Stručný průvodce GDPR a ochranou osobních údajů

Co znamená GDPR? Jedná se o zkratku General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů. Jde o právní rámec ochrany osobních údajů v evropském prostoru (resp. prostoru EU) v rozsahu 88 stran (11 kapitol a 99 článků), který definuje pravidla pro zpracování osobních údajů, a to včetně práv subjektu údajů (tj. fyzických osob – občanů EU).

Od kdy platí GDPR aneb stručné historické okénko

GDPR nařízení vychází z evropské směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (v ČR tuto směrnici odrážel zákon č. 101/2000 Sb., o ochraně osobních údajů). Směrnice 95/46/ES nebyla ovšem ve všech zemích Evropské unie uspokojivě sjednocená v rámci lokálních legislativ, a navíc ji, takříkajíc, „dohnal čas“ – nepočítala s technickými prostředky a metodami zpracovávání osobních údajů odpovídajícími současné době. Kvůli tomu ani nezaručovala dostatečnou ochranu fyzických osob a jejich práv.

Bylo tedy zapotřebí přijít s něčím „fortelnějším“, nařízením, které zaručí:

• ochranu osobních údajů v rámci odpovídající současné době,
• dosažení větší jednoty právního rámce ve všech zemích EU,
• dostatečné posílení práv subjektů údajů a
• dosažení sjednocené interpretace, ale i dozoru jednotlivými státními úřady v členských zemích EU.

GDPR nařízení si kladlo za cíl nastavit standardy pro bezpečnou regulaci datových toků, ovšem od začátku mělo vytvořit především právní základ pro bezpečné užívání technologií občany EU.

GDPR nabylo právní účinnosti před cca 5,5 roky, konkrétně tedy platí od 25. 5. 2018. Ve stejný den GDPR nahradilo dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů (ten byl posléze zcela zrušený 24. 4. 2019).

V současnosti rámec GDPR nařízení dotváří zákon č. 110/2019 Sb., o zpracování osobních údajů, který definuje přímo použitelné obecné nařízení. Samotné nařízení GDPR se od svého zavedení již třikrát aktualizovalo.

Od vstupu GDPR v platnost v rámci celé EU uložily příslušné úřady pro ochranu osobních údajů za porušení GDPR pokuty přes 2,5 miliardy eur (tj. cca 63 miliard Kč).

→ Tip: Mohlo by vás zajímat, jak jsme zavedli GDPR ve společnosti CHOCOLAND.

GDPR a ochrana osobních údajů – výhled do budoucna

Víme tedy, od kdy platí GDPR, ale jak to vypadá s budoucími úpravami a na koho budou mít dopad? Co týče novinek v GDPR pro rok 2024, jsou zde jen velmi drobné úpravy, které souvisí s novelou zákona č. 301/2000 Sb., o matrikách, jménu a příjmení – na jednotlivce (OSVČ) a soukromé společnosti tedy nebudou mít žádný dopad.

Na evropské úrovni se chystá nová legislativa, ovšem kdy vstoupí v platnost, je prozatím otázkou – zatím nebyl oznámený ani orientační termín. Jejím cílem je harmonizovat některé postupy spolupráce mezi orgány pro ochranu údajů v přeshraničních případech (tj. mezi členskými zeměmi). Těch bylo od roku 2018 více než dva tisíce.

U jednotlivců by měla nová legislativa vyjasnit, co musí předložit při podávání stížnosti, a zajistí, že budou do procesu náležitě zapojení. Co se týče podniků, nová pravidla vyjasní jejich práva na řádný proces v případech, kdy příslušný úřad pro ochranu osobních údajů bude vyšetřovat možné porušení GDPR.

Celkově by mělo jít o zefektivnění spolupráce relevantních stran při řešení sporů a nastavení jakéhosi zlatého standardu ochrany osobních údajů doma i v zahraničí.

→ Tip: Podívejte se, jaké největší pokuty padly za porušení GDPR v prvních letech od jeho zavedení.

Jak na GDPR – základní přehled

Ohlédli jsme se do historie, nastínili jsme i budoucí výhled. Jaká je současnost a na co byste si měli při zpracovávání osobních údajů dávat pozor? Jak jsme už zmínili výše, GDPR nařízení je poměrně rozsáhlé, a navíc je třeba brát v potaz i doplňující zákon č. 110/2019 Sb., o zpracování osobních údajů. Pokud bychom měli maximálně zestručnit hlavní myšlenku, zněla by takto:

GDPR nařízení:

• stanovuje pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů,
• definuje pravidla pro zpracování a pohyb osobních údajů a
• chrání základní práva a svobody fyzických osob zejména se zaměřením na právo ochrany osobních údajů.

GDPR nařízení je závazné v celém rozsahu ve všech členských státech EU. Vztahuje se na jakékoliv zpracování osobních údajů (tedy automatizované i neautomatizované) s několika výjimkami, kdy se osobní údaje zpracovávají:

• při osobních (popř. domácích) činnostech vykonávaných fyzickou osobou,
• při činnostech, které nespadají pod právo a jeho výkon v rámci EU,
• orgány veřejné moci za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

Než si rozebereme jednotlivé body více do hloubky, pojďme si alespoň stručně vymezit ty nejzákladnější pojmy související s GDPR nařízením.

