahují informace o uživateli a jeho činnosti na webových stránkách).
Osobní údaje v podnikání
A přesně proto GDPR existuje. Každá společnost shromažďuje osobní údaje, díky kterým poté může například lépe cílit reklamu nebo nabídku svých produktů. Díky GDPR se zákazníci můžou rozhodnout, jestli chtějí, aby s těmito daty mohla společnost dále pracovat.
V rámci podnikání pravděpodobně budete data o svých klientech, zákaznících nebo zaměstnancích sbírat i vy. Stačí se zamyslet, kolik věcí musíte vědět třeba o potenciálním zaměstnanci. Hned při prvním kontaktu pravděpodobně znáte minimálně jeho jméno, příjmení a e-mail nebo telefonní číslo.
Jaký je rozdíl mezi osobním a citlivým údajem?
Citlivé údaje jsou informace, které mohou být zneužity a mohou tak poškodit člověka v zaměstnání nebo ve škole a případně vést k jeho diskriminaci. Jsou to údaje týkající se zdravotního stavu, etnického původu, náboženství, sexuální orientace, politických názorů, trestů, členství v odborech, genetických a biometrických údajů nebo údajů o dětech.
Pro vás je podstatné, že ke zpracování citlivých údajů přistupuje GDPR ještě přísněji než ke klasickým osobním údajům. Víc informací najdete na webu ministerstva vnitra.
Jak dlouho můžu osobní údaje uchovávat?
Jednoduchá odpověď: co možná nejkratší dobu 🙂 Doba uchovávání dat se bude odvíjet od účelu, za jakým data sbíráte. Ukažme si to na příkladech.
- Pořádání soutěže na webu: Zpracovávat budete osobní údaje soutěžících, budete tedy potřebovat minimálně jejich kontaktní údaje, abyste je v případě výhry mohli informovat. Dobu uchování osobních údajů v tomto případě určíte podle toho, jak dlouho budete údaje reálně potřebovat. U soutěžících, kteří se do soutěže zapojili, ale nevyhráli, budete údaje potřebovat jen do dne vyhlášení výherců. U výherců budete údaje potřebovat až do doby předání výhry.
- Nákup přes e-shop: Údaje zákazníka budete uchovávat po dobu běžící záruky. Po uplynutí této doby byste osobní údaje zákazníka měli smazat.
V některých odvětvích je doba uchovávání osobních údajů upravena zákonem. Potkáte se s tím třeba v lékařském prostředí nebo při archivaci evidenčních listů důchodového pojištění, záznamů o pojistném na sociální zabezpečení, mzdových listů nebo daňových dokladů.
Poznámka: Na informace o právnických osobách se GDPR nevztahuje, protože informace o nich nejsou považovány za osobní údaje. Jde třeba o kontaktní údaje společnosti jako celku (např. info@jmenospolecnosti.cz) nebo její registrační číslo.
Jak podnikat v souladu s GDPR?
Ministerstvo průmyslu a obchodu vytvořilo pro podnikatele jednoduchý formulář o GDPR, který vám pomůže si ujasnit, jaké základní kroky jsou třeba k tomu, abyste s osobními údaji pracovali v souladu s GDPR.
Obecně platí, že zpracováváte-li osobní údaje svých zákazníků nebo návštěvníků webu, musíte jim o tom vždy dát vědět. Například když jim chcete zasílat reklamní e-maily, zveřejnit jejich fotku na firemním facebookovém profilu nebo uchovávat kamerové záznamy z prostoru provozovny. S jakýmkoliv zpracováním jejich osobních údajů by samozřejmě vaši zákazníci měli souhlasit (dobrovolně, svobodně a písemně).
Poznámka: Souhlas nepotřebujete pouze v případech, kdy máte jiný právní důvod pro zpracování osobních údajů. Třeba když zákazník vyplňuje doručovací údaje při nákupu přes e-shop (plnění smlouvy mezi obchodními partnery). To samé platí pro situace, kdy jde o plnění právní povinnosti (např. předávání údajů zaměstnanců pojišťovnám).
Příklady, jak na GDPR prakticky
Pojďme se ale na jednotlivé situace, kdy s osobními údaji svých zákazníků přijdete do styku, podívat detailněji.
Příklad č. 1: GDPR na webu
Máte-li vlastní web, z hlediska GDPR vás bude zajímat hlavně cookies lišta a dokument „Zásady ochrany osobních údajů” (podívejte se na náš vzor ke stažení).
