GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání

GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání
GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání
GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání
GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání
GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání
GDPR alespoň trochu ovlivní každého podnikatele, který uchovává data o svých klientech a zaměstnancích. Zákon začne platit už na konci května a tak pro vás máme další várku GDPR informací.

Minule jsme psali o tom, co to GDPR je a jak se vás dotkne. A jak jsme slíbili, potápíme se hlouběji a na hladinu vynášíme praktické informace o zákonnosti a bezpečnosti zpracování osobních údajů, právech subjektů údajů i dopadech na online byznys.

A pro uklidnění – s RAYNETem to zvládnete. Ukázky toho, jak si s GDPR poradit, vám přineseme v dalším článku.

Malé vysvětlení právničtiny na začátek

Subjekt údajů je fyzická nebo právnická osoba, o které zpracováváte nebo uchováváte osobní údaje. Je to tedy prakticky kdokoliv, koho máte ve svém CRM, tabulce s kontakty nebo ve složce se zaslanými životopisy.

GDPR a zákonnost

Nikdo kvůli GDPR nepřestane zpracovávat osobní údaje. Nově si ale musíte krýt záda jedním ze zákonných důvodů:

  • Souhlas: subjekt údajů vám vědomě povolí osobní údaje zpracovat. Tento způso má největší váhu.
  • Smlouva: ve smlouvě jasně uvedete skutečnost, že osobní data zpracujete. Ale žádné kamuflování, o tom si hned povíme níže.
  • Právní povinnost: například na zpracování mzdové agendy.
  • Životně důležitý zájem: zpracování údajů je nezbytné pro ochranu životně důležitých zájmů. Tady ale už zabíháme do extrémních scénářů.
  • Veřejný zájem: zpracování je nezbytné pro splnění úkolu ve veřejném zájmu. Pokud ale nejste James Bond, spoléhejte raději na snadněji obhajitelné důvody.

A v neposlední řadě důvod dává i oprávněný zájem správce.

Kouzelná formulka, že? Přijde vhod ve chvíli, kdy mezi správcem a subjektem údajů existuje relevantní vztah – typicky například přímý marketing. Proti vztahu může ale subjekt údajů vznést námitku a na jeho žádost musí správce osobní údaje smazat.

Malé smluvní okénko

Aby souhlas byl souhlasem, tak nesmí být pouze ve smlouvě. Podle ÚOOÚ jsou totiž položky smlouvy navázané na nějaké protiplnění a není je snadné odvolat či zrušit (což by ale u souhlasu se zpracováním osobní údajů mělo být umožněno). Na souhlas tak raději vždy používejte samostatnou listinu.

A ještě jedna perlička – pokud už k některým informacím souhlas se zpracováním máte, nedávejte souhlas znovu do smlouvy. Subjektu údajů tím totiž uvádíte v omyl, že může souhlas odvolat. Což sice udělat může, ale údaje se o něm budou zpracovávat i nadále.

Teď určitě přemýšlíte, co to pro vás bude znamenat v praxi.

Jeden by si řekl, že zkrátka získá souhlas. Stačí jej zamaskovat do smlouvy nebo obchodních podmínek a je hotovo. Chyba lávka – souhlas musí být:

  1. pro konkrétní účel a na určitou dobu,
  2. informovaný,
  3. výslovný a jednoznačný,
  4. svobodný
  5. a odlišný od jiných záležitostí.

Zamaskování do jiného dokumentu tedy nepřipadá v úvahu.

A tato „svatá pětka“ neplatí jen pro nové souhlasy, ale aktualizovat musíte i ty stávající.

Trocha práce tedy čeká všechny. Jen si představte, kde všude budete muset potvrdit, že se zpracováním souhlasíte. E-shopy, newsletterové seznamy, věrnostní kluby. A mnoho dalších.

Mít souhlas je sice hezká věc, ale jak vlastně dokážete, že ho máte? Jako správci údajů musíte být schopní doložit, že souhlas:

  • souvisí s konkrétním zájmem,
  • udělila příslušná osoba a to
  • na příslušnou dobu, ve které údaje zpracováváte.

A nejdůležitější – osoba, která souhlas udělila, ví, jak budete s osobními údaji nakládat.

GDPR a bezpečnost

Čeká na vás také splnění požadavků na zabezpečení. Jak přesně je splnit Zákon o ochraně osobních údajů neporadí, trochu ale napoví registrační formulář ÚOOÚ.

