GDPR-účinnost

Účinnost GDPR (revidováno 18.3.2023)

Při pracovní činnosti se naše jednání a postupy řídily zákonem č. 101/2000 Sb., o ochraně osobních údajů. Po vstupu ČR do EU jsme postupně přebírali legislativu závaznou pro všechny členské státy EU. Jedním ze zákonů, kterým se nyní řídíme a který reviduje povinnosti podle stávajícího zákona o ochraně osobních údajů, je GDPR, který vstoupil v účinnost dne 25. května 2018 a který je zavazující pro všechny firmy, instituce, jednotlivce i on-line služby, které zpracovávají data uživatelů.

GDPR je nový právní rámec ochrany osobních údajů, jehož cílem je hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Proto se musí stát součástí firemní kultury, chování, přístupem k soukromí,  pravidelnou každodenní součástí a samozřejmostí nejen managementu, ale také každého zaměstnance či podnikatele. K tomu je vhodné vypracovat vnitřní směrnice.

Interní směrnice mohou mít tento obsah:

  1. Kde jsou osobní údaje uloženy.
  2. Kdo má k osobním údajům přístup.
  3. Jaká osobní data jsou sbírána a zpracovávána.
  4. Kdo osobní údaje ve firmě sbírá a zpracovává.
  5. Jaký je účel zpracování těchto osobních údajů.
  6. Zda jsou osobní údaje předávány rámci skupiny firem, do zahraničí apod.
  7. Jaké údaje a do jakých zemí jsou osobní údaje předávány.
  8. Jaká osoba ve firmě  zodpovídá za ochranu osobních údajů.
  9. Jak dlouho jsou osobní údaje ve firmě uchovávány a kde jsou uchovávány.
  10. Jakým způsobem (automatizovaně nebo manuálně) jsou osobní údaje zpracovány.
  11. Jakým způsobem a jak silným ověřením identity je zabezpečen přístup k osobním údajům v elektronické podobě.
  12. Jaké komunikační nástroje využíváte při interní a při externí komunikaci.
  13. Jakým způsobem jsou osobní údaje zabezpečeny proti zneužití, ztrátě, nepovolenému odhalení a nepovolenému přístupu.
  14. Jaká opatření podle zákona č. 181/2014 Sb. o kybernetické bezpečnosti aplikovala firma a v jakém rozsahu.
  15. Používáte-li kamerový systém, po jakou dobu jsou uchovávány záznamy.
  16. Zda a jak často ve firmě probíhá školení za účelem ochrany osobních údajů.
  17. Provozujete-li e-shop, rozesíláte-li marketingová a obdobná sdělení, zda provádíte tuto aktivitu sami nebo prostřednictvím třetích osob a call centra.

Osobními údaji rozumíme údaje, podle kterých je možné identifikovat konkrétní osobu a rozumíme údaje, podle kterých Policie ČR dopátrá osoby, které se za údaji skrývají.

Typickými osobními údaji jsou:

  • Jméno, příjmení
  • Adresa
  • Telefonní číslo
  • E-mailová adresa
  • IČ, DIČ, RČ, číslo OP
  • Národnost
  • Pohlaví
  • Věk
  • Datum narození
  • Osobní stav
  • Občanství
  • Etnický a rasový původ
  • Politické postoje
  • Náboženství
  • Příslušnost k církvi
  • Filozofické přesvědčení
  • Členství v odborech
  • Zdravotní stav
  • Genetické údaje (krevní rozbory, DNA profil, rentgenové snímky, lékařské zprávy)
  • Biometrické údaje (podpis, daktyloskopické údaje, snímky obličeje a jiných částí těla, hlasové záznamy)
  • Sexuální orientace
  • Výpis z rejstříku trestů
  • Trestní delikty, odsouzení
  • Kopie pasu
  • Kopie občanského průkazu
  • Osobní údaje vašich dětí
  • Fotografie, osobní video, video z akcí, obrazový materiál
  • Snímky zaměstnanců na webu, facebooku apod., ve výročních zprávách, marketingových a propagačních brožurkách
  • Databáze zákazníků, klientů a potencionálních klientů
  • Databáze dodavatelů
  • Databáze zaměstnanců
  • Databáze osob pracujících na smluvní vztah
  • Čísla kreditních karet, debetních karet, bankovních účtů
  • Nástroje pro rozesílání hromadných e-mailů
  • IP adresa
  • Cookies
  • Facebook
  • Google Adwords 
  • Administrace webů – evidence vyplněných objednávek a kontaktních formulářů 
  • Interní software
  • Analytické nástroje
  • Marketingové aktivity typu affiliate marketing, retargeting, remarketing, custom audiences, pořádání eventů, soutěží či analytika

Příklad č. 1:

Chcete-li oslovit nové potencionální zákazníky, zasílat jim na e-mailové a obdobné adresy nabídky, novinky, akční slevy apod., je nutné získat souhlas od zákazníků.  Musíte zákazníky srozumitelně a dostatečně informovat o tom, které jejich údaje zpracováváte, proč je zpracováváte, kdo k nim má přístup a jakou dobu budete data uchovávat, dostatečně a srozumitelně je informovat, jaká mají práva ve vztahu ke svým údajům a jakým způsobem mohou svá práva uplatnit.

