Protože sám několik online služeb provozuji a téma GDPR mě dlouhodobě zajímá, zkusil jsem shrnout své znalosti ze studia GDPR a absolvovaných seminářů do následujícího textu, třeba to někomu pomůže.
Pro ty, co mi píšou o radu: sice mám certifikaci DPO a rád poradím, ale nejsem právník – takže pokud potřebujete závazné právní stanovisko, doporučuji se spíše obrátit na právní kancelář, která se GDPR zabývá, případně kontaktovat s dotazem ÚOOÚ.
I. Základní teorie GDPR
Nejde řešit GDPR a neznat alespoň základní pojmy a principy.
- Oficiální text GDPR v češtině na stránkách EU.
- Zákon o zpracování osobních údajů – upřesňuje GDPR pro Česko.
- Zákon o elektronických komunikacích – ochrana soukromí pro el. komunikaci, cookies, telemarketing
- Zákon o některých službách informační společnosti – zasílání obchodních sdělení, elektronický marketing, apod.
- Úřad pro ochranu osobních údajů (ČR) – mají na stránkách užitečné informace a stanoviska
- ICO UK – stejný úřad pro UK s výbornými návody, online průvodci
- European Data Protection Board (dříve skupina WP29) – stanoviska k implementaci GDPR, rozšíření
Kdy se na mě GDPR vztahuje: Když zpracováváte jakékoliv osobní údaje občanů EU a dokážete jakoukoliv kombinací sbíraných údajů vystopovat konkrétního člověka, zpracováváte osobní údaje. A osobním údajem pak není jen tato kombinace, ale všechno, co o člověku víte a dokážete k němu spojit. Čili osobní údaj není jen to, že máte v databázi Marušku Novákovou s jejím emailem a telefonem. Osobní údaje jsou pak i její objednávky a všechny ostatní údaje k ní připojitelné. Zpracováním je myšleno v podstatě cokoliv: např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, seřazení či zkombinování, omezení, výmaz nebo zničení;
A kdy naopak ne:
- Když nesbíráte osobní data o nikom z EU, ale jen z jiných zemí. Ale pak můžete naopak spadnout pod jejich lokální zákon (např. v UK nebo USA).
- Pokud nesbíráte osobní data, ale jen anonymní údaje, které nelze přiřadit ke konkrétnímu člověku.
- Pokud sbíráte data jako fyzická osoba pro soukromé účely (třeba fotky do svého alba)
- Pokud problematiku neošetřuje jiný zákon nebo jiná norma (např. zdravotnictví, finanční sektor, veřejná správa)
- Zpracování údajů je záměrná činnost a systematická (tedy nikoliv náhodná)
- Když jde o nesystematické manuální hromadění dat, např. když si od zákazníků berete vizitku a hodíte ji do krabice s ostatními.
Pokud jste běžná česká firma nebo podnikatel – počítejte rovnou s tím, že pod GDPR spadáte, protože máte aspoň pár zaměstnanců, zákazníky a partnery, provozujete webové stránky, a našly by se asi i další zdroje, odkud k vám osobní údaje přitékají.
Principy zpracování osobních údajů
GDPR se točí okolo těchto principů zpracování dat. Když se nad tím člověk zamyslí, tak to dává smysl a cílem je férové zpracování dat. Uznávám, že někdy to bolí (stojí to peníze, žere to drahocený čas vedení i zaměstnanců firmy, často jsou nejasnosti), ale beru to tak, že i já bych rád, aby ostatní firmy zpracovávaly moje osobní údaje také férově a měl jsem nad tím kontrolu.
- Zákonnost, korektnost, transparentnost – musíte mít zákonný důvod pro zpracování (např. pro plnění zákona, plnění smlouvy, váš oprávněný zájem, souhlas, apod.)
- Účelové omezení – údaje se smí použít jen za účelem, ke kterému byly získány.
- Minimalizace údajů – nesbírat nic, co nepotřebujeme.
- Přesnost údajů – zpracovávat jen přesné a aktuální údaje.
- Omezení uložení údajů – zpracovávat jen po nezbytně nutnou dobu (s ohledem např. na účetní a daňové zákony, archivnictví, oborové kontroly, trestní odpovědnost)
- Integrita a důvěrnost údajů – je potřeba zajistit, aby s daty bylo nakládáno důvěrně, bezpečně, eliminovat rizika.
