Co je GDPR
Nařízení (EU) 2016/679 - Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR). Představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů - fyzických osob.
Co jsou osobní údaje

Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Podstatné pro definici osobního údaje je nutné uvědomění, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.

Zvláštní kategorie osobních údajů (citlivé údaje)

Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci.

Jsou to takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Co je "zpracování" osobních údajů
Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Kdo je správce

Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.

Správcem může být jakýkoli subjekt. Správcem může být i fyzická osoba, pokud zpracovává osobní údaje způsobem, že tento způsob již vylučuje uplatnění výjimky osobní či domácí činnosti, resp. pokud nejde o nakládání s osobními údaji, které ještě nesplňuje definici jejich zpracování.

V případě právnické osoby je správcem daná právnická osoba, nikoli její některý zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů má právnická osoba jako taková.

Přístupem k osobním údajům

se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:

  • účely zpracování
  • kategorie dotčených osobních údajů
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
  • plánovaná doba, po kterou budou osobní údaje uloženy
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku
  • právo podat stížnost u dozorového úřadu
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování

Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle Článek 46, které se vztahují na předání.

Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

Právem získat kopii uvedenou v předchozím odstavci nesmějí být nepříznivě dotčena práva a svobody jiných osob.

GDPR - Obecné nařízení o ochraně osobních údajů

Stručně několik bodů

Více naleznete na https://www.uoou.cz/gdpr%2Dobecne%2Dnarizeni/ds-3938/p1=3938

Je zjednodušeně postaveno na těchto zásadách:

  • zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně, právo subjektu údajů na přístup k osobním údajům, na opravu, resp. doplnění, na výmaz, na omezení zpracování, na přenositelnost údajů, vznést námitku, právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování
  • omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
  • minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány, přesnost - osobní údaje musí být přesné
  • omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
  • integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Právní důvody zpracování osobních údajů subjektu údajů:

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
  • zpracování je nezbytné pro splnění právní (zákonné) povinnosti, která se na správce vztahuje
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů

Zvláštní kategorie osobních údajů (citlivé údaje) má svá další omezení, za kterých je lze zpracovávat.

Osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování. Většinou jedny a tytéž osobní údaje bude zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Ta nastane, až zanikne poslední právní důvod ke zpracování osobních údajů.

Souhlas se zpracováním osobních údajů:

  • je svobodný, konkrétní, informovaný a jednoznačný projev vůle
  • se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát, a na dobu omezenou
  • musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje, tj. musí být oddělený např. od smlouvy či obchodních podmínek - nesmí být jejich nedílnou součástí
  • uzavření smlouvy (např. na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů
  • je odvolatelný - správce je povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu - pokud byl souhlas jediným právním důvodem jejich zpracování, musí je zlikvidovat
  • požadovat jej pouze pro účely, kde není jiný právní ani oprávněný důvod (dle některých vykladačů GDPR ani nesmí být vyžadován, protože by to mohlo být pro subjekt údajů zavádějící - vyvolat klamný dojem použití i pro jiný než právní či oprávněný důvod). Souhlas nemusí být vyžadován je-li důvod například:
    • smluvní - vztahuje se i na dobu sjednání a uzavření kupní smlouvy a následně na záruky nebo služby ze smlouvy vyplývající. Pokud nedojde k uzavření smlouvy, měly by být osobní údaje vymazány, doklady (i elektronické) zničeny nebo anonymizovány.
    • splnění právní (zákonné) povinnosti, která se na správce vztahuje - zákon o účetnictví, zákon o DPH - v těchto případech pozor, které údaje jsou těmito zákony požadovány - telefonní číslo, e-mail adresa apod. by měly být vymazány nebo k jejich zpracování mít souhlas.

Záznamy o činnostech zpracování

Jeden ze základních dokumentů, které umožní správci prokázat soulad s GDPR. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Není stanovena forma těchto záznamů. Nezbytné minimum, co by měly obsahovat, je uvedeno v článku 30 odst. 1:

  • jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích
  • informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
  • je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů
  • je-li to možné, obecný popis technických a organizačních bezpečnostních opatření

Povinnost vést tyto záznamy se nepoužije pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Toto je formulace, která budí značné rozpaky. Náš dozorový úřad doporučuje jejich vedení všem pro prokázání souladu s GDPR.

