Souhlasím se shromažďováním a zpracováním souborů cookies, které zpracovává společnost Google v souladu se svými Zásadami. Více informací ZDE. Rozumím

GDPR nastavení

Potřebujete zavést GDPR?

GDPR pro nás a naše klienty řeší firma ALDIG www.aldig.cz a máte-li zájem o více informací, kontaktujte paní Danu Sejkorovou

 

Co je GDPR?

GDPR bylo přijato v dubnu 2016, ale vstoupí v účinnost až od 25. května 2018 a představuje nový právní rámec ochrany osobních údajů v evropském prostoru  s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. Charakteristická pro Obecné nařízení je jeho univerzální použitelnost ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska) a tudíž i sjednocující účinek, jelikož jednotná pravidla pro zpracování osobních údajů budou platit v každém státě EU a třech vyjmenovaných. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí Obecného nařízení. Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. Proto GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel a nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Úkolem DPO bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona. V následujících kapitolách najdete srozumitelný úvod do celé problematiky:

Obecné nařízení Evropského Parlamentu a Rady o ochraně osobních údajů č. 2016/679 (GDPR – General Data Protection Regulation) je zákon na ochranu osobních údajů, který vstoupí v účinnost v celé Evropské unii 25. května 2018. Toto nařízení budou muset dodržovat všechny firmy, instituce i jednotlivci působící v EU (ať už sídlí kdekoliv), které shromažďují, analyzují, zpracovávají a uchovávají data o fyzických osobách tj. jakkoliv nakládají s osobními údaji např. zaměstnanců, klientů, zákazníků, dodavatelů, potenciálních zákazníků, pacientů. V České republice toto nařízení nahradí dosud platnou směrnici 95/46/ES a zákon č. 101/2000 Sb., o ochraně osobních údajů. Ze Zákona o ochraně osobních údajů zůstanou po 25. květnu v platnosti jen ta ustanovení, která nejsou GDPR řešena (např. o organizaci Úřadu pro ochranu osobních údajů) nebo která umožňuje GDPR upravit na úrovni jednotlivých států.

Soukromým osobám toto nařízení přinese větší kontrolu nad jejich osobními údaji a naopak organizacím, které osobní údaje shromažďují a zpracovávají, nařizuje nové povinnosti. Jestliže organizace zákon poruší či vůbec nezavede nová nařízení, budou ji čekat nemalé sankce od národních regulátorů (pokuta může činit až 20 milionů Eur nebo 4 % celosvětového ročního obratu organizace). Organizace či instituce (tj. správci a zpracovatelé osobních údajů) také musí v tom případě počítat s případnými žalobami fyzických osob a tím souvisejícími náhradami škod v případě hmotné či nehmotné újmy.

Hlavním dozorovým orgánem pro ochranu osobních údajů byl v ČR doposud Úřad pro ochranu osobních údajů. To zůstane i nadále, ale částečně bude podřízen Evropskému sboru pro ochranu osobních údajů.

 

Co jsou podle GDPR osobní údaje?

Veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě – jméno, datum narození, věk, pohlaví, stav. Mezi osobní údaje nově patří i fotografie, IP adresa, e-mail, cookies, telefonní číslo, IČ, genetické a biometrické údaje (podpis, otisk prstu, fotografie obličeje), informace o zdravotním stavu, náboženském vyznání, sexuální orientaci, majetkových poměrech.

Obecné nařízení vymezuje i tzv. zvláštní kategorii osobních údajů, jedná se o citlivé osobní údaje, jejichž zpracování podléhá mnohem přísnějšímu režimu. Mezi tyto údaje patří: údaje o rasovém či etnickém původu, politických názorech, členství v politických organizacích, náboženském nebo filozofickém vyznání, o zdravotním stavu, sexuální orientaci, trestních činech či pravomocném odsouzení, genetické údaje, osobní údaje dětí. 

Do působnosti GDPR naopak nespadají údaje o zemřelých osobách, anonymizované údaje a osobní údaje zpracovávané pro soukromé účely.

Z daného vyplývá, že i pokud provozujete webovou aplikaci, která eviduje jméno a email člověka, jste už zpracovatelem osobních údajů. Stejně tak, jestliže jste firma, která má třeba jen jednoho zaměstnance, zpracováváte tedy osobní údaje tohoto zaměstnance a musíte se řídit nařízením GDPR.

