„Proč se zajímat o GDPR a jakým rizikům budu jako podnikatel od 25. května 2018 vystaven, pokud neuvedu svou činnost do souladu s GDPR? Jak postupovat, abych měl vše v pořádku?“ Tyto a další otázky se pokusíme rozlousknout v tomto článku a článcích následných na téma GDPR, které pro Vás připravujeme.
Začneme jasně – GDPR neboli Obecné nařízení o ochraně osobních údajů se Vás týká! Každý člověk má své osobní údaje, je jejich subjektem a tyto jsou a budou chráněny. Pokud osobní údaje jiných lidí navíc zpracováváte, tak se vás GDPR týká hodně (až na výjimky), a co hůř, ukládá vám povinnosti, za jejichž nesplnění vás může trestat.
Kromě toho, že byste měli jako podnikatelé myslet na své klienty, zaměstnance a všechny lidi na světě, aby s jejich daty bylo nakládáno v souladu s právem, měli byste myslet hlavně na svá podnikatelská záda. Nespokojený zákazník, zhrzený bývalý zaměstnanec, zaostávající (nebo zaostalá?) konkurence... Ti všichni by vám mohli chtít bodnout pomyslnou kudličku do zad. Je známo, že většina kontrol Úřadu pro ochranu osobních údajů, který bude bdít i nad dodržováním GDPR, reaguje na konkrétní podnět. A povinností, které na vás GDPR klade, není málo. Splnit všechny, a zasloužit si tak pochvalu kontrolorů z ÚOOÚ, nebude úplně snadné.
Co tedy jsou ony osobní údaje?
Osobním údajem je každá informace o identifikované nebo identifikovatelné osobě (subjektu údajů); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Tolik GDPR, podívejme se na příklady:
1) O fyzické osobě (např. zákazníkovi) evidujete tyto údaje: jméno a příjmení, datum narození, bydliště, e-mail, telefonní kontakt. Všechny tyto údaje jsou osobními údaji a se všemi musí být nakládáno plně v souladu s GDPR.
2) V evidenci u svého zaměstnance vedete mimo jiné tyto údaje: fotografie zaměstnance, údaje o jeho zdravotním stavu, číslo jeho bankovního účtu, kam je vyplácena mzda. Všechny tyto údaje jsou osobními údaji (údaje o zdravotním stavu dokonce osobními údaji citlivými!) a se všemi musí být nakládáno plně v souladu s GDPR.
3) O OSVČ, která je vaším obchodním partnerem, mimo jiné evidujete: IČO, DIČ, fakturační adresu. Opět vše osobním údajem v režimu GDPR.
4) U společnosti s ručením omezeným, která je vaším obchodním partnerem, mimo jiné evidujete: název, sídlo, IČO, DIČ, oficiální telefonní kontakty. Tyto údaje jsou naopak vyňaty z režimu GDPR, protože se týkají právnické osoby. GDPR upravuje pouze zacházení s osobními údaji žijících fyzických osob.
5) Pouhý údaj Jan Novák bez dalšího není osobním údajem dle GDPR, protože na základě něj nelze identifikovat konkrétního Jana Nováka (v r. 2009 jich v ČR žilo 1759). Avšak údaj Vojen Novák již osobním údajem dle GDPR bude, protože tato kombinace vygeneruje jednoho, nejvýše několik jednotlivců, a osobu tedy již lze identifikovat.
6) IP adresa je osobní údaj!
GDPR dále vyčleňuje zvláštní kategorii citlivých osobních údajů. Těmi jsou osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Zpracovávat citlivé osobní údaje GDPR obecně zakazuje, s výjimkou případů v nařízení výslovně taxativně uvedených.
Na závěr lze ještě dodat, že GDPR se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti a vedení osobních adresářů. Tedy například sdílení vaší fotografie s vaším kolegou z práce na Facebooku většinou zpracováním osobních údajů není, pakliže nemáte veřejný profil nebo velmi vysoký počet přátel. Ke zveřejnění fotografie tedy nebudete potřebovat souhlas vašeho kolegy. Osobní údaje ovšem vždy v těchto případech zpracovává sám Facebook.