Dokládání souladu zpracování je komplexní činnost zahrnující dílčí činnosti, mezi které lze zařadit nejen záznamy o činnostech zpracování, kodexy a osvědčení, ale například i zveřejňování informací, které obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.

Zabezpečení osobních údajů

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněný přístup k nim.

Není žádný návod co přesně dělat.

Záleží na činnostech, které s osobními údaji provádíte. Je rozdíl mezi malým živnostníkem, který se vede osobní údaje klientů, obchodní firmou, která obtelefonovává nebo obesílá potenciální zákazníky, nebo účetní firmou nebo hotelem či ubytovnou. Stavební firmy nebo autoservisy mají také jiné účely zpracování osobních údajů.

Pro malé firmy, živnostníky, OSVČ lze jen doporučit

Dodržujte hlavní zásady:

  • Osobní údaje shromažďujte za jasně definovaným účelem a nepoužívejte je k ničemu jinému (pokud svým klientům řeknete, aby vám poskytli svůj e-mail, na který mohou dostávat vaše nové nabídky či reklamy, nemůžete tento e-mail použít k jinému účelu ani jej poskytnout někomu jinému).
  • Neshromažďujte více údajů, než je nezbytně nutné (pokud máte kadeřnictví, potřebujete např. jméno, příjmení a tel.č., ale už nemusíte vědět, zda je svobodná či vdaná) – uvědomte si, jaké osobní údaje máte, jaké by jejich zneužití představovalo pro dotyčnou osobu riziko i vaši vlastní odpovědnost za jejich zneužití.

Jednotlivé kroky, které vám mohou pomoci připravit se na GDPR:

  1. Ověřte si, jaké osobní údaje shromažďujete a zpracováváte, za jakým účelem a na jakém právním základě to děláte.
    • Máte zaměstnance; jejich osobní údaje zpracováváte na základě pracovní smlouvy a na základě zákonné povinnosti (např. vůči FˇU, ČSSZ, zdravotním pojišťovnám).
    • Vedete-li seznam dodavatelů nebo obchodních klientů, činíte tak na základě smlouvy (většinou kupní), kterou jste s nimi uzavřeli.
    • Vedete-li seznam jednotlivých zákazníků, kterým například zasíláte oznámení o mimořádných nabídkách / reklamních akcích, pokud jste k tomu od nich dostali souhlas.
    • Ne vždy potřebujete souhlas. Existují případy, kdy fyzické osoby samy očekávají, že jejich údaje budete zpracovávat. Například jako prodejce možná zpracováváte dodací adresy, na nichž pak objednané zasíláte ale také občas inzerujete některý ze svých nových produktů. Tomu se říká oprávněný zájem. Vaší povinností je informovat fyzické osoby o svém zamýšleném použití jejich údajů a přestat takové údaje zpracovávat, pokud vás k tomu vyzvou.
    • Pokud při tomto ověřování naleznete osobní údaje, ke kterým již nemáte žádný účel ani právní základ (zákazník vámi předloženou nabídku jím vyžádanou nakonec nepřijal, objednané nepřevzal a nezaplatil, pominuly zákonné doby uchování účetních dokladů) pak je vymažte.
  2. Informujte své zákazníky, zaměstnance a další osoby o tom, že jejich údaje shromažďujete.
    Fyzické osoby musí vědět, že jejich osobní údaje zpracováváte a za jakým účelem to děláte. Informovat je však nemusíte v případě, že už vědí, jak jejich údaje budete používat. Jedná se například o situaci, kdy vás zákazník požádá, abyste mu něco doručili. Fyzickým osobám musíte na vyžádání poskytnout informace o osobních údajích, které o nich vedete, a vyhovět jejich dalším právům - právo na opravu nepřesných údajů, právo vznést námitku, např. proti dalšímu zasílání marketingových nabídek, a také právo na výmaz údajů, ale pouze pokud není jiný důvod pro jejich další uchovávání.
  3. Osobní údaje uchovávejte pouze po dobu nezbytně nutnou.
    • Údaje o vašich zaměstnancích: po dobu zaměstnaneckého vztahu a souvisejících zákonných povinností.
    • Údaje o vašich zákaznících: po dobu trvání zákaznického vztahu a souvisejících zákonných povinností (například pro daňové účely).
    • Jakmile pominou všechny účely, pro nějž jste údaje shromažďovali, odstraňte je.
  4. Osobní údaje, které zpracováváte, zabezpečte
    • V systému AdmWin/HotelWin, omezte přístup heslem. Může-li do systému více lidí, nastavte jim přístupové údaje (přihlašovací jméno a heslo) a definujte, k jakým evidencím a funkcím mají přístup.
    • Zpracování osobních údajů centralizujte - neudržujte si je v různých jiných evidencích (např. excel tabulkách) mimo systém.
    • Pravidelně aktualizujte nastavení zabezpečení svého systému windows a antivirového programu.
    • Uchováváte-li fyzické dokumenty s osobními údaji, pak zajistěte, aby k nim neměly přístup nepovolané osoby – zamkněte je v trezoru nebo ve skříni nebo uzamykatelné místnosti, kam nemá nikdo nepovolaný přístup.
    • Máte-li zaměstnance, kteří mají přístup k evidovaným osobním údajům, musíte je zaškolit v oblasti ochrany a zabezpečení osobních údajů.
  5. Veďte si dokumentaci - záznamy o činnostech zpracování
    Připravte si krátký dokument s objasněním, jaké osobní údaje máte v držení a z jakých důvodů je vedete. Může se stát, že tuto dokumentaci budete muset předložit Úřadu pro ochranu osobních údajů, pokud vás k tomu vyzve.
  6. Ujistěte se, že pravidla dodržují i ti, jimž osobní údaje předáváte - zpracovatelé
    Pokud zadáváte zpracovávání osobních údajů jiné firmě (účetní), uzavřete s ní zpracovatelskou smlouvu dle GDPR, ve které se zaváže k dodržování GDPR.
  7. Zjistěte si, zda se vás týkají následující ustanovení:
    • Určit pověřence pro ochranu osobních údajů, aby zajistili jejich lepší ochranu. Pověřence však nemusíte jmenovat, jestliže zpracování osobních údajů není hlavní součástí vašeho podnikání, nejedná se o rizikové zpracování údajů a vaše činnost není rozsáhlá.
    • Posouzení vlivu na ochranu osobních údajů - je vyhrazeno pro ty, kdo vystavují osobní údaje většímu riziku, například provádějí velkokapacitní monitorování veřejného prostoru (videodohled). Jste-li malá firma, která spravuje mzdy zaměstnanců a vede seznam klientů, nemusíte posouzení vlivu na ochranu osobních údajů v případě tohoto zpracování provádět.

