Právo 

GDPR v praxi aneb 11 rad a upozornění, jak vyzrát nad nařízením o ochraně osobních údajů

GDPR neboli obecné nařízení o ochraně osobních údajů bylo jedním z nejdiskutovanějších témat loňského roku. Jeho povinnému zavedení do praxe, k němuž došlo v květnu 2018, předcházely bouřlivé debaty, důkladné přípravy dotčených subjektů i nejistota, jaké praktické důsledky toto opatření přinese. Na konci minulého roku jsme na pracovní snídani zhodnotili prvních šest měsíců od zavedení GDPR. A vybrali jsme 11 nejzajímavějších rad a upozornění, které vám pomohou zjistit, jestli jsou vaše kroky v souladu s tímto nařízením nebo co je potřeba udělat pro to, aby byly.

1. Vstupní analýza

Získat od firem veškeré relevantní informace, to je první důležitý krok pro správnou implementaci GDPR opatření. „S většími společnostmi se potkáváme, hovoříme s nimi a vyptáváme se, jaké údaje shromažďují, za jakým účelem a v jakých systémech,“ vysvětluje Ján Kuklinca, advokát z Deloitte Legal, a dodává: „Menší společnosti někdy preferují úspornější variantu zjišťování stavu formou odpovědí na dotazníkové otázky. Třetí variantou je pak kombinace obou předchozích možností.“ Na základě takto získaných údajů pak Deloitte předkládá klientům svoje doporučení.

2. Dokumentaci pro fyzické osoby je důležité psát srozumitelně

Texty často píšou právníci, věty jsou složité a dlouhé, někdy i na deset řádků. Firmy by se ale měly snažit vyjadřovat stručně a předávat informace srozumitelně. „Na začátku je vhodné uvést shrnutí, aby bylo jasné, že se společnost snaží být transparentní. Zkuste se vcítit do adresáta, aby pro něj byla informace pochopitelná. Vhodná forma je třeba také použití obrázků a piktogramů. V případě souhlasů by lidé zkrátka měli vědět, čemu se upisují,“ radí Martina Heřmanová, advokátka Deloitte Legal.

3. Rozdělení dokumentace pro každou kategorii zvlášť

„Doporučujeme rozdělit informace o zpracování pro každou kategorii fyzických osob zvlášť – tedy zejména pro zákazníky, dodavatele a v rámci HR,“ uvádí Ján Kuklinca. Vždy je vhodné uzpůsobit formát „privacy policy“ (zásady/informace ochrany osobních údajů) tomu, jak s danými skupinami společnost komunikuje a kdy s nimi přijde do styku.

4. Záznamy o činnostech zpracování

Dokument se záznamy o činnostech zpracování osobních údajů by měl dnes už mít každý správce. Forma není striktně stanovena, záleží například na velikosti společnosti. Důležité je to, aby zde byly zaznamenány veškeré činnosti, které daná společnost vykonává. „I Úřad pro ochranu osobních údajů tento dokument považuje za jakýsi svatý grál, je to pravděpodobně první dokument, na který se v případě kontroly podívá,“ uvádí Martina Heřmanová a dále upozorňuje na nutnost neustále tyto záznamy aktualizovat.

5. Vnitřní předpisy správce

Je naprosto zásadní, aby měl každý správce nastaveny vnitřní předpisy pro zacházení s osobními údaji. Všichni zaměstnanci by měli vědět, jak nakládat s osobními údaji, na koho se v dané společnosti v případě nejasností obrátit nebo jak řešit případné bezpečnostní incidenty. „Doporučujeme také zavedení skartačního nebo spisového řádu a plánu,“ říká Martina Heřmanová a dodává: „Něco takového spousta firem nemá, ačkoliv potřeba pravidel, jak se zbavovat fyzických, ale i datových dokumentů, jak je archivovat a spravovat, plynula už z českých právních předpisů ještě před účinností GDPR.“