A svoje k tomu říká i GDPR v článku 32.

Ve zkratce řečeno:

Nejen správce, ale i zpracovatel, musí přijmout vhodná opatření, ať už technická nebo organizační, aby zajistili ochranu úměrnou riziku.

 

A teď zase trochu méně právnicky a více lidsky. V praxi se požadavky na zabezpečení projeví například jako:

  • pravidelné testování a vyhodnocování míry zabezpečení,
  • pseudonymizace a šifrování,
  • obnova dostupnosti údajů a přístupu k nim v případě výpadku,
  • a další požadavky.

Zvýšenou pozornost budete muset nově věnovat i chybám v systému. Bezpečnostní incidenty týkající se osobních údajů musíte nahlásit do 72 hodin na ÚOOÚ a také všem vašim klientům nebo zaměstnancům, o jejichž data by mohlo jít.

GDPR a práva subjektů údajů

S GDPR přichází i pozitivní změna pro uživatele. Portfolio jejich práv se značně rozšíří a všechny kroky ochrany osobních údajů by od května 2018 měly být transparentnější pro podnikatele i uživatele.

1. Právo na přístup

Kdo?, Co?, Kde?, Proč? a Na jak dlouho? Jako správce i zpracovatel musíte subjektu údajů poskytnou odpovědi na všechny tyto otázky o zpracování jejich osobních údajů.

2. Právo na opravu a přenos

Bez řečí a zbytečných průtahů musíte opravit nepřesné (subjektivně i objektivně) osobní údaje, poskytnout jejich kopii nebo potvrzení o jejich zpracování.

3. Právo na výmaz a právo být zapomenut

Subjekt údajů může požadovat vymazání osobních údajů hned z několika důvodů.

  • Údaje splnily svůj účel a už je nepotřebujete.
  • Subjekt se odvolá proti použití údajů nebo vznese námitku.
  • Došlo k protiprávnímu zpracování údajů.
  • Vyplývá to z právní povinnost EU.
  • Nemáte rodičovský souhlas.

Vymazání ovšem nestačí, musíte o něm subjekt informovat.

4. Právo vznést námitku

Pokud subjekt údajů zjistí, že o něm zpracováváte data i bez jeho souhlasu, má právo vznést námitku. Vy jako správci dat v tu chvíli musíte přenést osobní údaje tohoto subjektu do jiné databáze.

Údaje máte povinnost držet odděleně od ostatních údajů subjektů než se rozhodne o zamítnutí nebo uznání námitky.

A co děti, mají si kde... Souhlasit?

Když máte e-shop s cool obaly na telefon, určitě u vás nenakupují jen plnoletí zákazníci. A jak jde o souhlas nezletilých, je potřeba do hry pozvat ještě rodiče.

  1. <13 let : nákup pouze se souhlasem rodiče
  2. 13-15 let : nákup pouze se souhlasem rodiče, a nebo jinak podle vnitrostátní úpravy
  3. 16 let> : nákup bez souhlasu rodiče

A jak to všechno ovlivní svět e-commerce?

GDPR a dopady na online byznys

Už víte, co všechno jsou osobní údaje. V online světě k nim ale přihoďte ještě:

  • lokační údaje,
  • síťové identifikátory jako je IP adresa, cookies, MAC adresy,
  • nebo identifikátory pro reklamní sítě.

Online nomádi si musí dát především pozor na to, jakým způsobem získají souhlas uživatele se zpracováním osobních údajů.

Své k tomu řekne především ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích, které doplní GDPR a ustanoví, jak ho vlastně používat v internetových vodách.

Zatím z něho vyplývá, jak souhlas na webu získat a co už je daleko za zákonnou GDPR hranou.

 Co ANO?  Co NE?
 • zaškrnutí políčka  • předem zaškrtnutá políčka
 • jiné prohlášení, jednání nebo souhlas  • mlčení znamená souhlas
   • formulka „Používáním software souhlasíte s…“

Suma sumárum, do firemního kamene vytesejte 3 zlatá pravidla:

  1. Souhlas musí být udělený aktivně, samostatně a srozumitelně.
  2. Naopak nesmí být závislý nebo propojený s jiným souhlasem.
  3. Jak lehké je souhlas udělit, tak lehké je ho zase vzít zpět.

Doufáme, že z nových informací nemáte příliš velkou hlavu. Jak už jsme předesílali, příští článek shrne řešení GDPR v RAYNETu.