Víte vše o ochraně osobních údajů o zákaznících
Tento článek je převzatý ze zdroje pravniradce.ihned.cz, a pro účely pochopení, jak chránit osobní údaje, jsem si dovolil vybrané části okomentovat (Pavel Židek).
Obecné nařízení EU, které rozšiřuje ochranu osobních údajů, bude nutné dodržovat nejpozději od května roku 2018. Podnikatelé by však přípravu neměli podcenit, kvůli vysokým sankcím se to nevyplatí.
[pullquote]Pokuta 500 milionů Kč, to by položilo hodně firem.[/pullquote]Pokuta ve výši až 20 milionů eur může čekat podnikatele, kteří do května 2018 neprovedou změny zpřísňující ochranu osobních údajů. Nové nařízení vydané Evropskou unií se týká nejen internetových služeb a sociálních sítí, ale například i lékařů a firem, které využívají takzvané cookies. Tedy údaje, které internetové prohlížeče ukládají o činnosti uživatele. Právě tyto cookies budou nově považovány za osobní údaje, proto by weby měly hned při vstupu žádat o klientův souhlas.
Co se mění
Dosud byly společnosti v Česku vázané pravidly stanovenými zákonem o ochraně osobních údajů. [pullquote]V programu MUKwin je účel zpracování mezd. Jakmile účel pomine, netuším proč by se tyto údaje měly vymazat, když se musí několik let archivovat.[/pullquote] „Nejdůležitější povinností podnikatelů je nyní především stanovit účel zpracování, následně zpracovávat osobní údaje pouze za tímto účelem, a jakmile účel pomine, osobní údaje vymazat,“ vysvětluje Michal Nulíček z advokátní kanceláře Rowan Legal. Společnosti musí vést záznamy o tom, kdo má k údajům přístup, a zajistit, aby se k nim dostaly jenom osoby povolané. Důležitou roli v agendě osobních údajů hraje i Úřad pro ochranu osobních údajů (ÚOOÚ), který plní kontrolní funkci.
[pullquote]Šifrování dat je bezva věc. Problém je, že jakmile se něco dobře zašifruje a následně se zapomene heslo, tak se tato data špatně dešifrují (někdy vůbec.)[/pullquote]Nová evropská úprava bude pro podnikatele znamenat především větší důraz na zabezpečení osobních údajů, například šifrováním, a více povinností. Přináší však i vyšší sankce, které mohou být pro společnosti citelné.
Jak je to se sankcemi
Nyní může Úřad pro ochranu osobních údajů trestat nedostatečnou ochranu dat několika způsoby. „Může se jednat o drobnější záležitost typu úpravy úhlu záběru kamerového systému, může však také jít o rozsáhlejší opatření k nápravě, jako je uložení likvidace osobních údajů v případě, že dochází k jejich zpracovávání v rozporu se zákonem,“ udává David Pavlát, tiskový mluvčí úřadu.
[pullquote]Zde je opět příležitost, jak likvidovat drobné podnikatele.[/pullquote]“Zákon nyní také Úřadu pro ochranu osobních údajů umožňuje uložit pokutu, a to až do výše 10 milionů korun,“ dodává mluvčí. Výše pokuty se odvíjí od závažnosti, způsobu i doby trvání a od následků protiprávního jednání.
Právě navýšení sankcí je jednou z největších změn, které evropské nařízení přináší. Nově bude moci ÚOOÚ uložit podnikateli pokutu ve výši až 20 milionů eur (zhruba 550 milionů korun) nebo čtyři procenta z celosvětového ročního obratu, a to podle toho, která z částek je vyšší.
Změny, které firmy zaznamenají, se budou odvíjet od rozsahu a povahy zpracování osobních údajů, které daný podnikatel provádí. „Celkově je smyslem obecného nařízení posílit úroveň ochrany osobních údajů a soukromí jakožto základního lidského práva,“ vysvětluje význam úpravy mluvčí ÚOOÚ Pavlát.
[pullquote]Takže veškerá ochrana osobních údajů bude postavena na nějakém kousku papíru, kde se podnikatel zaváže, že osobní údaje svých zaměstnanců někde nezveřejní.[/pullquote]Nařízení zvýší nároky na poskytování souhlasu a nutnost revize současných smluvních vztahů. „Všichni podnikatelé, kteří na základě souhlasu zpracovávají osobní údaje, budou muset provést komplexní revizi již udělených souhlasů a způsobů, jakými je získávají,“ uvádí advokát Nulíček.
