GDPR (General Data Protection Regulation) je nařízení Evropské unie o ochraně osobních údajů, které vstoupilo v platnost v květnu 2018. Stanovuje pravidla pro shromažďování, zpracování a uchovávání osobních údajů občanů EU. Pro podnikatele znamená GDPR soubor povinností při práci s daty zákazníků, zaměstnanců a obchodních partnerů. Porušení může vést k pokutám až do výše 20 milionů eur nebo 4 % celosvětového obratu.
Zákonnost, korektnost a transparentnost vyžadují, abyste měli právní důvod pro zpracování údajů a informovali subjekty o tom, jak jejich data používáte. Nemůžete sbírat data „pro jistotu” – potřebujete konkrétní účel a právní základ.
Účelové omezení znamená, že data smíte používat pouze pro účel, pro který byla shromážděna. Email získaný pro doručení objednávky nemůžete automaticky použít pro marketing bez dalšího souhlasu.
Minimalizace údajů říká, že máte sbírat pouze data nezbytná pro daný účel. Nepotřebujete datum narození zákazníka e-shopu, pokud neprodáváte alkohol nebo jiné věkově omezené zboží.
Přesnost vyžaduje udržování dat aktuálních a správných. Subjekty mají právo na opravu nepřesných údajů.
Omezení uložení určuje, že data nemáte uchovávat déle, než je nutné. Po splnění účelu byste měli data smazat nebo anonymizovat.
Integrita a důvěrnost vyžadují přiměřené zabezpečení dat proti neoprávněnému přístupu, ztrátě nebo poškození.
Souhlas subjektu je nejznámější, ale ne jediný právní základ. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Předem zaškrtnutá políčka nebo skrytý souhlas v obchodních podmínkách nestačí. Souhlas lze kdykoliv odvolat.
Plnění smlouvy umožňuje zpracovávat data nezbytná pro dodání objednaného zboží nebo služby. Pro doručení zásilky potřebujete adresu – k tomu nepotřebujete zvláštní souhlas.
Právní povinnost pokrývá zpracování vyžadované zákonem. Uchovávání účetních dokladů, daňové povinnosti, pracovněprávní evidence – to vše má právní základ v legislativě.
Oprávněný zájem správce může být základem pro některé zpracování, pokud nepřeváží zájmy subjektu. Typicky přímý marketing existujícím zákazníkům. Musíte ale provést test vyváženosti a umožnit jednoduché odmítnutí.
Právo na přístup umožňuje subjektu získat informace o tom, jaká data o něm zpracováváte, za jakým účelem a komu je předáváte. Musíte odpovědět do jednoho měsíce.
Právo na výmaz (právo být zapomenut) umožňuje požadovat smazání dat, pokud již nejsou potřebná, souhlas byl odvolán nebo zpracování je nezákonné. Existují výjimky – právní povinnosti, obhajoba právních nároků.
Právo na přenositelnost umožňuje získat data ve strojově čitelném formátu a předat je jinému správci. Relevantní zejména pro online služby.
Právo vznést námitku proti zpracování založenému na oprávněném zájmu, včetně profilování a přímého marketingu.
Informační povinnost vyžaduje srozumitelně informovat subjekty o zpracování jejich údajů. Zásady ochrany osobních údajů (privacy policy) na webu, informace při sběru dat, informace pro zaměstnance.
Evidence zpracování je povinná pro firmy nad 250 zaměstnanců nebo při rizikovém zpracování. I menší firmy by měly mít přehled o tom, jaká data zpracovávají, proč a jak dlouho.
Zabezpečení dat přiměřené riziku. Hesla, šifrování, přístupová práva, zálohování, školení zaměstnanců. Úroveň zabezpečení závisí na citlivosti dat.
Ohlašování incidentů – narušení bezpečnosti osobních údajů musíte oznámit Úřadu pro ochranu osobních údajů do 72 hodin a v závažných případech i dotčeným subjektům.
Zpracovatelská smlouva je povinná, pokud data zpracovává externí subjekt (účetní, poskytovatel cloudu, marketingová agentura). Smlouva definuje podmínky a odpovědnosti.
Pověřenec pro ochranu osobních údajů (DPO) je povinný pro orgány veřejné moci a firmy systematicky zpracovávající citlivá data ve velkém rozsahu. Pro běžné podnikatele není povinný.
GDPR nezakazuje marketing. Můžete posílat obchodní sdělení existujícím zákazníkům na základě oprávněného zájmu. Pro nové kontakty potřebujete souhlas. Vždy musíte umožnit odhlášení.
Cookie lišta není totéž co GDPR compliance. Cookies řeší směrnice ePrivacy. GDPR se týká osobních údajů obecně. Obojí ale spolu souvisí, protože cookies často sbírají osobní údaje.
Souhlas není vždy nejlepší základ. Souhlas lze odvolat, což komplikuje zpracování. Pokud máte jiný právní základ (smlouva, oprávněný zájem), použijte ho.
GDPR není jednorázový projekt, ale průběžná povinnost. Integrujte ochranu dat do běžných procesů – při zavádění nových služeb, marketingových kampaní, výběru dodavatelů. Dokumentujte své postupy a rozhodnutí. A pamatujte, že GDPR chrání nejen subjekty údajů, ale i vás – transparentní zacházení s daty buduje důvěru zákazníků.
« Zpátky na Slovník pojmůObjevili jste v článku nepřesnosti, nebo byste ho naopak chtěli doplnit? Napište mi!