Ta nejlepší GDPR příručka pro markeťáky a podnikatele
General Data Protection Regulation neboli Obecné nařízení na Ochranu osobních údajů bylo poprvé navrženo v roce 2012, poté následovaly čtyři roky diskuzí, debat a úprav. Konečná podoba nařízení byla Evropským parlamentem přijata v roce 2016. Členské země, firmy a organizace poté měly dva roky na to, aby se na toto nařízení připravily, a to do 25. května 2018. V té době se to zdálo jako dostačující doba na to, aby se každý připravil.
Ale tento čas rychle utekl a GDPR už je doslova za dveřmi.
Na veřejnosti o tomto nařízení už toho bylo mnoho řečeno a napsáno, přesto však spousta majitelů podniků zcela nechápe, co všechno GDPR vlastně znamená, a zda budou tímto nařízením ovlivněny, či nikoliv. S touto GDPR příručkou chceme vnést trochu světla na to, co General Data Protection Regulation vlastně znamená a zároveň zodpovědět nejčastěji se objevující dotazy ohledně GDPR, ale také představit pár kroků, které vedou k jeho implementování.
Níže najdete obsah, který vám pomůže najít přesně to, co potřebujete vědět.
Srozumitelnou češtinou: Vše, co potřebujete vědět o GDPR
Nyní již moc dobře víme, jak technologie zasahují do nového i starého průmyslu: Služby Uber a Lyft narušují dopravní průmysl, Netflix narušuje tradiční způsob výroby filmů a seriálů, AI poté narušuje prakticky veškeré možné průmyslové odvětví způsobem, jaký pro nás byl před pár lety nepředstavitelný. Technologie poté zasahují také do oblastí práv a regulací implementovaných v zemích samotných. GDPR je však navrženo tak, aby nahradilo současnou direktivu, která již není efektivní: Direktiva 95/46/EC (direktiva na ochranu údajů).
Již z názvu General Data Protection Regulation plyne, že je toto nařízení zaměřeno na data, ne však na všechna, hlavním záměrem tohoto nařízení jsou osobní údaje o jednotlivcích, zejména jednotlivcích ze všech členských zemí EU. Toto nařízení tedy aktualizuje již existující, a přidává nové, regulace se zaměřením ne sběr a zacházení s osobními údaji. Toto nařízení se však nevztahuje pouze na podniky se sídlem v EU. Mnohé firmy a organizace po celém světe se budou muset tomuto nařízení přizpůsobit, pokud chtějí zpracovávat osobní údaje lidí, kteří žijí na území EU.
Účelem této regulace není zhoršit podmínky pro podnikání nebo prodej, či omezit normální funkce podniku. Účelem je dát jedincům více kontroly nad jejich vlastními osobními údaji, zejména nad tím kdo tyto údaje sbírá a zpracovává, na co jsou využívány a jak jsou chráněny.
Tohoto je docíleno zejména rozlišením dvou pojmů osobní údaj a citlivý osobní údaj. Osobním údajem se rozumí takový údaj, který nám dovolí identifikovat, přímou nebo nepřímou cestou, daného jedince. Jedná se o takové identifikátory jako jsou jména, rodná čísla, údaje o poloze, nebo online identifikátory. Také citlivé osobní údaje dovolují identifikovat jedince, avšak v mnohem širším rozhraní informací a specifických faktorů – zejména fyzický vzhled, fyziologické, psychologické a genetické údaje, ale také údaje o psychickém stavu či ekonomické, kulturní nebo sociální identity. Sbírání a zpracovávání citlivých osobních údajů je dovoleno pouze za velmi specifických podmínek s dalším zaměřením na jejich ochranu.
Dále GDPR upravuje způsoby a podmínky pro získávání souhlasů:
- Jasný souhlas jedince
- Zákaz automatického souhlasu, například jako součástí obchodních podmínek nebo jako podmínku pro nákup služby/zboží
- Musí existovat jednoduchá možnost, jak souhlas odvolat
V rámci GDPR existuje několik příležitostí, kdy souhlas není nutností. Tyto příležitosti však vždy mají svůj základ v legislativě, která může sběr osobních údajů vyžadovat.