- Cookies lišta: Jako správce webu musíte pomocí automaticky zobrazované „Cookies lišty“ informovat návštěvníky o tom, že chcete sbírat jejich data. Sdělujete jim, že web k personalizaci obsahu a reklamy používá soubory cookies, které mohou sbírat i jejich osobní údaje. Návštěvník musí vždy mít možnost poskytnutí a zpracování jeho osobních dat odmítnout.
Každá cookies lišta musí návštěvníkovi poskytnout všechny základní informace tak, aby mohl udělat informované rozhodnutí, jestli s použitím cookies souborů ne/souhlasí.
- Zásady ochrany osobních údajů: Každý web zároveň musí poskytovat detailnější informace o zpracování osobních dat. K tomu poslouží dokument „Zásady ochrany osobních údajů” (Privacy Policy). Vždy by měla být možnost se z cookies lišty k tomuto dokumentu „prokliknout“ a dozvědět se více o tom, co správce daty vlastně dělá. Pokud návštěvník přijme podmínky uvedené v cookies liště, v podstatě souhlasí s tím, že data, která o něm soubory cookies sbírají, budou zpracována na základě stanovených zásad o ochraně osobních údajů.
Základem je informace o zpracování dat sdělit jasně, přehledně a tak, aby byly pro zákazníky jednoduše dostupné. Návštěvníkům webu musí být jasné:
- Kdo jsme?
- Jaké údaje budeme zpracovávat?
- Za jakým účelem data sbíráme?
- Bude data zpracovávat někdo další?
- Jak dlouho data uchováváme?
- Jaká jsou jejich práva?
Souhlas navíc musíte získat vždy, když od návštěvníka sbíráte nějaký další údaj. Třeba když návštěvník vyplňuje na webu formulář. Ať už jde o přihlášení k odběru newsletterů nebo účast v soutěži, zákazník musí souhlasit se zpracováním údajů, které do formuláře vyplní.
Nejjednodušší formou, jak si souhlas opatřit, je připojit k formuláři zaškrtávací políčko „Souhlasím se zpracováním osobních údajů“ a přidat odkaz na dokument „Zásady ochrany osobních údajů“.
Pozor
I se souhlasem můžete sbírat jen ta data, která k danému účelu opravdu potřebujete. Například pro zasílání newsletterů určitě nepotřebujete zákazníkovo rodné číslo.
Příklad č. 2: GDPR a fotografie nebo videa z akcí
Pořádáte přednášku nebo firemní večírek a nevíte, jestli můžete fotit, natáčet a případně pak fotky a videa zveřejnit na firemním webu? GDPR se tímto tématem přímo nezabývá. Přesto platí obecná nařízení, která jsou v GDPR zahrnuta:
- nesmí jít o fotky ani videa jednotlivců, ze kterých člověka jasně poznáte
- pod skupinovými fotkami bez souhlasu nesmí být uvedena jména
- záznamy by neměly nikoho poškozovat
Obecně to znamená, že pokud se jedná o skupinové fotky a fotografie nebo videa, která zachycují průběh akce, výslovný souhlas účastníků nepotřebujete. Měli byste však poskytnout možnost udělit nesouhlas se zveřejněním (a to i zpětně).
Příklad č. 3: GDPR a bezpečnostní kamerové systémy
Pokud chcete nainstalovat do kanceláří bezpečnostní kamery, nebude to tak jednoduché. Své zaměstnance můžete na pracovišti sledovat jen z vážných důvodů, například pokud pracují s vysokými finančními obnosy nebo nebezpečnými chemikáliemi. Pokud tedy neprovozujete třeba elektrárnu nebo banku, máte smůlu 🙃
Kamery na pracovišti si pravděpodobně obhájíte hlavně u vchodu do budovy/kanceláře, kde se nachází hodnotný majetek a kde uchováváte data. Nikdy ale nesmí jít o přímé sledování zaměstnanců. Bez problémů by vám měly být povoleny také kamery na prodejně, pod podmínkou, že kamera přímo nesnímá zaměstnance (ani zde je nesmíte přímo sledovat). Třeba kamera mířená na pokladnu by měla snímat nejlépe jen ruce pokladní.
V obou případech musíte o přítomnosti kamer zaměstnance předem informovat. Ideálně vytvořit informační dokument a uložit ho na interní disk, kam mají všichni zaměstnanci přístup. Zaměstnanci by měli vědět, kolik kamer máte, kde jsou, k čemu slouží a jak dlouho záznamy uchováváte.
Zásady ochrany osobních údajů – vzor ke stažení
Pokud si nevíte rady, jak dokument Zásady ochrany osobních údajů sepsat, na internetu najdete spoustu návodů i vzorů. Existují dokonce služby, které vám za poplatek vytvoří dokument na míru. Jeden ze vzorů si můžete zdarma stáhnout zde.
