GDPR neboli General Data Protection Regulation (tzv. Obecné nařízení na ochranu osobních údajů) je nové evropské nařízení, které vstoupí v platnost 25. května 2018. Tento zákon přináší největší změny v oblasti ochrany osobních údajů za posledních 20 let a spolu s ním jdou ruku v ruce i enormně vysoké pokuty za jeho porušování. Tyto pokuty mohou dosahovat výše 20.000.000 EUR, a je proto dobré se na tyto změny důkladně připravit.

Po nedávné evropské regulaci cookies se jedná o další krok, který má lépe ochránit spotřebitele, po nichž jsou v současné době často vyžadovány velmi detailní osobní údaje.

Ačkoliv s GDPR přichází řada nových nařízení, pro menší a střední firmy se nebude jednat o takovou zátěž, jako pro velké firmy.

Koho se GDPR týká?

Cílem tohoto zákona je primárně ochrana občanů Evropské unie a zamezení neoprávněnému zacházení s jejich osobními údaji. Z tohoto důvodu se GDPR nevztahuje jen na firmy a instituce, ale musí se jím řídit i jednotlivci a online služby. Tedy všichni ti, kteří zacházejí s osobními údaji, a je jedno, zda se jedná o data zákazníků, zaměstnanců, nebo dodavatelů. Důležité je, že se vztahuje i na firmy a služby, které sledují a případně analyzují chování uživatelů na internetu.

Co jsou osobní údaje?

GDPR přesně definuje, co je považováno za osobní údaj. Jedná se o všechny informace, které se vztahují k dané fyzické osobě. Osobní údaje se dále dělí do několika kategorií a jejich kompletní výpis najdete na webu GDPR.

Obecné: Do této kategorie patří například jméno, pohlaví, věk, datum narození, osobní stav, ale také například IP adresa a fotografický záznam a další.

Zvláštní kategorie: Sem spadají mimo jiné informace o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Genetické a biometrické údaje: Zde jsou zohledněny fyzické a fyziologické znaky dané osoby, například otisk prstu a dokonce i podpis.

Jak se na GDPR připravit

Pokud provozujete e-shop nebo webovou službu, nová legislativa pro vás primárně znamená, že budete musíte získat nový souhlas zákazníků se zpracováním jejich osobních údajů. Dále na vás budou kladeny vyšší požadavky na bezpečné uchovávání získaných dat.

„Souhlas bude nutné vyžadovat na několika úrovních – nejen při získávání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje), ale například také při jejich předání partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi.

Dále je důležité, že souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby. Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést. Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů,” uvedl Marketing Journal.

GDPR dále nově zavádí princip tzv. zodpovědnosti. Tuto povinnost detailně vysvětluje web gdpr.cz, podle kterého zmíněný princip spočívá v povinnosti správců a zpracovatelů údajů zavést technická, organizační a procesní opatření.

Opatření pro soulad s GDPR se budou týkat zejména těchto oblastí:

  • Implementace záměrné a nezbytné ochrany dat.
  • Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
  • Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). DPO se může pověřit do funkce např. uzavřením pracovní smlouvy s osobou, která bude tuto funkci vykonávat jako zaměstnanec, uzavřením smlouvy o poskytování služeb pověřence v případě externí služby, jmenovacím dekretem např. u státních institucí.
  • Zavedení tzv. pseudonymizace osobních údajů. Jedná se o proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost.
  • Vedení záznamů o činnostech zpracování.
  • Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.
  • Každý správce a zpracovatel osobních údajů bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Všechny záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Ačkoliv se může zdát, že GDPR se například pro provozovatele e-commerce řešení stane velkou nesnází, stále existuje velká pravděpodobnost, že splnění podmínek půjde zařídit s přijatelnými náklady. Nejasností je stále mnoho a obchodníci by tak měli hledat pomoc především u provozovatelů obchodních platforem nebo zvážit změnu poskytovatelů – což už se může na nákladovosti projevit ve větším měřítku. Větší výzvy se pak dají očekávat u e-commerce platforem spravovaných komunitou a u menších poskytovatelů e-commerce řešení, kde reakce na všechny požadavky může trvat delší dobu.

Zdroje: GDPR, Marketing Journal