00 Pro koho je tento GDPR návod?


Pozor! Pozor! Pozor!

Tento seriál obsahuje doporučení, jak přistoupit k GDPR, aby to bylo co nejjednoduší a také nejlevnější. Sepsal jsem ho původně pro svoje kamarády. Není to právně neprůstřelná analýza. Jsou to jen rady od člověka, který se profesně i zájmově GDPR věnuje.

GDPR (General Data Protection Regulation - Nařízení ochrany osobních dat fyzických osob) je předpis, který začne být účinný 25. května 2018. Tohle nařízení se vztahuje na každého, kdo zpracovává osobní data fyzických osob. Musí se na něj připravit nejenom velké podniky, ale i malé firmy, živnostníci, nebo občanská sdružení. Kolem GDPR koluje velké množství nepřesností či dokonce zavádějících informací. Ty často vznikají ze snahy nejrůznějších společností vydělat na "certifikacích" či předražených službách. A to je důvod, proč jsem se rozhodl sepsat tento seriál - s cílem poskytnout živnostníkům, malým firmám a občanským sdružením (registrovaným spolkům) jednoduchý návod, jak přežít bez zbytečných výdajů na GDPR.

Čeho se tedy GDPR týká?

GDPR se zabývá ochranou osobních údajů fyzických osob. Osobními údaji rozumí jakékoliv informace, které lze vztáhnout ke konkrétní osobě. Osobními údaji tedy není jenom jméno, rodné číslo nebo adresa, ale i třeba informace o tom, jaké zboží si klient koupil, jaké stránky návštěvník prošel nebo jaké dary dal podporovatel nestátní neziskové organizaci.

GDPR v zásadě říká - když sbíráte a zpracováváte osobní data, můžete tak činit pouze za účelem, který otevřeně deklarujete, a jen tehdy, když k tomu máte oprávnění (tzv. zákonný titul), data sebraná za jedním účelem přitom nesmí být použita k účelu jinému (tedy adresu klienta zadanou pro dodávku zboží nelze bez dalšího použít k zasílání reklamních zásilek) a když už není žádný důvod (ve skutečnosti zase zákonný titul), musíte data přestat používat.

Jedinou relevantní výjimkou z platnosti GDPR je použití dat fyzickou osobou pro výlučně osobní či domácí činnosti. Telefonní seznam v soukromém mobilu vám tedy nikdo kvůli GDPR kontrolovat nemůže, stejně jako osobní deníček, kde si píšete postřehy o lidech, které jste potkali.

Pro koho je tento seriál určen?

Rozhodl jsem se text sepsat proto, že jsem doposud nenarazil na použitelný a jednoduchý návod jak k GDPR přistoupit. Přitom, pro malé firmy, živnostníky a nevládní neziskové organizace (zapsané spolky, bývalá občanská sdružení, obecně prospěšné společnosti,...) se většinou nejedná o komplikované povinnosti. A právě pro ně je tato série textů určena.

Co všechno se tu dočtete?

V kapitolách 1 a 2 se zabýváme tématem, které je dobré si připravit už před platností GDPR, tedy před 25.květnem 2018. A to je udělat si inverturu jaká data používáte a připravit si o tom zprávu, tzv. Informační memorandum.

Další tři kapitoly jsou věnovány právům, která mají lidé, o kterých držíte a zpracováváte informace. Jsou to právo na přístup k osobním informacím (kapitola 3), právo na výmaz, zvané též "právo být zapomenut" (kapitola 4) a další, méně komplikovaná, práva v kapitole 5.

Kapitola 6 je věnována problematice souhlasu se zpracováním osobních dat a také srovnání s oprávněným zájmem. Budeme zde rozebírat mj. tzv. marketingový souhlas. Pokud už dnes souhlas využíváte, je toto také kapitola, které byste se měli věnovat už před 25.5.

V kapitole 7 se podíváme na problematiku ochrany osobních dat jako celku.  Ochrana těchto dat je základní myšlenkou celého GDPR nařízení. A v kapitole 8 si pak řekneme, co dělat, pokud vaši ochranu dat někdo prolomí.

Kapitola 9 je pak věnována tématu sankcí - co se může stát, když GDPR nesplníte. Pomocí GDPR některé firmy straší nesmírně vysokými sankcemi a nabízí certifikaci a poradenství. Většina z těchto strašáků je přehnaná. To ale neznamená, že za nesplnění GDPR nehrozí vůbec žádná sankce.

Do kapitoly 10 jsem si nechal co dělat, když některou oblast zpracování dat (třeba mzdy) svěříte někomu, kdo není váš zaměstnanec. Nebo naopak jste v pozici toho kdo podobné zpracování vykonává pro druhé.

A v kapitole 11 pak celý seriál shrneme do formy několika doporučení.

Poslední kapitola 12 pak je věnována častým otázkám - FAQ, které mi přišly zajímavé, ale jsou už poměrně úzce zaměřené.


Pro koho seriál určen není?

Chci tento seriál udržet co nejjednodušší. Vyloučím tím některé skupiny, které musí plnit náročnější požadavky. Za jakých okolností lze říct, že k tomuto seriálu budete potřebovat další informace (a máte další povinnosti):
  • pokud je vaší hlavní činností rozsáhlé zpracování osobních dat, tedy např. reklamní agentura
  • pokud vámi zpracovávaná data prochází profilingem, např. součástí e-shopu nesmí být pokročilá plně automatizovaná analýza klientů z pohledu nákupních zvyklostí
  • pokud zpracováváte tzv. citlivá data, např. data o zdravotním stavu, členství v odborech, etnickém původu, náboženských a filosofických postojích, politických postojích, trestním rejstříku, genetické nebo biometrické údaje
  • pokud předáváte data do zemí mimo EU

Jaká témata z GDPR úmyslně vynechávám (protože nejsou potřeba)

GDPR upravuje i oblasti, na které v těchto kapitolách necílím. Řeší témata soudů, státních orgánů nebo zdravotnických zařízení. Stát má, z pohledu ochrany osobních dat, v některých případech víc práv, než soukromý subjekt. O detailech práv státu a jeho orgánů se zde nedočtete.

GDPR také řeší téma Zmocněnce pro ochranu osobních údajů (Data Protection Officer). Tato pozice se týká jen organizací konajících masové zpracování dat, nebo zpracování citlivých dat. Nevěnuji se zde tomuto tématu.

A nakonec, GDPR určuje podmínky certifikace, věnuje se činnosti regulátorů (u nás Úřad na ochranu osobních údajů) a jejich vzájemnému vztahu. V současnosti není v ČR nikdo, kdo by byl oprávněn certifikaci provádět, všechny nabídky v tomto směru jsou .... (nenapadá mě nežalovatelný výraz). A troufnu si říct, že pro živnostníky, malé firmy a neziskovsky, jsou všechny certifikace zbytečné a znamenají jen tahání peněz z jejich kapes bez reálného užitku.