Co byste měli vědět o GDPR, pokud podnikáte na Internetu
GDPR (General Data Protection Regulation), česky Obecné nařízení o ochraně osobních údajů, je nařízením Evropského parlamentu a Rady EU, které sjednocuje pravidla pro nakládání s osobními údaji fyzických osob ve všech státech Evropské unie.
Nařízení může být přínosem pro fyzické osoby, protože nařizuje, že s jejich osobními údaji má být zacházeno zodpovědně a slušně, a možná také pro velké nadnárodní firmy, které se už nebudou muset zabývat legislativními rozdíly v ochraně osobních údajů v jednotlivých zemích. Drobným podnikatelům ale nově formulované povinnosti spíše přidělají práci.
Nařízení vstoupí v účinnost ve všech zemích Evropské unie v pátek 25. května 2018 a, pokud jste podnikatelem, institucí nebo právnickou osobou, jeho požadavky se vás týkají. Co byste tedy měli vědět nebo alespoň tušit, abyste si ušetřili případné nepříjemnosti?
Osobní údaje a jejich zpracování
Osobní údaje smíte zpracovávat pouze na základě některého z níže vyjmenovaných zákonných důvodů, jakékoliv jiné zpracování osobních údajů provádět nesmíte, i kdybyste k tomu měli příležitost.
Pojem osobních údajů se v nařízení chápe poměrně široce, osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě – nejen jméno, adresa, email, telefon, ale například i její IP adresa. Zpracováním se pak rozumí prakticky všechno, co s osobními údaji provádíte, bez ohledu na to, zda to děláte automatizovaně nebo ručně. Zpracováním je nejen shromáždění, uložení, pozměnění nebo zpřístupnění osobních údajů, ale už i jejich vyhledání nebo nahlédnutí do nich.
Pokud máte pochybnosti, jestli je něco osobním údajem nebo zpracováním, pak to pravděpodobně osobním údajem nebo zpracováním bude.
Zákonné důvody zpracování
Jako správce osobních údajů (tak nařízení označuje vás, kdo s osobními údaji pracujete) smíte osobní údaje zpracovávat, pokud s tím ten, koho se týkají (nařízení mu říká subjekt údajů), souhlasí. Dále je smíte zpracovávat i bez jeho souhlasu tehdy, pokud je to nezbytné pro splnění smlouvy, pokud je to potřeba pro splnění vám uložené právní povinnosti, a také v případě, pokud je to ve vašem oprávněném zájmu – s tím ale trochu opatrně.
I souhlas má svá pravidla
Osobní údaje můžete zpracovávat se souhlasem subjektu údajů, i to má ale svá přísná pravidla. Především, ještě než souhlas získáte, musíte subjekt údajů – například vašeho zákazníka – informovat o povinných náležitostech, třeba kdo jste vy jako správce nebo za jakým účelem budete data zpracovávat, a také o tom, že svůj souhlas může zákazník kdykoliv v budoucnu odvolat. Udělený souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Pokud tyto podmínky nebude splňovat, považuje se za neplatný.
K udělení souhlasu tedy zejména nesmíte nikoho nutit, třeba tím, že nějakou svou službu podmíníte udělením souhlasu se zpracováním osobních údajů, které k poskytnutí takové služby z vaší strany nejsou nutné. Nastavení pravidel podle modelu „ber nebo nech být“ tedy používat nemůžete, takový souhlas by nebyl považován za svobodný.
Musíte také přesně popsat, s čím subjekt údajů souhlasí – nemůžete si nechat odsouhlasit, že s osobními údaji budete v budoucnu dělat, cokoliv by vás mohlo napadnout, i kdyby byl váš zákazník ochotný takový nekonkrétní souhlas udělit.
Text souhlasu musí být srozumitelný – zákonodárce po vás dokonce výslovně chce, aby byl napsaný s využitím „jednoduchých jazykových prostředků“, což je trochu nefér, protože nařízení samo zrovna není z nejčtivějších.
Souhlas subjektu údajů musí být také zjevným potvrzením jeho vůle, proto musí být souhlas jasně odlišitelný od jiných prvků. Dopsat text souhlasu drobným písmem kamkoliv, kde ho subjekt údajů může přehlédnout, rozhodně ani nezkoušejte.