Co když dojde k porušení GDPR?
O porušení GDPR mluvíme v případě, kdy dojde ke zničení, ztrátě, změně nebo neoprávněnému zpřístupnění dat třetím stranám. Jako správce dat byste měli udělat vše pro to, aby vaše technická a bezpečnostní opatření zajistila, že ke ztrátě nebo zničení dat nedojde (mrkněte třeba na naše tipy pro vyšší IT bezpečnost).
Musím porušení GDPR ohlásit?
Pokud k porušení zabezpečení dojde, musíte do 72 hodin od okamžiku, kdy se o porušení dozvíte, podle pokynů k ohlašování, informovat Úřad pro ochranu osobních údajů (ÚOOÚ). Pokud to nestihnete, musíte spolu s ohlášením úřadu dodat i odůvodnění zpoždění.
Úřad musíte informovat vždy, když dojde k porušení zabezpečení, které ohrožuje něčí práva. Příkladem může být kybernetický útok na síť, ve které údaje uchováváte.
Pokud by při porušení zabezpečení mohla někomu z dotčených lidí vzniknout nějaká větší škoda, musíte informovat nejen úřad, ale i jednotlivce, kterých se to týká. Třeba když dojde k úniku dat z bankovního systému, který by mohl vést ke krádeži.
Kdy porušení GDPR ohlašovat nemusím?
Porušení nemusíte ohlašovat, když je nepravděpodobné, že by někomu vznikla nějaká újma. Třeba když nemůžete najít vytištěnou fakturu, ale pravděpodobně je jen někde špatně založená (víte, že „někde“ je).
O všech případech porušení zabezpečení ale musíte vést dokumentaci, a případně spolupracovat s Úřadem pro ochranu osobních údajů.
Pokuty za porušení GDPR
Ukládání pokut se řídí tím, že správní pokuty musí být účinné, přiměřené a odrazující. Ke každému případu se ale přistupuje podle okolností a konkrétní situace. Při porušení nařízení můžete dostat nejprve pouze napomenutí, nebo upozornění, že něco neděláte v souladu s GDPR. Úřad bude především chtít, abyste situaci co nejdříve napravili.
Jak vysoká je pokuta za porušení GDPR?
V celoevropské verzi GDPR je výše pokut, podle vážnosti porušení nařízení, rozdělena do dvou kategorií. Nejvyšší možná pokuta je ale stanovena na 20 000 000 EUR (nebo až 4 % celkového ročního celosvětového obratu).
Jedná se ale jen o obecný návod a ohraničení maximální výše pokut. O konečné výši pokuty rozhoduje místní dozorový úřad - u nás Úřad pro ochranu osobních údajů. V Česku je horní hranice pokut za porušení nařízení, dle Zákona na ochranu osobních údajů, stanovena ve výši 10 000 000 Kč.
V GDPR jsou stanoveny i polehčující (a přitěžující) okolnosti. Výše pokuty bude vždy záviset na délce trvání porušení, jeho rozsahu, zda se jednalo o úmyslné nebo nedbalostní porušení, jaké kroky jste podnikli, abyste porušení zabránili, nebo jakým způsobem a jak rychle jste se snažili porušení napravit.
Jaké v Česku padly pokuty za porušení GDPR?
2018 | 2019 | 2020 | 2021 | |
---|---|---|---|---|
Celkový počet pokut | 19 | 33 | 30 | 40 |
Souhrnná výše pokut | 1.173.000 Kč | 1.435.000 Kč | 2.080.000 Kč | 5.996.000 Kč |
Průměrná výše pokuty | 61.737 Kč | 43.485 Kč | 69.333 Kč | 149.900 Kč |
Nejvyšší pokuta za porušení GDPR
Zatím nejvyšší známá pokuta (podle ÚOOÚ) padla ve výši 2 000 000 Kč za nesplnění nařízených nápravných opatření. Určitě se tedy nevyplatí nechat to náhodě. Pokud se ale snažíte dělat vše pro to, abyste s osobními údaji pracovali v souladu s GDPR, a případně spolupracujete s Úřadem pro ochranu osobních dat, nikdo vám nebude chtít dát obrovskou pokutu „jen tak“.
Mohlo by vás zajímat
Nastartujte své podnikání s robotem
Vyřešíme za vás faktury, daně i komunikaci se státem.
Zjistit vícProhledat Almanach
Nenašli jste? Napište nám email nebo využijte povídátko v pravém dolním rohu.