Příklad č. 2:

Máte-li se zákazníkem sepsanou objednávku nebo smlouvu, údaje o zákazníkovi budete sbírat pouze v rozsahu, který je nezbytný pro plnění či splnění smlouvy a pro vyřízení objednávky. Máte-li e-shop a  budete-li sbírat údaje nutné pouze v rozsahu pro odeslání zboží a údaje nutné pouze pro řešení případných reklamací, je právním důvodem této činnosti plnění smlouvy, a v souladu s preambulí č. 171 Nařízení je výjimka v tom, že pokud zpracování údajů bylo založeno na souhlasu podle směrnice 95/46/ES není nutné získávat souhlas od zákazníků za předpokladu, že tento souhlas je v souladu s podmínkami GDPR.

Příklad č. 3:

Jako zaměstnavatel instalujete na pracovišti kamery, které monitorují pracoviště. Je-li instalace kamer provedena za účelem ochrany majetku zaměstnavatele nebo z důvodu ochrany zdraví a života zaměstnanců a zajištění bezpečí na pracovišti, není nutné získávat souhlas. Monitoring nesmí být prováděn za účelem snímání soukromí zaměstnanců, kamery nesmí být instalovány v převlékárně, na toaletě, ve sprchách. Vstupují-li třetí osoby (klienti, návštěvy apod.) do monitorovaných prostor, i oni musí být seznámeni s tím, že budou monitorováni kamerami, např. formou piktogramu s vyobrazením průmyslové kamery.

Příklad č. 4:

Používáte-li ve služebních vozidlech GPS, zaměstnanec musí být upozorněn na tuto formu kontroly a sledování. Poskytnete-li služební vozidlo s GPS k soukromým jízdám mimo pracovní dobu zaměstnance, nepřetržité využívání lokátorů GPS musí být vypnuto, aby se nejednalo o zásah do soukromí bez legitimního zájmu zaměstnavatele. 

Příklad č. 5:

Zvláštní režim mají e-maily, které jsou pod ochranou listovního tajemství. E-mailové adresy rozdělujeme do tří skupin, na adresy soukromé, adresy pracovní a adresy se zvláštním režimem. Za soukromé e-mailové adresy jsou považovány ty, které jsou umístěny na tzv. freemailových serverech typu seznam.cz, centrum.cz, gmail.com apod., a to těchto e-mailů zaměstnavatel nemůže nikdy nahlížet. Za pracovní e-mailové adresy jsou považovány e-maily např. karel.vopička@zaměstnavatel.cz a ty zaměstnavatel může kontrolovat s tím, že má podezření, že zaměstnanec užívá svěřené prostředky k jiným než pracovním úkolům.  Za e-maily se zvláštním režimem je považována adresa office@domena.cz, označovaná za tzv. úřední elektronickou adresu. Tato adresa není považována za soukromou adresu, a proto do e-mailu zaměstnavatel  může nahlížet.

Příklad č. 6:

Jste-li rozhodnuti nebo rozhodnuty, že budete fotografovat nebo se budete nechávat fotit, musíte znát zásady správného pózování i pózy, které je vhodné používat. Proto samotný souhlas s fotografováním není vyjádřeným souhlasem ke zveřejňování nafotografovaných póz. K tomu je potřebný souhlas k užití a v tomto případě nepostačí ani tzv. generální souhlas, ale je nutné mít souhlas konkrétní.

Příklad č. 7:

Budete-li fotografovat hromadné akce (kulturní, sportovní, vernisáže apod.), zásadní smluvní vztah bude nikoliv se subjektem údajů, ale s pořadatelem (organizátorem) akce a musí být přesně vymezený.

Příklad č. 8:

Vizážisté, kteří výsledky své práce přenášejí na fotografii a tuto vystavují na svém webu, na sociálních sítích apod.,  musí mít od fotografovaných osob souhlas.

Příklad č. 9:

Děti – velmi citlivé téma. Pro zpracování osobních údajů dětí, které nejsou zpracovávány ze zákonného důvodu, GDPR nařizuje souhlas od dítěte samotného a současně souhlas i od jeho zákonného zástupce.

Příklad č. 10:

Mezi časté dotazy patří, zda je možné na vlastních webových stránkách (stránky OSVČ nebo stránky podnikové) zveřejnit firmy nebo zveřejnit OSVČ, za kterými máte neuhrazené pohledávky po splatnosti. Na fyzické osoby, pracující jako OSVČ, se vztahuje zákon o ochraně osobních údajů, a proto zveřejnění tohoto podnikatele je možné pouze při udělení souhlasu dlužníka. Na právnické osoby (firmy a společnosti) se zákon o ochraně osobních údajů nevztahuje, ale z hlediska jiných právních norem je možné toto zveřejnění napadnout, např. občanskoprávní žalobou.