Kromě toho všeho jako správce údajů budete muset být schopni doložit, že jste souhlas získali, včetně konkrétního obsahu souhlasu. Na to myslete v případě, že budete text souhlasu v průběhu času aktualizovat – u každého zákazníka musíte přesně vědět, kterou verzí textu souhlasu akceptoval.
Souhlasy v praxi
GDPR nikde konkrétně nestanovuje, jak tyto povinnosti máte splnit. Za standardní řešení na webu se v tuto chvíli považuje nezaškrtnutý checkbox se stručným textem vyjadřujícím souhlas se zpracováním osobních údajů, přičemž celé znění tohoto souhlasu je k dispozici po rozkliknutí viditelného odkazu. Předem nezaškrtnutý checkbox přitom zajišťuje, že k udělení souhlasu musel zákazník provést nějakou explicitní akci, kterou svůj souhlas vyjádřil.
Dobrou praxí je také shrnout nejdůležitější body souhlasu hned na začátku jeho textu, případně takový stručný souhrn zobrazit už při najetí myší na odkaz. Teprve poté by měl následovat celý text souhlasu splňující všechny formální náležitosti, který, přiznejme si to, většina zákazníků pravděpodobně do detailu studovat nebude.
Stávající souhlasy, které jste získali před datem účinnosti GDPR, můžete klidně nadále využívat – pokud ovšem splňují všechny náležitosti, které souhlas podle nařízení musí splňovat. Ve většině případů lze bohužel očekávat, že je splňovat nebudou, a vy tak budete muset zákazníky žádat o souhlas nový.
Jiné důvody než souhlas
Osobní údaje bez výslovného souhlasu subjektu údajů můžete zpracovávat také tehdy, pokud je to nezbytné pro splnění smlouvy. Provozujete-li e-shop, který zasílá zboží zákazníkům poštou, je takovým údajem zřejmě zákazníkovo jméno, doručovací adresa a v případě některých doručovacích služeb také jeho telefon. K těmto požadovaným údajům byste ale neměli přibalovat žádné údaje navíc (třeba datum narození), stejně tak je pochybné zpracovávat tyto údaje v případě, že se zákazník rozhodl pro osobní odběr a vy tyto údaje k vyřízení objednávky vůbec nepotřebujete.
Dále smíte osobní údaje bez výslovného souhlasu toho, koho se týkají, zpracovávat také tehdy, je-li to nutné pro splnění nějaké vám uložené právní povinnosti. Pokud vám například zákon ukládá, že všechny faktury a paragony, obsahující i jména vašich zákazníků, musíte archivovat tak či onak dlouho, tak je i podle GDPR archivovat můžete – jinak by to ani nedávalo smysl.
Posledním důvodem ke zpracování údajů bez souhlasu subjektu údajů, který zde zmíníme, jsou tzv. oprávněné zájmy správce. Určitě může být vaším oprávněným zájmem třeba uchovávání osobních údajů zákazníka, se kterým se soudíte nebo chystáte soudit, protože vám nezaplatil za odebrané zboží. Za určitých podmínek může být vaším oprávněným zájmem i využívání osobních údajů stávajících zákazníků v případě přímého marketingu, ale zde už začíná být na místě obezřetnost. Při odvolávání se na oprávněné zájmy správce musíte vždy postupovat opatrně a vždy posuzovat, zda v konkrétním případě nad vašimi zájmy správce nepřevažují zájmy nebo základní práva a svobody subjektu údajů.
Ke všem těmto bodům ještě jedna důležitá poznámka: pokud zpracováváte osobní údaje na základě jiného zákonného důvodu než souhlasu, musíte subjekt údajů před tím, než od něj osobní údaje získáte, informovat o povinných náležitostech, tedy opět kdo jste vy jako správce, za jakým účelem budete data zpracovávat a na jakém právním základě tak budete činit. V praxi to můžete implementovat obdobně jako výše popsaný souhlas, jen namísto „Souhlasím se zpracováním osobních údajů (s odkazem na celý text souhlasu)“ budete zákazník odklikávat „Beru na vědomí informace o zpracování osobních údajů (s odkazem na celou informaci)“.