- Doložitelná odpovědnost správce, že postupoval v souladu se GDPR a ostatními zákony. Nutnost prokázat, že jsou všechny procesy správně nastaveny a aplikovány do praxe. Chyby a problémy se stávají, ale nejhorší je, pokud nemáte žádný důkaz, že jste problematiku řešili a snažili se rizika snížit. A když neexistuje žádná listina, je to jako byste se o nic nesnažili, ačkoliv to tak třeba nebylo.
Pozor na tzv. zvláštní kategorie osobních údajů (citlivé údaje), kde je vše restriktivnější a jsou vyžadovány vyšší nároky na získávání, souhlasy i zpracovávání. Jde o informace zdravotního stavu, rasového a etnického původu, náboženské vyznání, politické názory, sexuální orientace, trestní delikty apod. Je lepší tato data vůbec nesbírat, pokud to pro aktivity není zcela nutné.
Zákonnost zpracování osobních údajů
Abychom data legálně zpracovávali, musíme k tomu mít některý z těchto právní důvodů:
1. Zpracování je nutné pro plnění smlouvy
Když nebudu mít uložený jméno, telefon nebo email klienta, asi těžko mu pošlu nabídku, nebo smlouvu. Jakmile si někdo objedná v mém eshopu zboží, pro dodávku od něj potřebuji jméno, adresu, případně telefon pro doručení a emailovou adresu pro potvrzení vyřízení objednávky. Pro tento účel mám tedy zákonnost zpracování pokrytou a nemusím už od něj vyžadovat žádný souhlas.2
2. Zpracování je nutné pro plnění právních povinností
Daňové a účetní zákony požadují uchovávat po určitou dobu doklady a různé informace např. o dodavatelích a odběratelech. Pracovní legislativa po nás povinně chce vést evidenci zaměstnanců, atd. Opět proto nemusíme žádat o souhlas se zpracováním. Zároveň nikdo ani nemá právo, abychom tyto údaje o něm smazali.
3. Zpracování je nezbytné pro účely oprávněných zájmů správce
Tohle je zajímavý právní titul – často dost nejasný, ale přitom velmi užitečný. Říká dle právníků zjednodušeně toto: když máte nějaký „oprávněný“ důvod ke zpracování (v překladu znamená obhajitelný), a příliš při tom nezasahujete do práv subjektu (zákazníka, zaměstnance), tak to můžete zkusit použít. Pár příkladů:
- Mám oprávněnou obavu o majetek, tak nainstaluji kamery. Ale na druhou stranu nesmím kamery umístit všude, jen tam, kde to příliš nezasahuje do soukromí.
- Kvůli bezpečnosti loguji provoz serveru a eviduji např. IP adresy návštěvníků a provedené akce. Musí to ale sloužit jen jako bezpečnostní opatření, nikoliv pro optimalizaci procesu, nebo pro zvýšení prodeje.
- Když si ode mě zákazník něco koupil, tak můj oprávněný zájem může být nabídnout mu pomocí přímého marketingu nějaký další produkt z nabídky. Zde je však potřeba důkladně zvážit, kdy už bude má nabídka překračovat práva zákazníka – čili tehdy, když už by mu to vadilo a chtěl si na mě stěžovat. Typicky se tento důvod používá pro cross-sell a sdílení údajů mezi firmami ve skupině.
- Ověření uchazečů o zaměstnání
- Prevence podvodných jednání – např. kontrola zda na zájemce o úvěr není vedena exekuce.
S tímti právním titulem lze pracovat různě agresivně, doporučil bych být spíše opatrný a nepohybovat se na hraně. Pro více informací hledejte pojem „balanční test gdpr“.
4. Máte souhlas subjektu (uživatele, zákazníka, návštěvníka,…)
Ačkoliv je souhlas velmi častý právní titul, dal jsem ho až sem, protože ho vyžadujeme až ve chvíli, kdy žádný jiný titul k údajům nemáme.
5. Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů
Když jde o závažné situace (ohrožení života, zdraví, majetku), tak lze data subjektu zpracovat i bez jeho souhlasu. To ale v běžných firmách není úplně běžné, jde spíše o výjimečné případy, nebo obory.
6. Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu, nebo při výkonu veřejné moci
Definice je samovysvětlující, jde spíše o veřejné organizace, nikoliv komerční subjekty, pokud nevykonávají specifické služby.
Práva subjektu podle GDPR
Pozor na to, abyste si byli jisti, že při zpracování požadavků opravdu komunikujete s daným subjektem a ne s někým, kdo se za něj vydává! Ideálně tedy mít možnost žádosti dostupnou třeba po přihlášení na uživatelský účet, kde máte téměř jistotu, že to je opravdu uživatel. V některých případech lze požadovat lepší důkazy o prokázání totožnosti, ale nesmí uživateli se klást zbytečné překážky – čili podle vážnosti situace je potřeba nastavit stupeň autentizace.
Např. když mě někdo požádá o smazání nepoužívaného prázdného účtu, tak mi bude stačit email, který mi poslal (i když se email snadno zfalšuje, tak nic neriskuji). Naopak když na účtu bude mít data z mnoha předchozích projektů, tak po něm budu chtít, aby mi poslal autorizovanou zprávu přes účet a ještě mu např. pošlu potvrzovací email.
- Právo na informace o zpracování – jsme povinni sdělit subjektu, jaké údaje o něm zpracováváme, účely, poskytnout kopie údajů, možnost odvolání souhlasu, možnost podat stížnost, naše organizační údaje a další údaje zmíněné zákonem (pověřenec, předání do třetích států atd.).
- Právo na výmaz – pokud není zpracování založeno na titulu legislativy, veřejného zájmu, plnění smlouvy. Také je výjimka např. pro žurnalistiku, archivaci, statistiku, veřejný výzkum a další.
- Právo na opravu – aby byly údaje aktuální a správné.
- Právo na námitku – pokud je zpracování založeno na oprávněném zájmu, nelze odvolat souhlas (žádný není), ale lze vznést námitku proti zpracování. Námitku lze vznést taky proti automatizovanému zpracování – tedy např. když algoritmus zamítne úvěr pro zájemce, má dotyčný právo o přezkoumání skutečným člověkem.
- Právo na přenositelnost – možnost získat svá data v elektronickém formátu (xml, json, csv), abych je mohl použít jinde.
Příjem a odbavení těchto požadavků je potřeba evidovat (což generuje opět zpracování osobních údajů, ale v tomto případě bude vedení seznamu na základě právních požadavků GDPR). Požadavky je potřeba plnit bezplatně, kromě nedůvodných nepřiměřených požadavků.
Častá otázka z online oboru je, zda se musí kvůli GDPR odstraňovat osobní údaje při požadavku o smazání také ze záloh, archivů, systémových logů. Ptal jsem se na to několika právníků a konzultantů a většina tvrdí, že to potřeba není, protože to obvykle technicky není možné bez nepřiměřených nákladů. Samozřejmě pokud lze smazat logy jednoduše, tak pak to jasné a udělat by se to mělo.
Správce a zpracovatel osobních údajů
Pokud zpracováváte data, je potřeba si také ujasnit, v jaké roli jste – zda správce, nebo zpracovatel.
- Správce (data controller)) určuje účel a prostředky zpracování, vydává pokyny, jak se s daty má pracovat. Musí zajistit pro všechny osobní údaje správný právní titul.
- Zpracovatel (data processor) jedná podle pokynů správce a zajišťuje zpracování jako jeho dodavatel. Sice nemá povinnost zajistit pro data právní titul (to je úkol správce), ale musí mít dostatečnou jistotu, že tu správce učinil. Např. klauzulí ve zpracovatelské smlouvě, nebo možností odmítnout zpracování, pokud během něj např. zjistí, že subjekty ke zpracování souhlas nedali.
- Subzpracovatel (data subprocessor) – je další dodavatel, který zpracovává údaje pro zpracovatele.
Během analýzy je potřeba ověřit, jaká data jsou zpracovatelům poskytována, zda s nimi máme zpracovatelské smlouvy a ujistit se, že také splňují veškeré požadavky na ochranu osobních údajů, ideálně znát také detaily o subzpracovatelích.