 

Jaká práva mají soukromé osoby neboli subjekty údajů?

  • právo na přístup k údajům, které jsou o něm shromažďovány – soukromá osoba má právo ověřit si zákonnost zpracování údajů o něm - ideálně on-line formou. Každá osoba má tak např. právo přístupu ke své zdravotní dokumentaci. Osoba má právo být informována o tom, za jakým účelem se jeho osobní informace zpracovávají, jak dlouhou dobu budou uchovávány, jakým subjektům byly nebo budou jeho osobní údaje poskytnuty. Dále má právo vědět, z jakých zdrojů osobní informace o něm evidované pocházejí.
  • právo vznést námitku – jestliže zjistíte, jaké informace o vás subjekt zpracovává a zdá se vám, že některé údaje zpracovává neoprávněně, tj., že nejsou potřebné k účelu, za kterým jsou zpracovávané, můžete vznést námitku proti zpracování. Zpracovatel pak bude muset odůvodnit, proč data zpracovává a jestliže je zpracovává neoprávněně, máte právo na vymazání či právo být zapomenut
  • právo na výmaz svých osobních údajů – soukromé osoby mají právo zažádat o vymazání svých osobních údajů. Případně i právo být zapomenut, pokud neexistují právní důvody pro další zpracování jejich osobních údajů. Právo být zapomenut znamená, že organizace musí vymazat i veškeré odkazy na vaše osobní údaje a všechny kopie. Právo na výmaz lze uplatnit ale jen v tom případě, že už osobní údaje nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány nebo pokud byly zpracovávány protiprávně. Právo na výmaz nelze uplatnit např. pokud se údaje ze zákona musí uchovávat – např. kvůli reklamaci zboží nebo pro účetní účely).
  • právo na opravu chyb ve svých osobních údajích – jestliže máte podezření na nesprávnost vašich údajů, máte právo požádat danou organizaci o opravu údajů
  • právo odmítnout zpracovávání svých osobních údajů – soukromá osoba může vznést námitku proti zpracování svých osobních údajů
  • právo na přenositelnost svých osobních údajů – přenos osobních údajů od jednoho správce ke druhému
  • právo na omezení zpracování - toto právo můžete uplatnit např. v době, než správce údajů opraví chybu ve vašich údajích nebo v případě, že už pominul účel, pro který byly údaje pořízeny, ale jejich odstranění ještě brání nějaké zákonné důvody

 

Jaké povinnosti mají instituce a firmy (správci nebo zpracovatelé osobních údajů)?

Poznámka: např. provozovatel e-shopu je správcem osobních údajů, zatímco poskytovatel e-shopového řešení je zpracovatel osobních údajů. Dalším zpracovatelem osobních údajů bude třeba mzdová účetní či marketingová firma.

  • získat souhlas se zpracováváním osobních údajů – od lidí, kteří vám poskytují své údaje musíte mít souhlas se zpracováním údajů. V případě dětí je třeba získat souhlas od zákonných zástupců.
Pozor: Všechny souhlasy se zpracováním osobních údajů, udělené před začátkem platnosti GDPR je třeba zrevidovat, zda splňují požadavky GDPR, případně požádat o nové souhlasy.
  • jasně upozorňovat na shromažďování údajů – každá organizace musí jasně vysvětlit, proč osobní údaje zpracovává, jak dlouho bude údaje uchovávat, komu bude osobní údaje poskytovat a jestli bude údaje přenášet i mimo EU
  • zpracovávat osobní údaje jen pro daný, výslovně uvedený účel a jestliže účel zpracování pomine, tak údaje zlikvidovat (pokud není např. ze zákona vyžadováno jejich uchování)
  • chránit osobní údaje pomocí adekvátních bezpečnostních opatření (princip zodpovědnost) – Každá organizace musí přijmout opatření, která zabezpečí osobní údaje. Takovými opatřeními mohou být např. šifrování dat, omezení počtu osob, které mají k osobním údajům přístup. Pokud organizace či instituce provádí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatickém zpracování, bude muset vypracovat DPIA (posouzení vlivu na ochranu osobních údajů). To se týká např. bank, finančních institucí, pojišťoven, nemocnic.