Co znamenají klíčové pojmy v GDPR

Přesnou definici všech klíčových výrazů najdete v článku 4 odst. 1 obecného nařízení. My níže uvedeme ty základní:

• Osobní údaje – každá informace nebo data, která lze použít k identifikaci fyzické osoby. Patří sem vcelku intuitivně adresa, jméno, datum narození, fotografie nebo RČ. Už méně intuitivně do této kategorie spadají rovněž také lokalizační data, IP adresy, cookies, ale i třeba zaměstnanecké kódy. Nezapomeňte, že se GDPR nařízení vztahuje na všechny vaše zaměstnance, pokud výše uvedené osobní údaje shromažďujete, resp. zpracováváte. Co není osobní údaj? Především údaje právnických osob (registrační číslo společnosti, e-mailová adresa typu info@spolecnost.cz) nebo anonymizované údaje.

• Subjekt údajů – fyzické osoby, které se dané osobní údaje týkají. GDPR se netýká zesnulých fyzických osob.
• Zpracování osobních údajů – zcela obecně jde o jakýkoliv nenahodilý úkon nebo nakládání s osobními údaji (čili zaznamenávání a shromažďování, uspořádávání a strukturování, přizpůsobování a pozměňování, vyhledávání a nahlížení, jakékoliv použití a zpřístupnění, omezení, výmaz nebo zničení).
• Správce osobních údajů – subjekt (libovolné právní formy), který na základě své činnosti (popř. takzvaného oprávněného zájmu) definuje účel a prostředky zpracovávání osobních údajů, za které také zodpovídá.
• Zpracovatel osobních údajů – subjekt, který zpracovává osobní údaje ve stanoveném rozsahu na základě přímého pověření správce (viz předchozí bod). Ani pro tuto roli není rozhodující právní forma subjektu.
• Pověřenec pro ochranu osobních údajů (Data Protection Officer, zkr. DPO) – subjekt, který za zpracování osobních údajů sice nenese zodpovědnost, poskytuje ale poradenské služby a dohlíží na to, aby bylo zpracovávání osobních údajů v souladu s GDPR nařízením a platnou legislativou. DPO je pro vaši organizaci povinný, pokud jste správcem/zpracovatelem citlivých osobních údajů ve velkém objemu – spadají sem nemocnice, bezpečnostní agentury (odpovědné za monitoring veřejných prostor nebo nákupních center), headhuntingové firmy apod.

→ Tip: Víte, že DPO od Algotechu za vás zajistí komunikaci s úřady a součinnost při kontrolách GDPR?

Jaká práva subjektů musíte jako správce garantovat?

GDPR nařízení poskytuje všem občanům EU následující práva:

• Právo na přístup – fyzické osoby (subjekty osobních údajů) mají právo vyžádat si přístup ke svým osobním údajům. Jako správce musíte poskytnout kopii osobních údajů v elektronické podobě, a to bezplatně a na požádání.
• Právo na výmaz – pokud subjekty osobních údajů již dále nejsou vašimi zákazníky nebo vám odvolají souhlas se zpracováváním svých osobních údajů, mají právo na jejich vymazání.
• Právo na přenositelnost údajů – subjekty osobních údajů mají právo na jejich přenos od jednoho poskytovatele služeb k druhému.
• Právo na informace – subjekty osobních údajů musí být informované před shromažďováním údajů, souhlas s tímto shromažďováním vám musí subjekt poskytnout svobodně a dobrovolně, tj. ne implicitně. Pokud došlo k porušení ochrany osobních údajů, má příslušný subjekt právo být informovaný do 72 hodin od prvního zjištění tohoto porušení.
• Právo na opravu informací – subjekty osobních údajů mají právo mít své údaje aktualizované, zejména pokud jsou zastaralé, neúplné nebo nesprávné.
• Právo na omezení zpracování – subjekty osobních údajů mají právo, aby jejich údaje nebyly použity ke zpracování. Záznam můžete uchovávat, ale ne použít.
• Právo vznést námitku – subjekty osobních údajů mají právo ukončit zpracování jejich údajů pro přímý marketing. Jakékoliv zpracovávání musíte zastavit, jakmile podobnou žádost obdržíte. Navíc musíte toto právo subjektům osobních údajů objasnit a připomenout na samém začátku jakékoli komunikace.

→ Tip: Přečtěte si o bezpečnosti CRM systémů včetně zajištění požadavků GDPR nařízení v CRM.

Co znamená GDPR v praxi – jakými zásadami se musíte jako správce osobních údajů řídit?

Správci/zpracovatelé osobních údajů by se dle GDPR nařízení měli řídit těmito hlavními zásadami:

• Transparentnost, korektnost, zákonnost – vůči subjektům osobních údajů se musí postupovat korektně, transparentně a na základě přinejmenším jednoho právního odůvodnění.
• Omezení účelu, rozsahu a doby uložení – osobní údaje lze zpracovávat jen pro legitimní účely, pouze v přiměřeném rozsahu vzhledem k těmto účelům, a to pouze po nezbytně nutnou dobu.
• Důvěrnost a integrita – správu osobních údajů je nutné zabezpečit procesně i technicky.