GDPR dále specifikuje práva jedinců s ohledem na jejich osobní údaje. Jedná se o následující práva:
- Právo být informován
Zakotveno v dokumentu na ochranu osobních údajů. Detailní informace o tom, kdo sbírá a zpracovává osobní údaje, jak budou využity a jejich volná přístupnost pro jedince. Tento dokument musí být sepsán jasným a srozumitelným jazykem. - Právo na přístup
Jedinci mohou vyžádat potvrzující formulář, který definuje, jak jsou data spravována. Mohou si dále vyžádat formulář o tom, jaká data jsou v podniku o jedinci uložena, spolu s dalšími informacemi. Toto vyžádání by nemělo být zpoplatněno a musí být vyřízeno do jednoho měsíce od obdržení žádosti jedince. - Právo na opravu
Jedinci vás mohou zažádat o opravu jakýchkoliv neúplných nebo nepřesných informací, které o jedinci spravujete. Při takové změně je poté vaší povinností tuto změnu předat jakékoliv propojené třetí straně. - Právo na výmaz
Toto není absolutním právem na to být zapomenut, ale spíše zpřístupnění možnosti zažádat o výmaz osobních údajů v případech, kdy již neexistuje legitimní důvod na jejich uchovávání a zpracovávání, nebo možnost jedince zrušit svůj souhlas s jejich zpracováním. - Právo na omezené zpracovávání
Za některých podmínek mohou jednotlivci zažádat o omezené zpracovávání jejich osobních údajů. Toto se liší od práva na výmaz. Data budou dále uchovávána, avšak nebudou dále předávána nebo zpracovávána. - Právo na přenos dat
Toto právo dovoluje jednotlivcům přenést veškerá data z vaší služby ke službě jiné. Nicméně, toto právo lze aplikovat pouze v případech, kdy to dovoluje druh služby a kdy je firma správcem těchto dat. Jedná se zejména o případy zabývající se převodem smluv k jinému poskytovateli. - Právo na námitku
Pokud nemáte přesně daný a jasný souhlas jednotlivce, má majitel osobních údajů právo vznést námitku, a to z mnoha důvodů spojených se správou nebo zpracováváním osobních údajů. - Práva spojená s automatickým rozhodováním a profilováním
V případě, že je pro služby využíváno automatických rozhodnutí (např. na základě algoritmu), vyžaduje GDPR přesné bezpečnostní podmínky, které zamezí riziku škodlivého rozhodování, které mohou ovlivnit rozhodnutí bez lidského faktoru. Jedinec má právo být informován či vyžádat odůvodnění rozhodnutí.
GDPR se velmi podrobně věnuje odpovědnosti a správě dat uvnitř firem a organizací.
A to v oblastech:
- Implementace změn a jejich jasné prokázání. Do toho může spadat politika interní ochrany osobních údajů, jako je školení zaměstnanců, interní audity zpracovatelských aktivit a kontrola interní HR politiky.
- Zajištění relevantní dokumentace veškerých zpracovatelských aktivit
- Identifikování vaší organizace z pohledu správce, zpracovatele, nebo z obou pohledů. Tento krok je důležitý pro správné pochopení požadavků GDPR, v některých případech bude nutné najmout zodpovědného pracovníka.
- Implementační změny, které jsou dostačující pro zásady plynoucí z ochrany osobních údajů, jako jsou:
- minimalizace dat
- pseudonymizace a anonymizace dat
- možnost jedinců monitorovat průběh zpracování jejich údajů
- neustálé vylepšování bezpečnostních možností
Nakonec musíme zmínit, že GDPR představuje nové požadavky pro způsob, jakým jsou osobní údaje zpracovávány, a to pro zajištění jejich bezpečnosti. Zároveň toto nařízení udává podmínky pro podniky a organizace ohledně oznamovacích povinností v případě narušení zabezpečení a ohrožení osobních údajů.
Je důležité si uvědomit, že se GDPR nedotkne úplně všech podniků a organizací, ale pouze těch, které sbírají nebo zpracovávají osobní údaje svých klientů nebo klientů jiné organizace. Pokud nesbíráte a nezpracováváte žádná osobní data jedinců, poté se nemusíte ničeho bát. Pokud je vaše odpověď ano, poté je důležité se zabývat vaší připraveností na požadavky GDPR. GDPR by v žádném případě nemělo omezit vaše podnikání, ačkoliv vás možná přinutí učinit několik změn v otázce zpracovávání dat, což se může zkomplikovat, avšak nemělo by to být nemožné.
Vysoké pokuty, které GDPR doprovází nemají za úkol ničit podniky, ale spíše varovat před ignorováním regulací, což může vystavit osobní údaje jedinců nebezpečí.
Nicméně, jako se všemi nařízeními a regulacemi, i zde budeme muset počkat na den platnosti tohoto nařízení a první legislativní případ, který ovlivní veškeré další. Ale také na dopad, který nařízení bude mít na podniky i jedince, což může přimět budoucí změnu samotného nařízení.
Kompletní GDPR příručka pro markeťáky a podnikatele ke stažení zde.