GDPR: Opravdu chráníte osobní údaje správně? Nepřijde pokuta?

Již 6 let funguje vEU nařízení, které řeší zásady ochrany osobních údajů neboli GDPR. Je to takový symbol evropských nařízení a svého času bylo velice horkým tématem. Dnes už je to běžná součást života nás všech a pojem GDPR znají jak spotřebitelé, tak firmy. Víte ale, jaké přesně máte jako firma povinnosti a kdy se tímto nařízením musíte začít řídit?

Obecné nařízení o ochraně osobních údajů (GDPR)

Jedná se o legislativní rámec, který byl zaveden v Evropské unii (EU) s cílem posílit ochranu dat občanů a dát jim větší kontrolu nad tím, jak jsou jejich osobní údaje zpracovávány. GDPR vstoupilo v platnost 25. května 2018 a nahradilo předchozí směrnici o ochraně osobních údajů z roku 1995. Toto nařízení je závazné pro všechny členské státy EU a vztahuje se na všechny organizace, které zpracovávají osobní údaje občanů EU, bez ohledu na to, kde se tyto organizace nacházejí.

Klíčové principy GDPR

1. Právní základ pro zpracování
2. Odpovědnost a transparentnost
3. Zabezpečení údajů
4. Oznamování porušení ochrany údajů
5. Práva subjektů údajů

Co je to vlastně osobní údaj?

Je to údaj, kterým můžeme identifikovat konkrétní osobu. Mezi osobní údaje se řadí například emailová adresa ve formě jména příjmení@firma.xy, číslo občanského průkazu, lokalizační údaje nebo třeba IP adresa. Naopak mezi osobní údaje nepatří například registrační číslo společnosti a emailová adresa ve formátu info@firmy.xy.

V jaký moment jsem jako firma povinen chránit údaje?

Ve chvíli, kdy jako firma příjmu některé z těchto údajů a uložím si je. Přijmout je mohu jak veřejně, tak neveřejně. Neveřejný údaj dostanu třeba z vizitky, emailu, kontaktů v telefonu a smluv. Veřejně naopak dle formulářů nebo obecně z webu, kde vybízím, aby třeba odebírali náš newsletter, zákazníci nás kontaktovali na náš email apod.

Pozor na webu

Pokud sbíráte údaje pomocí formulářů od návštěvníků na vašem webu, musíte na webu mít tzv. Zásady ochrany osobních údajů a „checkbox“, kde mohou návštěvníci zaškrtnout, zda s tím souhlasí, nebo nikoli. Dále je nezbytnou součástí, aby v patičce na webu bylo zmíněné, kdo je majitelem webu, komu data poskytuje, co s nimi dělá a jaká entita je zpracovává. Dejte si ale pozor, protože pokud formulář nemáte, ale sbíráte data například z Google analytics nebo pro remarketing, musí s tím uživatelé také souhlasit, než začnete tato data sbírat. Toho docílíte za použití tzv. cookies lišty.

Novinky za 6 let od zavedení

Právní rámec prošel od roku 2018 řadou změn a aktualizací. Šlo třeba o:

• Vyjasnění a rozšíření pokynů, kdy se vydala řadu pokynů a doporučení, aby vyjasnily některé aspekty GDPR a pomohly organizacím s jeho implementací. Například Cookies a sledovacích technologií, posouzení dopadů na ochranu údajů (DPIA) a mezinárodního předávání dat.
• Schválení nových standardních smluvních doložek, kdy Evropská komise v roce 2021 schválila nové standardní smluvní doložky (Standard Contractual Clauses, SCCs).
• Aktualizace a harmonizace v rámci členských států

A stále se vyvíjí, aby odpovídalo měnícím se technologickým a společenským podmínkám. Takže je velmi pravděpodobné, že i v dalších letech dojde k řadě změn vzhledem k novým výzvám.

Jaké jsou dopady GDPR a naopak přínosy

Dopad je na organizace po celém světě, protože firmy musely přehodnotit své postupy a zpracovávání dat a zároveň zavést nové procesy a systémy v souladu s GDPR. Nedodržení těchto požadavků je přísně pokutováno, kdy pokuty mohou dosáhnout až 20 milionů eur nebo 4 % celosvětového ročního obratu společnosti, podle toho, která hodnota je vyšší.

Přínosy má naopak pro občany EU zejména ve větší transparentnost a kontrolou nad jejich osobními údaji. Lidé tak ví, jak jsou jejich údaje zpracovávány, kdo je zpracovává a mají více možností, jak to ovlivnit, případně dokonce i odmítnout souhlas s jejich zpracováním.

Závěrem

I přesto, že GDPR přineslo pro mnoho organizací výzvu ne v pozitivním slova smyslu, pro jednotlivce přineslo zvýšenou ochranu a kontrolu nad osobními údaji. V dnešní digitální době jsou data ten nejcennější zdroj, a proto je nezbytné je chránit a zajistit důvěru a bezpečnost na internetu.