Zabezpečení osobních dat v samotném e-shopu za vás vyřeší poskytovatel e-shopového řešení, ale zabezpečení dat mimo e-shop už si musíte ve firmě vyřešit sami.

Sami tvůrci nařízení uvádí, že po žádné firmě nikdo nebude chtít, aby do zabezpečení dat investovala více než je v jejich možnostech. To znamená, že po obchodníkovi, který má roční obrat 2 mil. Kč nemůže nikdo vyžadovat investici do zabezpečení dat, která tuto částku převyšuje.

  • ohlašovat dozorovému úřadu případy porušení zabezpečení osobních údajů – Jestliže zjistíte, že ve vaší organizaci došlo k porušení zabezpečení osobních údajů (tj. ke zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů), jste povinni toto ohlásit Úřadu pro ochranu osobních údajů do 72 hod. od zjištění. Pokud v souvislosti s tímto porušením zabezpečení hrozí vašim zákazníkům významné riziko poškození, jste povinní toto oznámit i zákazníkům.
  • vést a uchovávat záznamy o činnostech zpracování (o aktivitách týkajících se zpracovávání dat) a na žádost dozorového orgánu mu tyto informace zpřístupnit
  • jmenovat pověřence pro ochranu osobních údajů (DPO) – pozor ale, pověřencem nemůže být např. majitel firmy nebo vedoucí IT oddělení, protože by docházelo ke střetu zájmů.
  • zaškolit zaměstnance v oblasti ochrany a zabezpečení osobních údajů
  • auditovat pravidla týkající se zpracování osobních údajů
  • správce osobních údajů (např. e-shop) musí uzavřít se zpracovatelem údajů (např. účetní firmou, marketingovou agenturou, dopravní firmou) písemnou zpracovatelskou smlouvu

Organizace do 250 zaměstnanců, pro něž není zpracování dat hlavní činností a nezpracovávají citlivá data, jsou od některých povinností osvobozeny. Např. pokud zpracovávají osobní údaje pouze nahodile, nemusí vést záznamy o činnostech zpracování. A tady pozor, právě v té podmínce nahodilosti zpracování je kámen úrazu, protože 95% podnikatelů v České republice nezpracovává osobní údaje pouze nahodile.

Pokud takové organizace (do 250 zaměstnanců viz. výše) neprovádí automatizované zpracování ve velkém rozsahu, nemusí jmenovat pověřence pro ochranu osobních údajů.

 

 

Více si rozebereme povinnosti a úkoly, které klade GDPR na provozovatele e-shopů a internetových služeb

Obchodní podmínky a souhlas se zpracováním dat už nesmí být jako jeden dokument

Nyní mají většinou provozovatelé e-shopů souhlas se zpracováním osobních údajů k marketingovému využití, nebo souhlas s předáním osobních údajů třetí straně, či poučení o právech s tím souvisejících, jako součást obchodních podmínek. To však už teď nebude možné. Nyní je třeba obchodní podmínky oddělit.

 

Ničím nepodmíněné udělení souhlasu a každý souhlas samostatně

Zákazník e-shopu bude muset samostatně potvrzovat souhlas s obchodními podmínkami a samostatně souhlas se zpracováním osobních údajů (jestliže účelů zpracování osobních údajů bude více, pak samostatně potvrdit souhlas s každým z účelů zpracování osobních údajů). Takže např. jeden souhlas budete chtít k odběru obchodních sdělení, další souhlas k zasílání informací o soutěžích apod.

E-shop bude většinou tyto souhlasy řešit checkboxem. Ale pozor, tento checkbox nesmí být defaultně zaškrtnut, ani nesmí být jeho zaškrtnutí (tj. souhlas se zpracováním osobních údajů) podmínkou k tomu, aby zákazník mohl nakoupit

 

U souhlasu se zpracováním osobních údajů je doporučen způsob třívrstvého informování

  • 1.vrstva – stručná věta u checkboxu k udělení souhlasu
  • 2.vrstva – odstaveček popisující laickým způsobem, jak bude s osobními údaji nakládáno (např. pomocí informační bubliny zobrazené po najetí myší na checkbox)
  • 3.vrstva – samostatná stránka s plným zněním informací o zpracování osobních údajů – je třeba popsat nejen k čemu budete data využívat, ale i proč je budete využívat právě daným způsobem. Dále je třeba uvést, jak dlouho budete data uchovávat a v neposlední řadě i to, kam se může člověk obrátit, jestliže bude mít pochybnosti o správném nakládání s jeho osobními údaji.