→ Tip: Projděte si „GDPR check-list“ všech oblastí, které musíte ohlídat.

Tyto obecné zásady můžeme rozepsat na konkrétní tipy, jak byste jako správci měli s osobními údaji zacházet. Současně jde o oblasti, ve kterých se při dodržování GDPR nařízení nejčastěji chybuje:

• Dodržujte legitimitu – zpracovávání osobních údajů prováděné se souhlasem dotyčných osob musí být v souladu s platnými právními předpisy a morálkou.
• Vždy vycházejte ze základního důvodu – tedy výchozího stavu, na kterém se může zpracovávání osobních údajů zakládat (konkrétně může jít např. o smluvní plnění, výkon právních povinností atp.).
• Jasně vymezte účel zpracovávaní osobních údajů – je to povinnost každého, kdo zpracovává, shromažďuje a uchovává osobní údaje.
• Nezapomeňte, že forma a rozsah zpracování osobních údajů musí vždy odpovídat účelu zpracovávání.
• Zajistěte ochranu osobních údajů – je povinností každého správce shromážděné a uchovávané osobní údaje patřičně zabezpečit a chránit.
• Nadměrné zasahování do soukromí je zakázané, vždy je zapotřebí zvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
• Skartujte – po naplnění účelu zpracování osobních údajů je vaší povinností jakožto správce tyto údaje zlikvidovat.

→ Tip: Podívejte se na další častá pochybení a omyly v GDPR, které jsme uvedli v článku GDPR novinky v roce 2023.

GDPR – pokuty a sankce

Všechny organizace a společnosti, které zpracovávají osobní údaje, by měly jmenovat DPO nebo zpracovatele osobních údajů, který má na starosti dodržování GDPR. Společnostem a organizacím, které nedodržují GDPR, hrozí velmi tvrdé sankce: pokuty až do výše 4 % ročních globálních příjmů nebo až 20 milionů eur.

Nejde jen o „bezzubé strašení“, v rámci celé EU padly od zavedení GDPR nařízení pokuty v celkové výši 63 miliard Kč. O těch největších jsme vás před časem informovali v článku GDPR v praxi: Největší průšvihy a pokuty v historii. V České republice udělil Úřad pro ochranu osobních údajů kolem 130 pokut za porušení GDPR.

Od doby publikace zmíněného článku uplynul nějaký čas, jací jsou v současnosti aktuální „rekordmani“ v pomyslné soutěži o co největší porušení GDPR? Výsledky vás pravděpodobně příliš nepřekvapí, jedná se (doslova) o „staré firmy“:

• Meta Platforms (pod kterou spadají Facebook, Instagram a WhatsApp) – „absolutní vítěz“ v masivním a místy až nevkusném porušování GDPR. V květnu 2023 dostala společnost pokutu přes 28 miliard Kč za nelegitimní odesílání dat obsahujících osobní údaje uživatelů Facebooku. Jen několik měsíců předtím – v lednu 2023 – dostala Meta pokutu 9,4 miliardy Kč za porušení GDPR kvůli zneužívání osobních dat uživatelů Facebooku a Instagramu pro marketingové účely. V září 2022 padla pokuta 9,9 miliard Kč za odhalení osobních údajů mladistvých uživatelů Instagramu. Přesně o rok dříve vyměřil Metě irský úřad pro ochranu osobních údajů pokutu 5,7 miliardy Kč za nelegitimní sdílení dat uživatelů WhatsAppu do jiných aplikací spadajících pod Metu. Meta Platforms tedy „získala“ za porušení GDPR pokuty ve výši přes 53 miliard Kč. Meta tedy s přehledem dospěla na první trestnou metu.
• Amazon – pokuta ve výši cca 19 miliard Kč za nelegální předávání osobních údajů uživatelů v rozporu s pravidly pro jejich ochranu.
• Google – pokuta od francouzského úřadu pro ochranu osobních údajů ve výši 1,3 miliardy Kč za pochybení při nakládání s osobními údaji svých uživatelů.

→ Tip: Víte, že školení GDPR vám může ušetřit milionové pokuty?

Jak se vyhnout GDPR pokutám?

Zdánlivě velice jednoduše: dodržujte nařízení GDPR! Někdy to může být složitější, i přestože provádíte pravidelná školení a dohlížíte na dodržování všech pravidel. Pokud chcete mít skutečnou jistotu, že jste v souladu s platnou legislativou, proveďte GDPR audit.

Chcete-li mít jistotu i do budoucna a zbavit se starostí s ochranou osobních údajů, zajistíme pro vás soulad s GDPR nařízením se vším všudy – od školení a absolvování kontrol úřadu pro ochranu osobních údajů až služby DPO. Neváhejte nás kontaktovat, problematikou GDPR jsme provedli více než 150 klientů a rádi provedeme i vás.