Dále bude nutné komunikaci s jednotlivci vést jednoduše, to znamená jednoduchými jazykovými prostředky, stručně a komunikace bude muset být snadno dostupná, tak aby nedocházelo k nedorozumění.
Pozor na předávání údajů
[pullquote]Zde opět pozor na dobře zpracovaný souhlas mezi společnostmi. I zde si ale musíte dát pozor a danou další společnost prověřit, zda splňuje všechny náležitosti.[/pullquote]Podnikatel bude muset být na pozoru v případě, kdy údaje poskytuje (outsourcuje) ke zpracování další společnosti. Je potřeba vybrat si takovou společnost, která splňuje všechny náležitosti.
Změny platí také pro podobu smluv s externími firmami, protože Evropská unie nově stanovuje určité obsahové náležitosti, které bude nutné do nových i již uzavřených smluv promítnout.
Nařízení EU přináší i nová práva, kterých se budou moci uživatelé domáhat. To znamená technickou změnu systému společností, jež osobní údaje zpracovávají.
„Nařízení přinese také nová práva, například na přenositelnost údajů, tedy právo získat osobní údaje, jež dotyčný poskytl správci, a právo předat je jinému správci, dále právo být zapomenut, to znamená možnost požádat internetové vyhledávače o odstranění odkazů na moji osobu z vyhledávání,“ vysvětluje mluvčí Úřadu pro ochranu osobních údajů Pavlát.
Je nutné vést evidenci
Nové nařízení zavádí i povinnost vést evidenci zpracování osobních údajů a na požádání ji předložit ke kontrole ÚOOÚ. „Tuto povinnost však nebudou mít podnikatelé zaměstnávající méně než 250 zaměstnanců, ledaže zpracování dat představuje riziko pro práva a svobody dotčených lidí nebo zahrnuje zpracování takzvaných citlivých údajů,“ dodává Nulíček z advokátní kanceláře Rowan Legal. Za citlivé údaje jsou považovány záznamy o rasovém či etnickém původu, politickém názoru, náboženském vyznání, zdravotním stavu, sexuálním životě a podobně.
[pullquote]Otázka je, jaká práva a hlavně jaké povinnosti má tento pověřenec. Jakmile ÚOOÚ najde někde chybu, bude bitý pověřenec nebo celá firma.[/pullquote]Další povinností podnikatelů, kteří ve velké, systematické a pravidelné míře spravují nebo zpracovávají osobní údaje, je jmenování takzvaného pověřence pro ochranu osobních údajů. Funkce pověřence pak spočívá mimo jiné v dohlížení na dodržování nařízení a spolupráci s ÚOOÚ. Pověřencem může být zaměstnanec podniku, ale i externista, s kterým podnikatel uzavřel smlouvu o poskytování služeb.
Povinnost hlásit úniky údajů
Za poslední roky bylo zaznamenáno hned několik významných úniků dat, a to nejenom v zahraničí, ale také v České republice. Lze uvést například únik dat telekomunikačního operátora T-Mobile z dubna letošního roku, kdy data převážně pro marketingové účely zcizil interní zaměstnanec společnosti. Takový incident bude nyní podnikatel povinen nahlašovat Úřadu pro ochranu osobních údajů.
Pokud lze předpokládat, že úniky působí riziko pro práva a svobody fyzických osob, bude muset správce incident hlásit samotným dotčeným lidem.
Několik nezodpovězených otázek:
Jakmile se počítač s osobními údaji pokazí, co dále …
- kdo počítač opraví?
- musí zaměstnanec servisu podepsat nějaký papír, aby si data nezkopíroval?
- jestliže počítač posílám přepravní firmou do servisu, kdo podepíše nějaký papír?
- musím daný servis prověřovat, zda splňuje veškeré náležitosti?
a dále …
- jakmile budu mít nějaké podezření o úniku informací (např. v hospodě se někdo pochlubí), tak musím tuto skutečnost nahlásit … nějak mi to připomíná bývalý režim.
- je nutné revidovat smlouvy se společnostmi, které za podnikatele zpracovávají … univerzální smlouva neexistuje, za revizi smluv si musím zaplatit právníka, což zvyšuje další náklady.
- pořád je plno slov o ochraně osobních údajů, ale každý malý živnostník (neplátce DPH) musí na účtence v EET uvádět DIČ, což je jeho rodné číslo.
Závěrečné hodnocení … ochranu osobních údajů výstižně popsal Vladimír Renčín.