GDPR neboli Obecné nařízení o ochraně osobních údajů – Co s ním?

10. 11. 2017 | 0 comments

GDPR neboli Obecné nařízení o ochraně osobních údajů – Co s ním?

10. 11. 2017 | WILD WEST 2.0 | 0 comments

8 minut čtení

Jak si jako malý podnikatel poradit s novými povinnostmi v oblasti zpracování osobních údajů?

25. května 2018 vstoupí v platnost nový právní rámec pro ochranu osobních údajů, který ruší dosavadní státní úpravu a zavádí plošná opatření platící pro celou Evropskou unii. Zákon posiluje práva občanů, firmám a institucím ukládá řadu povinností. Jejich nesplnění s sebou nese riziko nezvykle vysokých sankcí. V tuto chvíli bohužel není žádné komplexní řešení, jako třeba v případě EET, tudíž se se zákonem musí každý vypořádat po svém. Směrnice nejsou úplně přehledné a málokterý podnikatel se v nich vyzná sám – od toho mnoho odborníků nabízí školení nebo audity, ceny se tu ale pohybují až v desetitisícových částkách. V tomto článku nenabízím komplexní řešení, ale chci shrnout, na co je dobré se zaměřit. Přeskočme tedy obecné formulace a mluvme konkrétně:

Kdy se mě GDPR týká?

Už jen jméno a email ve vaší databázi kontaktů jsou osobní údaje. Jakmile rozesíláte newslettery, je potřeba zbystřit a informovat se o svých povinnostech.

Co se stane, když GDPR podcením?

Vystavujete se zbytečně riziku. Buď si vás úřad všimne sám a pošle na vás kontrolu, nebo vás nahlásí vaše konkurence. Dalším rizikem jsou pak problémoví adresáti vašich mailů, nebo nespokojení klienti, kteří se vám chtějí pomstít. V tom bohužel lidská vynalézavost nezná mezí.

Co jsou osobní údaje?

Jméno, pohlaví, věk a datum narození, osobní stav a fotografický záznam. Dále organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem. Pozor, nyní je nově za osobní údaj považovaná i IP adresa.

Jaká jsou práva těch, jejichž údaje shromažďuji?

Právo na přístup, opravu a vymazání. Právo být zapomenut, právo na omezení zpracování, přenositelnost údajů a právo vznést námitku.

Jak vypadá souhlas ke zpracování osobních údajů?

Musí být dobrovolný, udělený konkrétně a informovaně. V eshopu to znamená zaškrtnutí checkboxu se souhlasem, na papírovém formuláři to samé. Předem zaškrtnutá políčka ani věta ve stylu „Nákupem našich služeb souhlasíte se zpracováním svých osobních údajů“ se do tohoto souhlasu počítat nedají.

Jaké jsou povinnosti podnikatelů, institucí a firem?

Povinnost informovat fyzické osoby o vaší činnosti a o důvodu nakládání s jejich osobními údaji. Povinnost zajištění bezpečí vašich databází. Povinnost vést záznamy o tom, kdo s údaji nakládá a jak. Povinnost dokládání správně nastaveného souhlasu se zpracováním. Povinnost správně nastavené smlouvy mezi vámi a tzv. zpracovatelem  Oznamovací povinnost vůči ÚOOÚ.

Jak bych měl nyní postupovat?

Začněte tím, že si zjistíte, v jakém stavu se vaše databáze nachází nyní. Shrňte si, s jakými údaji nakládáte a proč. Údaje, které ke svému podnikání nepotřebujete, neshromažďujte. Zjistěte, kde je uchováváte, kdo k nim má přístup a jak s nimi nakládá. Podle toho pak zrevidujte pracovní smlouvy, postarejte se o to, aby k údajům mohli jen oprávnění zaměstnanci a zajistěte jim potřebné a doložitelné školení o této problematice.

Co když nakupuji databáze kontaktů od třetí strany?

Pokud pracujete s nakoupenými databázemi, nijak vás to bohužel nezbavuje povinnosti mít od osob, jimž budete obchodní sdělení zasílat, souhlas. Buď vám jej musí doložit člověk, který vám databázi prodal, nebo ho musíte znovu získat od samotných kontaktů. Nákupem databáze se totiž stáváte novým správcem v ní obsažených osobních údajů.

Jaké jsou sankce?

Sankce se budou týkat každého nezávisle na velikosti podnikání. V tuto chvíli je jejich maximální výše stanovena na 4 % z celkového ročního obratu společnosti (právnická osoba) nebo na 20 000 000 EUR u fyzických osob. Výše konkrétní sankce pro konkrétního podnikatele bude závislá na rozsahu v jakém nesplnil stanovené povinnosti.

Ohlašovací povinnost

Pokud dojde k narušení bezpečnosti údajů, musí jej zpracovatel do 72 hodin oznámit.

 

Tolik tedy zcela základní informace o tom, na co je třeba se připravit. Celá problematika je samozřejmě mnohonásobně širší a každý, kdo bude ve svém podnikání zavádět potřebná opatření, k ní musí přistupovat individuálně podle toho, v jakém stavu se u něj manipulace s osobními údaji nachází. Je nicméně dobré mít na paměti, že se něco takového vůbec chystá, a přípravy nepodcenit.

Veškeré potřebné informace najdete na https://www.gdpr.cz/, pokud si skutečně nevíte rady, můžete se obrátit na právníka.

— zveřejněno ve čtvrtek 10. 11. 2017 | napsala Karla
DALŠÍ ČLÁNKY Z RUBRIKY #WILD WEST 2.0:

 „Sdílení informací zlepšuje kulturu podnikání. Přispějte do prostoru svou zkušeností nebo názorem, který pomůže ostatním. Sharing is caring.“

0 Comments

Submit a Comment

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

nové komentáře

💌

newsletter

nový článek vždy do schránky, inspirace pro život na volné noze a tipy, které dávám jen klientům 🤫

Odesílám vždy ve čtvrtek. Někdy každý týden, někdy obtýden.