Ochrana osobních údajů je v dnešní společnosti často zmiňovanou problematikou. Během posledních měsíců se ale stala strašákem všech podnikatelů. 25. května přijde v platnost nové opatření EU, totiž GDPR.
Co znamená GDPR?
Mezi lidmi se začínají množit otázky, co je GDPR. General Data Protection Regulation, tedy obecné nařízení o ochraně osobních údajů je reakce na kuplířství s daty zákazníků. Zatímco doteď neexistovala žádná konkrétní směrnice pro uchovávání a zpracování osobních údajů, nyní se nová pravidla dotknou všech zemí Evropské unie. A nejedná se pouze o pár novot. GDPR s sebou přináší kompletně nové požadavky na zpracování osobních údajů. Nezáleží na tom, zda jste s.r.o., OSVČ, zapsaný spolek nebo nadnárodní společnost. V tomto článku vám poradíme, jak se nejlépe na tento zásah připravit.
GDPR se snaží o extrémní ochranu osobních údajů. A to za každou cenu.
Co si představit pod pojmem osobní údaj?
Osobními údaji jsou podle GDPR ta data, díky nimž dokážete rozpoznat konkrétní osobu. Samozřejmě do této kategorie spadá jméno, datum narození, věk, telefonní číslo, e-mail, aj. Většina lidí ale neví, že jako osobní údaj se počítá i IP adresa, politická a etnická příslušnost, zdravotní dokumentace, výpis z rejstříku trestů a náboženské vyznání. Tedy veškerá charakteristika jednotlivce. Řada lidí se tedy pohoršuje nad tím, že dnes již člověku nezbývá žádné soukromí.
Osobním údajem může být i fotografie, politická příslušnost nebo takzvané cookie.
Udělejte si pořádek
V prvním řadě je třeba si udělat hloubkovou analýzu všech svých činností. Sepište si, která data a proč evidujete a především, kdo k nim má přístup. Jsou tato data pro vaši činnost nezbytně nutná? Pokud si ujasníte tyto základní údaje, je třeba si stanovit, jak s daty budete zacházet. Nejlepší možností pro vás i vaše zaměstnance bude, pokud připravíte směrnici, ve které budou zastoupené všechny možné varianty zpracování osobních údajů. Navíc tato směrnice pomůže i vašim klientům, kteří uvidí, co se děje s jejich daty.
Je zbytečné uchovávat data, která nepotřebujete. Zbavte se jednoduše komplikací a udělejte si pořádek.
Příklady z praxe
Jak jsme popsali výše, nové nařízení se dotkne opravdu každého podnikatele. GDPR pro malé firmy bude stejné, jako u korporátu, tedy firem podstatně větších. Nezáleží na tom, zda máte zaměstnance dva nebo jich je několik stovek. Na příkladu si uvedeme předchozí popsané body v praxi.
GDPR se týká všech, vyhnout se mu zkrátka nelze.
Pan Norbert má svůj e-shop s nábytkem. Prodává v něm své umělecké výrobky, které sám vyrábí. Aby vše šlapalo jak má, tak zaměstnává 3 zaměstnance. Má tedy trojí evidenci osobních údajů. Tou první jsou firmy a jednotlivci, dodavatelé, od kterých si pan Norbert objednává vše potřebné pro svou činnost. Druhá evidence slouží panu Norbertovi k přehledu o jeho zákaznicích a třetí má pro své zaměstnance.
Pan Norbert si předem udělal tabulku, ve které vypsal všechna data, potřebná pro jeho práci. U dodavatelů je to název firmy (popřípadě jméno OSVČ), IČO, se sídlem, telefon a e-mail. U zákazníků si pak uchovává tyto údaje: jméno, doručovací adresu, telefon, e-mail. U zaměstnanců je to pak celá škála informací.
Údaje nezbytné pro zákonné plnění či plnění smluvních závazků, nepodléhají GDPR.
Ve všech případech může tyto údaje pan Norbert ve své práci používat bez předchozího souhlasu. Jsou to totiž data, která jsou nezbytná pro plnění smlouvy, tedy vyřízení objednávky, reklamace, atd.
Pokud by ovšem pan Norbert chtěl některé ze skupin posílat například newsletter, musel by o souhlas se zpracováním osobních údajů podle GDPR předem získat.
Všechny informace o vašem zacházení s osobními údaji se snažte co nejvíce zpřístupnit. Například na svých osobních webových stránkách.
V případě uchovávání faktur dodavatelů je jejich archivace plněním zákonné povinnosti. Je třeba ale všechna tato data zabezpečit, aby se nemohla dostat k třetím osobám. Nejlepším řešením je proto uchovávání dokladů v uzamčené skříni nebo trezoru. Pokud již dané papíry nepotřebujete, likvidujte je pomocí skartace.
Je třeba školení GDPR?
Pan Norbert je zaměstnancem několika lidí. Je tedy povinen zajistit jejich proškolení. Je také potřeba vydat předpis, který přesně stanovuje práci s osobními údaji a jejich zabezpečení. Své zaměstnance proto přesně seznamte s náplní jejich práce, s manipulací s osobními daty a případně s nimi posléze sepište protokol o školení GDPR. Jednou z hlavních chyb v GDPR je nezaheslovaný pracovní počítač, posílání osobních údajů na osobní e-mail, zanechání faktur na psacím stole, ukládání osobních údajů na veřejná úložiště, aj.
Své zaměstnance včas seznamte se změnami, které je čekají. Udělejte pro ně školení GDPR.
Ve vztahu k zaměstnanci je třeba též řadu úprav. Jedná se především o upravení smlouvy, která jasně stanovuje způsob ochrany osobních údajů daného zaměstnance. Jiným řešením je vyhotovení vnitřního předpisu, případně uzavřít dodatek stávající smlouvy.
Kdo bude správné plnění GDPR kontrolovat?
Za nedodržení pravidel GDPR bude následovat vysoká pokuta až do 20 milionů eur. O uplatnění GDPR v praxi se bude starat pověřenec pro ochranu osobních údajů. Vznikne tak zcela nová profese, která nebude pouze kontrolorem, ale i rádcem a vzdělávací jednotkou. Řada menším podnikatelů využívajících živnostenský list se GDPR obává, jelikož se jedná o další komplikaci, se kterou si každý poradit nedokáže nebo nechce. Dá se tedy očekávat, že i GDPR povede ke konci některých malých živnostníků.
Nedodržení GDPR vás vyjde poměrně draho.
GDPR je počátek nové formy zacházení s osobními údaji. I když se na první pohled může zdát, že je téměř nemožné se všemi jejich požadavky pracovat, představuje tento krok Evropské unie dobrý start k debatě a k možným pozdějším optimalizacím.