Strašák jménem GDPR

GDPR – postrach (nejen) online vod

Ve zkratce by se GDPR dalo nazvat strašákem, o kterém se toho ví poměrně málo, a i to málo stačí k tomu, aby vás v noci budil ze spaní. Důvod je jednoduchý – nepochopení této chystané novinky z dílny Evropské unie se může zatraceně prodražit. A proto se o něm mluví v těchto dnech úplně všude. Mluví se o něm v online světě, mezi právníky i mezi majiteli firem.

O co že se vlastně jedná?

GDPR je zkratka pro Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation). Jedná se o novinku Evropské Unie, která má za cíl sjednotit nakládání s osobními daty napříč (téměř) celou Evropou. Týkat se totiž bude všech členských státu EU, Islandu, Norska a Lichtenštejnska, takže v tom rozhodně nejsme sami.

GDPR se chystá nahradit současnou právní úpravu ochrany osobních dat, tedy zákon o ochraně osobních údajů a s ním související směrnice. Oproti ostatním státům máme jistou výhodu v tom, že naše zákony jsou už tak poměrně přísné. V praxi to znamená, že zatímco jiní musí celý systém nakládání s osobními daty vytvářet od nuly, nám stačí ten dočasný systém jen trochu vylepšit. Dobře, možná trochu víc.

I proto je vhodné začít panikařit včas. Nařízení bylo přijato už v dubnu roku 2016, v platnost vstoupí 25. května 2018. Pokud se vám zdá, že je tedy na paniku poněkud brzy, vězte, že to není tak úplně pravda. Na některé věci je prostě dobré se připravit.

Co to obnáší?

GDPR přináší do světa zpracování osobních údajů spoustu novinek. Rozšiřuje definici osobních údajů nově i o údaje technické (takže je osobním údajem nově i IP adresa a cookies) a stanovuje zvláštní podmínky pro údaje genetické a biometrické. V praxi však znamená především množství opatření, která budete nuceni zavést. Připravili jsme pro vás stručný seznam věcí, na které byste se měli začít (nejen psychicky) připravovat a které prostě budete muset:

1. Vlastnit dokumentaci o tom, že zpracováváte pouze nezbytná data.
2. Pokud patříte mezi větší zpracovatele dat, budete muset zavést tzv. Nezávislou kontrolní funkci (DPO – data protection officer), jinými slovy – přibrat dalšího zaměstnance.
3. Vést záznamy o činnostech zpracování – tento bod se vás však týká pouze v případě, že má vaše firma více než 250 zaměstnanců, nebo se zabývá zpracováním osobních údajů.
4. Mít od subjektu údajů (zákazníka) udělený „jednoznačný a ničím nepodmíněný“ souhlas se zpracováním osobních údajů. Pokud tento souhlas nedostanete, nesmí to pro vás být důvod k neposkytnutí služby (samozřejmě za předpokladu, že to služba nevyžaduje). V praxi to znamená například to, že zákazníkovi nesmíte odmítnout zpracovat objednávku jen proto, že odmítl odebírat váš newsletter.
5. Poskytnout subjektu údajů přístup k informacím, které jsou o něm shromažďovány. Také tyto informace bez odkladu smazat v předem stanovených případech – jedním z nich je i zrušení souhlasu se zpracováním, nebo pominutí důvodu pro zpracování.
6. V případě narušení bezpečnosti údajů oznámit tuto skutečnost do 72 hodin Úřadu pro ochranu osobních údajů. V některých případech budete mít povinnost informovat i subjekty, kterých se údaje týkají. Pokud se tomuto kroku budete chtít pokud možno vyhnout, do jisté míry vám může pomoci tzv. pseudonymizace údajů - možnost sbírat další údaje o stejných osobách bez nutnosti znalosti jejich identity.

Všechny tyto body se dají shrnout pod tzv. princip zodpovědnosti, což je jiný a lépe znějící název pro povinnost zavést organizační, technická a procesní opatření k zajištění souladu s GDPR.

Proč to řešit?

Možná si říkáte, jestli to za to množství práce stojí. Jak moc se vás GDPR týká a co se vlastně stane, když se rozhodnete ho ignorovat?

Ačkoliv by se mohlo zdát, že se GDPR bude týkat jen velkých e-shopů a firem, rozhodně to tak není. Toto nařízení zasáhne všechny, kteří nějakým způsobem zpracovávají nebo shromažďují osobní údaje Evropanů (takže vám nepomůže ani přemístění firmy za hranice), a těmi Evropany zdaleka nemusí být jen zákazníci. Do seznamu se počítají i zaměstnanci, dodavatelé a odběratelé, a GDPR zasáhne i ty, kteří nějakým způsobem sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. A protože to EU s GDPR myslí opravdu vážně, týkat se vás bude i ve chvíli, kdy osobní údaje shromažďujete pouze v papírové formě.

Když teď tušíte, že se novému nařízení nevyhnete, přichází na řadu ta nejpodstatnější část – co se stane, když se rozhodnete to prostě neřešit? Časy se mění, a úměrně množství povinností narostly i sankce za jejich porušení. Zatímco nyní vám hrozí pokuta ve výši maximálně 10 mil. korun, od května roku 2018 je tato maximální částka posunuta na hranici 20 mil. EUR pro fyzické osoby nebo 4 % z obratu pro osoby právnické -  očekávatelně však jen pro případ, že 4% pokuta bude vyšší než 20 mil. EUR. Jako bonus vám hrozí trestní stíhání a následná žádost odškodnění za hmotnou či nehmotnou újmu, pokud se někdo z poškozených přihlásí.

Zrevidovat do května 2018 postupy nakládání s osobními údaji a veškeré informační systémy s tím spojené najednou zní jako ta příjemnější varianta, co myslíte?