6. Jaká organizační opatření dále zavést?

Aby zaměstnanci znali všechna opatření související s GDPR, je vhodné uspořádat na toto téma e-learningy či školení. Dalším vhodným krokem je nastavení IT systémů tak, aby usnadňovaly procesy spojené s pravidly GDPR. Firmy také jmenují pověřence pro ochranu osobních údajů (DPO), případně kontaktní osobu. „Podle našich zkušeností by to neměla být pouze formálně jmenovaná osoba, ale měl by to být člověk, který má přehled o tom, co se ve společnosti děje, a především má neomezený přístup k záznamům o činnostech zpracování,“ konstatoval Ján Kuklinca.

7. Souhlas se zpracováním osobních údajů

Souhlas je v některých případech nutným opatřením, díky němuž může společnost osobní údaje zpracovávat. Dříve býval souhlas se zpracováním osobních údajů dokonce součástí smluv. Tento postup se ovšem nepovažuje za dobrovolný souhlas. Proto nelze vyjádření souhlasu začlenit do smlouvy či obchodních podmínek, musí vždy existovat samostatně. S tím souvisí další téma, kterým je požadování souhlasu nadbytečně. Tedy i v případě, že již existuje jiný právní titul, například zpracovávání nezbytné pro plnění smlouvy, plnění zákonné povinnosti nebo oprávněný zájem správce. „Získání souhlasu by měla být až poslední možnost,“ doporučuje Martina Heřmanová, advokátka z Deloitte.

8. Postavení třetí strany – zpracovatele

Zpracovatel je zjednodušeně subjekt, jemuž správce poskytuje osobní údaje za účelem jejich zpracování dle pověření a pokynů správce. Vztah správce a zpracovatele se v rámci GDPR řeší smlouvu na základě článku 28 GDPR. „Často se ale setkáváme s tím, že mají naši klienti tento druh smlouvy uzavřený s jiným správcem, což je chybné. Tyto dva subjekty si sice navzájem poskytují údaje, každý si je ale spravuje sám,“ vysvětluje Martina Heřmanová.

9. Nahrávky hovorů

Při nahrávání hovorů rozlišujeme různé situace. První je zjednodušeně telefonát na infolinku, kde ačkoliv je hovor nahráván, systematicky nelze dohledat informaci o tom, kdo je volajícím, a dále se s páskou nepracuje pro účel zkvalitňování služeb. V tomto případě se nejedná o zpracování osobních údajů a není nutné mít souhlas se zpracováním osobních údajů. Druhý typ hovoru je pak telefonát, kdy společnost (často finanční instituce) podle telefonního čísla pozná volajícího a nahrávku si k němu v databázi přiřadí. Zde se o zpracování osobních údajů jedná a je potřeba řešit otázku, zda a jakým způsobem získat od volajícího souhlas. Ten je nutné provést aktivním krokem volajícího, například zmáčknutím tlačítka.

10. Cookies

Pokud bychom chtěli cookies řešit čistě v rámci českého právního prostředí, dle stanoviska Úřadu pro ochranu osobních údajů stačí umístit na webových stránkách informaci, že daná společnost cookies používá a jakým způsobem tak činí. Pokud má ale společnost svého vlastníka z jiné země, nemusí to stačit. Zpravidla je potřeba získat ještě aktivní vyjádření souhlasu s používáním cookies.

11. Výběrové řízení

V praxi se často stává, že si zaměstnavatelé nechávají životopisy neúspěšných uchazečů výběrových řízení neúměrně dlouhou dobu a tyto uchazeče následně oslovují s dalšími nabídkami práce. Pokud si společnost chce ponechat CV v evidenci, musí k tomu nejprve získat souhlas uchazeče.

Článek je součástí zpravodaje dReport – leden 2019, Právní novinky.

Ochrana osobních údajů (GDPR) dReport zpravodaj

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right