GDPR – co je směrnice GDPR, vzory
7 minut čtení
General Data Protection Regulation (GDPR) neboli Obecné nařízení o ochraně osobních údajů je nedávno vydaná směrnice Evropské unie. Jedná se o ucelený soubor pravidel na ochranu osobních dat fyzických osob v celé Evropské unii, který navíc sjednocuje zákonitosti související s osobními daty ve všech státech EU. Koho se GDPR týká a jaké kroky ho čekají?
Evropská směrnice GDPR nabyla účinnosti k 25.5.2018 a k tomuto datu museli mít všichni, kterých se to týká, povinnosti související se zavedením GDPR splněné.
Povinnosti vyplývající z GDPR se týkají všech, kteří nějakým způsobem zpracovávají nebo shromažďují osobní data občanů.
Díky tomu má povědomí o tom, co je GDPR, pravděpodobně skoro každý. V posledních několika měsících se totiž evropská směrnice skloňovala ve všech pádech. Dopad na české firmy a instituce byl obrovský a každý se musel se zavedením konkrétních pravidel poprat.
Vliv to pochopitelně mělo i na osoby, které teprve zvažovaly založení firmy a musely tak zahrnout pravidla GDPR do svých budoucích kroků.
Integraci povinností vyplývajících z nařízení do praxe v rámci svého oboru museli řešit lékaři, soukromé firmy, státní instituce, školy, banky, zkrátka skoro všichni.
Proč vzniklo Nařízení o ochraně osobních údajů?
GDPR nahrazuje směrnici z roku 1995. To samo o sobě odpovídá na otázku, proč vzniklo nařízení nové. Více jak 20 let stará směrnice už byla značně zaostalá a neodrážela současný stav a technologie, které s osobními údaji mají něco společného. Řeč je pochopitelně mimo jiné o sociálních sítích, cloudových úložištích a podobných technologiích, které před více jak 20 lety neexistovaly.
Požadavky z GDPR
Jak již bylo řečeno, cílem evropské směrnice je posílení ochrany osobních údajů fyzických osob v rámci celé EU. Opatření vyplývající z GDPR však museli zavést také ty společnosti a instituce, kteří sice stojí mimo hranice Evropské unie, nicméně na evropském trhu působí. Jedině za předpokladu zahrnutí těchto subjektů se může jednat o maximální ochranu osobních dat.
Velký důraz směrnice GDPR nedává jen na samotnou aplikaci pravidel, ale především na jasnou doložitelnost platnosti a dodržování nařízení po celý proces, kdy dochází ke zpracovávání a uchovávání osobních údajů fyzických osob.
Po všech zainteresovaných subjektech, tedy po takových institucích, které spravují nebo zpracovávají osobní údaje, GDPR požaduje tzv. princip zodpovědnosti.
Princip zodpovědnosti spočívá v povinnosti těchto subjektů zavést taková organizační, technická nebo procesní opatření, která by dokládala soulad s principy evropské směrnice.
Velmi přehledně shrnuje zásady GDPR Úřad pro ochranu osobních údajů na svých webových stránkách:
- zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů (= osoba, o jehož údaje se jedná) transparentně a korektně,
- omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
- minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
- přesnost – osobní údaje musí být přesné,
- omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektů údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
- integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.
Co všechno patří do osobních údajů?
Osobní údaje GDPR specifikuje jako veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě.
Mezi obecné osobní údaje pochopitelně patří:
- jméno,
- věk,
- pohlaví,
- datum narození,
- rodinný stav,
- ale například také IP adresa nebo fotografie. Není tak možné třeba hledání lidí podle fotky.
Specifická skupina osobních údajů zahrnuje také informace o náboženství, zdravotním stavu, politickém názoru, sexuální orientaci, rasovém nebo etnickém původu apod.
Mezi citlivé údaje lze zařadit genetické a biometrické údaje a údaje, které se týkají dětí. Pro tuto skupiny osobních dat GDPR zavádí ještě přísnější režim pro jejich zpracovávání a uchovávání. Nutno dodat, že mezi biometrické údaje se řadí také podpis.
Zabezpečení osobních údajů
Kromě jasných pravidel pro zpracovávání a uchovávání osobních údajů se GDPR zaměřuje také na jejich zabezpečení proti možnému zneužití. Přímo na mikrowebu https://gdpr.uoou.cz/, který Úřad pro ochranu osobních údajů v souvislosti s GDPR zřídil, se uvádí příklady zabezpečení pro data v listinné i elektronické podobě:
Osobní údaje musí být odpovídajícím způsobem zabezpečeny i při jejich přenosu elektronickou cestou. V některých případech je tak vhodné zvolit bezpečnější formu přenosu informací, např. jejich šifrováním.
Nová práva pro občany
Obecné nařízení o ochraně osobních údajů se staví především na stranu občana a zavádí tak mnoho nových práv v jeho prospěch.
Každý občan by měl mít přístup ke svým osobním údajům, ideálně napřímo a on-line. To mimo jiné obnáší také možnost si ověřit, zda je s jejich osobními daty nakládáno zákonně. Každý má mít podle GDPR také právo na výmaz svých dat a to v takových případech, kdy k jejich držení již není právní důvod.
Správce osobních údajů nyní musí bez zbytečného odkladu vymazat data konkrétního občana, pakliže:
- osobní údaje už pro prvotní účel nejsou potřeba,
- občan odvolá svůj souhlas se zpracováním osobních údajů (nebo vznese námitku),
- osobní data byla zpracována protiprávně,
- pokud se osobní údaje týkají dětí a správce nemá rodičovský souhlas.