 

Uchovávání záznamů o udělení či zrušení souhlasu

Důležité je též uchovávat souhlasy se zpracováním osobních údajů. Musíte být schopni dané fyzické osobě či dozorovému orgánu doložit konkrétní den a čas, kdy daná osoba souhlas poskytla (včetně přesného znění souhlasu), či datum a čas, kdy daná osoba souhlas zrušila.

 

Kontrola stávajících souhlasů, zda odpovídají GDPR

Veškeré souhlasy, které provozovatel e-shopu získal před 25. květnem 2018 a neodpovídají GDPR bude muset získat znovu nebo tyto osobní údaje odstranit.

 

Kdy nemusíte žádat o povolení se zpracováním osobních údajů a stačí jen upozornit na zpracování osobních údajů?

Pokud e-shop při vytvoření objednávky požaduje pro zákazníkovi pouze údaje nutné pro uzavření kupní smlouvy, nemusíte žádat o povolení se zpracováním osobních údajů, stačí pouze informovat o skutečnosti, že tyto osobní údaje budete zpracovávat a toto upozornění ani nemusí být samostatně, ale může být součástí obchodních podmínek. Lze vyřešit, např. formou checkboxu „Beru na vědomí zpracování osobních údajů“ nebo „Souhlasím s obchodními podmínkami a beru na vědomí zpracování osobních údajů“. Checkbox ale nesmí být předvyplněn. Jestliže ale budete chtít tyto osobní údaje použít pro jiný účel, než pro jaký byly pořízeny, např. pro zasílání newsletteru, musíte už k tomu získat souhlas např. pomocí dalšího checkboxu „Souhlasím se zpracováním osobních údajů pro zasílání newsletteru“. Pokud ale při vytváření objednávky po zákazníkovi požadujete i nějaká další data, která nejsou nezbytná pro uzavření kupní smlouvy (např. věk, pohlaví, datum narození), musíte už požadovat souhlas se zpracováním takovýchto údajů. Jestliže ho nedostanete, data nemůžete do systému uložit.

 

Cookies

Je třeba upravit text cookies na následující znění: „Tento web používá ke správnému fungování a analýze návštěvnosti soubory cookies. Po poskytnutí souhlasu může e-shop ze stejného důvodu také zpracovávat vaše osobní údaje.“ A doplníte tlačítko „Souhlasím se zpracováním“.

 

E-mailový zpravodaj

Když chcete posílat e-mailový zpravodaj, soutěže apod. je třeba také souhlas se zpracováním osobních údajů. Doporučuje se (ale není to nutné) tzv. double opt-in, tj. že zákazník vyplní e-mailovou adresu a přijde mu ještě potvrzovací e-mail a do databáze je zařazen až když tento e-mail potvrdí. Máte pak větší jistotu, že zákazník chce opravdu vaše e-mailové zpravodaje odebírat.

 

 

Máte zájem o řešení GDPR pro živnostníky, malé a střední firmy?

Již nemusíte nic hledat. Všechny potřebné doklady ke GDPR budete mít od nás vždy po ruce v přehledném šanonu. Nabízíme vám balíček služeb, který obsahuje kompletní řešení GDPR pro živnostníky, malé a střední firmy:

  • Reálné provedení kompletní analýzy
  • Analýza osobní bezpečnosti
  • Analýza webů a eshopů
  • Analýza IT systémů
  • Analýza marketingu
  • Analýza dat o zaměstnancích
  • Analýza přístupových práv
  • Analýza předávání dat třetím stranám
  • Analýza monitorovacích systémů
  • Analýza dokumentace
  • Vytvoření souhrnné dokumentace
  • Vzory a dodatky ke smlouvám, Všeobecné obchodní podmínky
  • Souhlasy se zpracováním osobních údajů

 

Vytvořeno na systému PublicMC společností BusinessMC s podporou MediaMC | © PublicMC 2005 - 2018