Může se stát, že například v rámci objednávky budete chtít od zákazníka získat osobní údaje, které jsou nezbytné k jejímu vyřízení, tedy ke splnění smlouvy, a k tomu navíc i další osobní údaje, které vám zákazník může poskytnout dobrovolně. V takovém případě je potřeba, aby zákazník zpracování první části osobních údajů vzal na vědomí, a se zpracováním druhé části osobních údajů souhlasil. Tyto dva prvky nemůžete spojit dohromady. V případě neudělení souhlasu ke zpracování druhé části osobních údajů zákazníkem pak tyto údaje navíc zpracovávat nesmíte, ale pouze vyřídíte zákazníkovou objednávku.
S osobními údaji zacházejte zodpovědně
Se všemi osobními údaji, které zpracováváte, musíte zacházet bezpečně a chránit je před jakýmkoliv zneužitím. GDPR opět neříká, jak přesně to máte udělat, ale ukládá vám povinnost přijmout vhodná technická a organizační opatření. Na co byste si tedy měli dát zejména pozor?
Jedním z rizik jsou přímo Vaši zaměstnanci. Snažte se, aby ti, kteří přístup k osobním údajům vašich zákazníků ke své práci nepotřebují, takový přístup vůbec neměli. Ty ostatní by pak měli být smluvně vázání povinností mlčenlivosti. I smluvně vázaný zaměstnanec ale může selhat, což bude nakonec váš průšvih, snažte se proto pokud možno vybírat svoje zaměstnance tak, abyste toto riziko minimalizovali.
Další nebezpečí pro osobní údaje mohou představovat vámi provozované internetové aplikace, jako třeba váš vlastní e-shop. Pokud máte roky neudržovanou aplikaci, nestaráte se nijak o bezpečností aktualizace, programoval vám ji kdysi někdo podle návodů pro samouky a nebo máte jiný důvod pochybovat o úrovni jejího zabezpečení, sankce stanovené nařízením za incidenty s osobními údaji pro vás mohou být další motivací tento stav řešit.
Zranitelnosti své internetové aplikace zřejmě sami neposoudíte, ale bezpečnost protokolu, kterým vaše aplikaci komunikuje s vašimi zákazníky, sami posoudit můžete. Starší nezabezpečený protokol http umožňuje odposlechnutí komunikace vašeho klienta a vaší aplikace po cestě, Komunikace čehokoliv důvěrného by proto měla probíhat prostřednictvím novějšího a zabezpečeného protokolu https. Pokud máte někde přihlašovací formulář s polem pro zadání hesla nebo jakýkoliv výpis s osobními údaji na stránce, jejíž adresa nezačíná https, je nejvyšší čas s tím něco udělat. (Psali jsme: Data jako v trezoru díky SSL certifikátu. Máte ho?)
Bezpečnost osobních údajů můžete ohrozit i na jiných místech, kde provádíte jejich zpracování. Zamyslete se, zda na váš pracovní počítač nemají přístup vaše děti a jejich kamarádi, zda se osobní údaje, ať už klientů či vašich zaměstnanců, neválí v nezamčených skříních někde na chodbě nebo jestli informace o starých objednávkách a klientech nevyhazujete do kontejneru na papír před domem.
Nezapomínejte také na to, že osobní údaje subjektů údajů jako jejich správci nezpracováváte většinou úplně sami, ale na jejich zpracování se mnohdy podílejí i další firmy (nařízení jim říká zpracovatelé). Příkladem budiž vaše účetní, která má spoustu informací o vašich zaměstnancích, nebo váš správce webového serveru, jenž má možnost zjistit údaje o vašich zákaznících v databázi vašeho e-shopu. Podle nařízení smíte využívat služeb jen těch zpracovatelů, kteří poskytují dostatečné záruky, že s poskytnutými osobními údaji budou zacházet v souladu s GDPR. Tyto záruky je vhodné zajistit i smluvně (třeba jako dodatek stávajících smluv), a to i včetně nastavení případných sankcí.
A v neposlední řadě si dávejte pozor i na nebezpečí sociálně inženýrských technik a proškolte o něm své zaměstnance. Máte nastavené pravidla a procesy tak, abych se opravdu nedozvěděl, co nemám, pokud vašim zaměstnancům zavolám a budu přesvědčivě předstírat, že jsem zákazník, který si potřebuje ověřit, jestli správně uvedl svou dodací adresu?
