GDPR je zkratka pro Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation). Je účinné od 25. května 2018.

 

​

​

Co to znamená v lidské řeči?

Od toho dne Úřad pro ochranu osobních údajů dělá kontroly. Z těch se před platností GDPR nikomu neježily vlasy v zátylku. Teď je ale evropská úprava sjednocená a přehlednější. Úřad zkoumá, jestli vaše zpracování osobních údajů zaměstnanců a klientů lícuje s nařízením. A když něco neodpovídá, nebo je díra v zabezpečení, může chtít nejen nápravu, ale také uložit tučnou pokutu.

​

Proč GDPR působí takovou paniku?

Může za to změna výše pokut, protože až do nedávna měly strop na 10.000.000,- Kč. Nově vám ale může přistát flastr až 20.000.000,- EUR nebo 4% z vašeho ročního obratu. Vybírá se vždy vyšší z obou možností. Ke zvýšení došlo obzvlášť kvůli tomu, aby pokuty byly citelné i pro velké společnosti.

 

Co je to zpracování osobních údajů?

Pod zpracováním osobních údajů si můžeme představit celý postup nakládání s osobními údaji. Jen a pouze na ty se GDPR vztahuje. Používání kontaktů pro reklamní účely, předávání údajů účetní, využívání dat na internetu, vytváření databází čísel nebo e-mailů, archivování nebo zadávání do klinických studií...

 

A pokud si nejste jistí, co vše spadá pod osobní údaje, jedná se o údaje, podle kterých lze daného člověka identifikovat.

 

Zde máte nejčastější příklady:

​

• jméno a příjmení,

• pohlaví, věk, datum narození nebo rodné číslo,

• fotografie, zvukový záznam či video,

• kontaktní údaje (e-mailová adresa, poštovní adresa, telefon),

• údaje o zdravotním stavu pacienta,

• sexuální orientace, náboženské vyznání, trestní delikty,

• podpis, DNA, otisk prstu, krevní skupina,

• IP adresa, kulturní profil, příjmy v zaměstnání, OSVČ...

 

Co musím o GDPR vědět - ve 3 bodech?

​

1./ DŮVOD

Abyste mohli používat něčí osobní údaje, potřebujete k tomu mít nějaký právní důvod. Nejčastějším důvodem jsou uzavřené smlouvy (pracovní smlouvy se zaměstnanci, kupní smlouvy...). Dalším důvodem může být, že jejich zpracování ukládá zákon, například postup při účetní a mzdové evidenci v soukromé společnosti. A zatřetí se může jednat o oprávněný zájem, ochranu majetku nebo zdraví (kamerové systémy kvůli zlodějům).

 

Pokud žádný z těchto důvodů nemáte, musíte si pořídit souhlas toho, jehož osobní údaje zpracováváte. Souhlas by však měl být až poslední možností v případě, že žádný z předchozích důvodů nenajdete. Chtít po někom souhlas, ač musí údaj poskytnout na základě zákona, znamená uvést ho v omyl. A to je problém.

 

2./ NEZBYTNOST

Vždycky se nezapomeňte zamyslet: “Potřebuji vůbec tento osobní údaj?” Rozsah zpracovávaných osobních údajů by měl být co nejmenší. Pokud tedy například evidujete údaje svého recepčního, je opravdu nezbytné chtít jeho číslo občanského průkazu, když už máte datum narození? Je vám k něčemu jeho velikost bot nebo zda je svobodný či ženatý? Dávejte také důraz na to, jestli údaje žádáte v relevantním dokumentu. Na závěr nezapomeňte také nositele těchto údajů informovat, proč a jak s jejich údaji nakládáte.

 

Stejně tak je třeba si nechat projít hlavou délku. Pro GDPR sice neznamená vše, přesto je důležitá. Jak dlouho potřebujete zpracovávat dané údaje - kamerové záznamy, životopisy nepřijatých uchazečů? Nařízení dohlíží i na tento aspekt zpracování.

 

3./ ZABEZPEČENÍ

A do třetice, nezapomeňte všechny údaje dostatečně zabezpečit. Zamykejte kartotéky, počítače chraňte složitějšími hesly (1234, datum narození nebo jméno vašeho dítka je věru lehké rozlousknout) a udělujte přístupy jen těm, kteří jej opravdu potřebují. Místa, která je těžké ohlídat, je vhodné monitorovat kamerami. Myslete též na úklidové pracovníky. Jakkoli jim věříte, Úřad nebude mít radost z toho, že se vesele prohání po místnostech, kde se volně válí smlouvy a zapnuté počítače.

​