GDPR - krátké shrnutí pro malé podniky

Co nového GDPR přináší?

• Rozšíření určení, co je osobním údajem

• Právo být „zapomenut“

• Povinnost vést záznamy o činnostech zpracování osobních údajů

• Ustavení pověřence pro ochranu osobních údajů

• Ohlašování případu porušení zabezpečení osobních údajů

• Sankci až 20 mil. EUR

Na koho GDPR dopadá?

Nařízení dopadá na kohokoliv (i mimo EU), kdo shromažďuje nebo zpracovává osobní údaje občanů z EU. Výjimku tvoří zpravodajské služby, zpracování pro soukromé účely (typicky si představme domácí výzkum genealogie, vytvoření soukromého adresáře – pokud tyto údaje nejsou zveřejněny například na sociálních sítích), zpracování za účelem vyšetřování, odhalování a stíhání trestné činnosti.

Je tedy jasné, že GDPR se týká všech subjektů.

Co je osobním údajem?

Osobní údaj je jakákoliv informace, která může identifikovat konkrétní žijící fyzickou osobu. Může se to zdát nepředstavitelné, ale pokud jako jediní budete v místě svého bydliště vlastnit modrý rodinný dům, pak i tento rodinný dům je osobním údajem. Místní vás jednoduše identifikují podle tohoto jedinečného a typického znaku pro vás. Ale to už zacházíme do extrému. Osobní údaje se pak dělí do dvou skupin na obecné a zvláštní. Mezi obecné osobní údaje řadíme:

– Jméno, adresa, pohlaví, věk, datum narození, rodné číslo, místo narození a osobní stav

– Fotografie, video záznam, audio záznam, telefonní číslo, e-mailová adresa

– Číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu, IČ, DIČ

– Vzdělání, kulturní profil

– Mzda, plat, výše důchodu nebo sociálních dávek, údaje o exekuci nebo vaší finanční situaci

– Osobní údaje o vašem partnerovi nebo dítěti

– IP adresa, cookies, informace o pohybu (GPS)

Zvláštním osobním údajem je:

– Sexuální orientace, údaj o etnickém či rasovém původu (národnost)

– Zdravotní stav

– Trestní delikty a pravomocná odsouzení

– Náboženství, politické názory, členství v odborech

– Genetické údaje

– Biometrické údaje (podpis, otisk prstu, snímek obličeje, charakteristika písma apod.)

A co je tedy podnik nově povinen?

Nově tedy musí každý subjekt, který zpracovává (dle nařízení i zapsání či založení) osobní údaje je povinen o tomto vést dokumentaci a hlavně prokázat, že je ve shodě s nařízením. Ideálně by tedy podnikatel měl mít vlastnit šanon, kde bude mít:

1) Analýzu a identifikaci zpracování údajů (zanalyzujete, jaké zpracování osobních údajů provádíte, jak je toto zpracování zajištěno a na jakém právní základě a výsledkem této analýzy by měly být i návrhy na opatření, tak aby byla všechna zpracování ve shodě s GDPR)

2) Dokumenty k posouzení rizik (například, zda zpracovávané osobní údaje jsou zvláštní kategorie, zda jsou zpracovávány automaticky, zda se jedná o rozsáhlé zpracování, zda údaje překračují hranice EU – typicky když máte data uložena v cloudu, jehož server je fyzicky uložen v třetí zemi)

3) Dokumenty prokazující plnění jednotlivých zásad zpracování

4) Záznamy o činnostech zpracování

5) Smlouvy o zpracování osobních údajů

6) Dokumenty prokazující právní základ zpracování (na základě čeho osobní údaje zpracováváte)

Jedná se o krátký výčet, vždy záleží na daném subjektu, co konktrétně zpracovává a v jakém rozsahu. Nezapomeňte však i na další. K osobním údajům musí mít přístup jen velmi omezený počet osob (uzamykatelné skříně), osobní údaje evidované elektronicky musí být také vhodně chráněny (firewall ve vašem počítači, vhodně chráněná počítačová síť), měly byste podniknout kroky, které předejdou porušení zabezpečení osobních údajů (používat šifrování u PC, používat PIN u chytrých telefonů, pokud zasíláte údaje e-mailem mít je zaheslované či zašifrované) apod.

Tip:

Pokud si necháváte zpracovávat mzdy a účetnictví u externí společnosti nezapomeňte mít uzavřenu zpracovatelskou smlouvu, která je stanovena v nařízení GDPR, a která upravuje veškeré činnosti v rámci zpracování osobních údajů u vašeho zpracovatele. Protože pokud dojde k bezpečnostnímu incidentu zapříčiněnému vaší externí účetní jste za tento incident odpovědni jen a jen vy.