Správci navíc musí osobní údaje spravovat v takové podobě, aby byly snadno přenositelné (například aby si zdravotní dokumentaci mohl člověk snadno a bez průtahů „přenést“ k jinému lékaři).
Zátěž pro firmy
Povinnost zavést opatření v souladu s GDPR se stala strašákem pro mnoho podnikatelů. Dotýkalo se to především menších firem, které nemají kvalifikovaná právní oddělení a integraci požadavků z GDPR řešily prakticky „na koleně“.
Naopak u větších firem se právní oddělení věnovala vlivu GDPR na firmu podobně intenzivním způsobem, jako například při integraci nového občanského zákoníku.
V některých případech byl výklad samotné směrnice s ohledem na konkrétní případy nejednoznačný a o to byl celý proces integrace do vnitřních koncepcí firmy těžší.
Mnohé firmy proto raději využily draze placených odborných konzultací, auditů nebo školení GDPR, které firmám pomohly adaptovat firemní procesy, dokumentaci a systémy do podoby souladu s evropskou směrnicí. Pro absolutní jistotu, že jsou všechny kroky aktuálně nastaveny správně, si společnosti a instituce mohly u odborných firem objednat také evropskou GDPR certifikaci.
Vzory související s GDPR
S aplikací pravidel směrnice GDPR do firemních procesů souvisí mnoho dokumentů. Vzhledem ke skutečnosti, že ne každý má možnost si tyto listiny vytvořit sám, nabízejí specializované firmy šablony a vzory směrnice GDPR. Obvykle se jedná o balíček vzorů, pořízení vyjde v minimalistickém rozsahu na několik tisíc korun, v maximalistické variantě se může jednat o desítky tisíc korun.
Jaké vzory směrnice GDPR se například nabízí?
- Souhlas se zpracováním osobních údajů,
- Zpracovatelská smlouva,
- Ohlášení a oznámení porušení zabezpečení,
- Příkazní smlouva o vykonávání funkce pověřence pro ochranu osobních údajů,
- Souhlas zaměstnance se zpracováním osobních údajů,
- Vnitřní směrnice GDPR apod.
Základní šablony a vzory GDPR směrnice lze stáhnout na internetu i zdarma.
Souhlas se zpracováním osobních údajů
Jakýkoliv subjekt musí mít alespoň jeden právní důvod k tomu, aby mohl zpracovávat osobní údaje. Pakliže ho nemá, může svolení řešit prostřednictvím podepsaného souhlasu se zpracováním osobních údajů.
Nutno říct, že v praxi mnoho firem má právní důvod ke zpracovávání dat, a přesto požaduje podpis na zmiňovaném souhlasu. V takovém případě je však souhlas se zpracováním osobních údajů nadbytečný.
Pro souhlas se zpracováním osobních údajů platí tyto hlavní zásady:
- Každý občan musí mít na výběr, zda souhlas poskytne, či nikoliv. Pakliže se rozhodne jej neudělit, nemělo by mu to způsobit žádné negativní následky. Udělení nebo neudělení souhlasu nesmí mít vliv na poskytnutí služby.
- Každý občan uděluje souhlas pro jeden nebo více konkrétních účelů. Pro každý konkrétní účel má právo se rozhodnout, zda souhlas poskytne nebo ne.
- Před samotným podepsáním souhlasu musí být každý občan informován, k čemu souhlas poskytuje, v jakém rozsahu o něm budou údaje zpracovány a musí být poučen o tom, že lze souhlas odvolat.
Ten, kdo osobní údaje spravuje a zpracovává, pak musí zajistit, aby odvolání souhlasu bylo pro každého občana bezproblémové a nepředstavovalo pro něj nějaké komplikace.
Souhlas se zpracováním osobních údajů se typicky využívá v těchto případech:
- zasílání newsletterů,
- zpracování osobních údajů v rámci marketingových soutěží,
- evidence životopisů uchazečů o zaměstnání apod.
Vzor souhlasu se zpracováním osobních údajů je možné po chvilce hledání stáhnout z internetu, ale většinou se jedná o zpoplatněnou verzi.
Obrovské sankce při nedodržování pravidel
Aby nebylo na pochybách, že je potřeba GDPR brát opravdu vážně, jsou pro případ porušování stanovených pravidel platné obrovské sankce.
Maximální výše pokuty činí závratných 20 milionů eur nebo 4 % z celkového ročního obratu společnosti (podle toho, jaká částka je vyšší).
Tato sankce navíc může být udělena jak společnosti se třemi tisíci, ale také jen se čtyřmi zaměstnanci. Pro naprostou většinu firem by bylo vyplacení takto vysoké částky fatální. Nicméně, není potřeba panikařit. Postoj Úřadu pro ochranu osobních údajů ke GDPR a celé související situaci je rozumný.
Rozhodně se nyní není třeba obávat hromadné likvidace firem kvůli udělování sankcí.
Poslední aktualizace: 28. 01. 2022
Michal Hardyn
Již od roku 2008 sepisujeme užitečné články na nejrůznější témata - od půjček a financí až po pojištění nebo cestování. Za cíl si klademe informovat naše čtenáře co nejsrozumitelnějším způsobem - pomoci jim ušetřit peníze, získat přehled nad daným tématem či jim poradit s jejich situací.