Z výše uvedeného je zřejmé, že jen software sám, bez vaší uvědomnělé činnosti v oblasti ochrany osobních údajů dle GDPR, soulad s GDPR zajistit nemůže.

GDPR v ekonomickém systému AdmWin a hotelovém systému HotelWin

Data jsou uložena na discích vašich PC, serverů. My k nim nemáme žádný přístup.

Přístup k nim si zabezpečte pod volbou "Soubor" - "Kontrola přístupu" alespoň heslem. Pokud v systému má pracovat více lidí, nastavte jim přístupové údaje (přihlašovací jméno a heslo) a definujte, k jakým evidencím a funkcím mají přístup. Přihlašovací údaje jsou na úrovni souboru šifrovány. Všechna přihlášení a odhlášení do systému jsou logována.

Zálohy jsou šifrované včetně ochrany přístupu - bez znalosti přístupového hesla, popřípadě přihlašovacích údajů se po jejich obnově v jiné instalaci AdmWin/HotelWin snad nikdo nedostane. Provádění záloh a přenos dat je logováno - je přehled kdy a kdo je prováděl.

Výpisy obsahující údaje o subjektu údajů jsou v adresáři firem, kontaktech a v evidenci pracovníků. Přenositelnost v strojově čitelném kódu je zajišťována standardními exporty dat ve formátech xls, csv, txt.

V souvislosti s náběhem GDPR prověřte jednotlivé fyzické osoby v adresáři firem a kontaktech, zda existují právní důvody pro jejich evidování, zda mají ještě nějaký právní účel. Pokud již ne, pak je vymažte. Doklady, na nichž jsou také evidovány, pravidelně nechávejte vymazat v rámci vlastního jetí roční uzávěrky.