Pokud by se vám přece jen nepodařilo všechno uhlídat a došlo k nějakému porušení zabezpečení osobních údajů, jste povinni to bez zbytečného odkladu, nejdéle však do do 72 hodin, sami nahlásit dozorovému úřadu (u nás Úřadu pro ochranu osobních údajů).
Další práva subjektů údajů
Nařízení formuluje také několik dalších práv subjektů údajů, ze kterých si popíšeme jen některá. Pokud po vás bude váš zákazník v této věci něco chtít, zjistěte si raději dříve, než ho odmítnete, nejste-li povinni mu vyhovět.
Už jsme zmínili právo zákazníka jednou udělený souhlas se zpracováním svých údajů kdykoliv odvolat. Pokud to udělá, nesmíte na základě uděleného souhlasu zpracovávané osobní údaje dále používat a nezbude vám, než je smazat. Údajů, pro které nadále existuje ještě nějaký jiný zákonný důvod zpracování, třeba nezbytnost pro splnění smlouvy, se to ovšem netýká, ty potřebujete a tedy také můžete zpracovávat dál.
Dalším právem zákazníka je také právo na přístup ke shromážděným osobním údajům, které o něm zpracováváte. Pokud o to zákazník požádá, musíte mu poskytnout kopii jeho osobních údajů. Jen v případě, že by tohoto práva nadužíval, smíte mu účtovat přiměřený poplatek podle svých administrativních nákladů.
Speciálním případem je tzv. právo na přenositelnost, tedy právo zákazníka získat všechny svoje údaje a odnést si je k jinému správci, i kdyby to byla vaše konkurence. Za tímto účelem musíte zákazníkovi poskytnout jeho data ve strukturovaném, běžně používaném a strojově čitelném formátu. Přesný formát není nařízením stanoven, je ale zřejmé, že se nesmíte jakkoliv snažit házet zákazníkovi klacky pod nohy.
Pokud vámi provozované internetové aplikace neposkytují funkcionalitu, abyste mohli výše uvedeným právům snadno vyhovět, je na vás, abyste si vyhodnotili, jak velká je pro vás administrativní zátěž vyřizovat tyto žádosti ručně a nakolik je pro vás výhodnější nechat tuto funkcionalitu do svých aplikací doplnit.
Bojíte se? Bojte se!
Všichni, kdo vás chtějí prostřednictvím GDPR strašit, svoje články odstavcem o sankcích začínají, my kapitolkou o tomto tématu skončíme. Abyste byli motivováni nařízení dodržovat, schválil zákonodárce pochopitelně také sankce za jeho porušování. Kromě pokut, jejichž horní hranice je nastavena bez přehánění astronomicky vysoko – a to úmyslně, aby pokuty citelně bolely i velké nadnárodní společnosti – vám od dozorového úřadu může hrozit i napomenutí (v tom lepším případě) nebo nařízené pozastavení zpracování údajů.
Ačkoliv se o výši pokut často píše jako o likvidační, nařízení chce, aby byly nejen odrazující, ale také přiměřené – jak bude jejich udělování vypadat v praxi v našem prostředí, se ale pochopitelně ukáže až časem. Už méně se ale píše o hrozbě sankce spočívající v pozastavení zpracování. Jestliže vám úřad kvůli vašemu prohřešku zakáže provádět, byť dočasně, zpracování osobních údajů, pro jakýkoliv byznys, který se bez takového zpracování neobejde, to může být jeho konec.
Zajímejte se
Pokud si netroufáte řešit úkoly spojené se zavedením GDPR sami, obraťte se na odborníky, kteří vám se splněním všech povinností stanovených tímto nařízením pomohou. Určitě ale budete mít velkou výhodou, pokud o GDPR budete sami něco vědět nebo alespoň tušit, a vyvarujete se tak neefektivních výdajů.
Další zdroje
Informace o GDPR na stránkách Úřadu na ochranu osobních údajů
https://www.uoou.cz/gdpr%2Dobecne%2Dnarizeni/ds-3938/p1=3938
Úplné znění GDPR v češtině
http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32016R0679
