Nebojte se GDPR, část druhá

Některými nepřesnými informacemi, které se v souvislosti s GDPR objevily, jsme se věnovali v předchozím článku. Nyní vám přinášíme další sadu informací, se kterými se můžete převážně na internetu setkat, a uvádíme je na pravou míru. Cílem těchto dvou našich článků je ukázat vám, že GDPR neznamená konec světa.

Informace: K jakémukoliv zpracování osobních údajů musím mít souhlas osoby, které se osobní údaje týkají.

Pravda: Právě naopak. GDPR se snaží, aby souhlas se zpracováním byl až poslední možností, pokud žádný jiný důvod pro zpracování nepřichází v úvahu. Těmito jinými (a preferovanými) důvody pro zpracování je např. plnění smlouvy, plnění zákonné povinnosti nebo oprávněné zájmy správce osobních údajů. Ke zpracování na základě těchto důvodů žádný souhlas nepotřebujete. Naopak, jeho vyžadování je z hlediska právních předpisů považováno za nadbytečné.

Informace: Až přijde prováděcí zákon k GDPR, všechno se znovu změní.

Pravda: Zákon o zpracování osobních údajů, který je v době uveřejnění tohoto článku projednáván v Poslanecké sněmovně, bude upravovat pouze několik oblastí ochrany osobních údajů. Primárně se bude jednat o záležitosti státní správy (např. organizace Úřadu pro ochranu osobních údajů). Pro běžné podnikatele stojí za zmínku snad jenom stanovení věku, od kterého může dát dítě samo souhlas se zasíláním obchodních sdělení (GDPR stanoví hranici 16 let, zákon může tuto hranici snížit, minimálně však na 13 let).

Informace: Pokud mě kontaktuje osoba se žádostí o výmaz osobních údajů, musím smazat úplně všechny osobní údaje, které o ní mám (z faktur, z evidence zaměstnanců, z marketingové databáze atd.).

Pravda: Právo na výmaz (neboli „právo být zapomenut“) není v žádném případě bezbřehé. Týká se primárně zpracování, které je založené na souhlasu, na zpracování, pro které již není důvod a do jisté míry také na zpracování, které je založené na správcově oprávněném zájmu. V žádném případě to však neznamená, že budete muset zničit všechny doklady, které obsahují osobní údaje dané osoby. Tyto doklady totiž většinou zpracováváte ze zákonných důvodů a na ně se právo na výmaz nevztahuje.

Informace: Bez šifrování osobních údajů se neobejdete.

Pravda: Šifrování je pouze jednou z možností, jak zabezpečit osobní údaje, a není nezbytné za každých okolností. Šifrování bude vhodné hlavně v případě rozsáhlých zpracování osobních údajů. GDPR ukládá povinnost zabezpečit osobní údaje pomocí „technických a organizačních opatření“. Tato opatření budou ale u každého správce odlišná (bude záležet např. na rizikovosti zpracování). My můžeme doporučit osobní údaje zabezpečit proti zneužití vícero způsoby – pro běžné podnikatele to může být např. zabezpečení fyzické (zámky, mříže, omezení přístupu nepovolaných osob atd.), elektronické (antivirová ochrana atd.) a právní (povinnost mlčenlivosti, interní směrnice atd.).

Závěrem

GDPR klade velký důraz na to, aby byli správci schopní prokázat dodržování svých povinností. Důrazně tedy doporučujeme stanovit si pravidla nakládání s osobními údaji a ukládat si záznamy o zpracování osobních údajů (např. záznamy o udělených souhlasech) a v případě kontroly je Úřadu pro ochranu osobních údajů předložit.

Pokud potřebujete s GDPR jakkoliv poradit, napište nám nebo zavolejte. Nabídneme vám jasné a jednoduché řešení.

Kontaktní formulář

Čekejte prosím, odesílám Váš dotaz