Příběhy úspěšných > Martina Švejdová: Podnikatelé by měli mít přehled o tom, jaké osobní údaje zpracovávají

Martina Švejdová: Podnikatelé by měli mít přehled o tom, jaké osobní údaje zpracovávají

Jedním z klíčových témat, která se diskutovala na letošních regionálních byznys snídaních, byla problematika ochrany osobních údajů. V Pardubicích vystoupili s příspěvkem ke GDPR zástupci advokátní kanceláře PADĚRA, RADA & PARTNEŘI s.r.o. Vítězslava Paděry a Martiny Švejdové jsme se vyptali na podrobnosti ochrany osobních údajů.

Co spadá pod pojem „osobní údaj“?
Osobním údajem je vše, prostřednictvím čehož může být fyzická osoba přímo či nepřímo identifikovaná. Typicky se jedná o jméno a příjmení, adresu nebo telefonní číslo. Osobním údajem je ale i IP adresa, GPS souřadnice nebo třeba počet dětí, které máte, či zůstatek na Vašem bankovním účtu. Údaje týkající se právnických osob se za osobní údaje nepovažují, to se však nevztahuje na osobní údaje kontaktních osob nebo statutárních orgánů právnických osob, na ty se právní regulace ochrany osobních údajů rovněž vztahuje.

Co všechno může být zpracováním osobních údajů, konkrétně na příkladu malé nebo středně velké firmy?
Obecně lze u všech společností uvést, že zpracovávají osobní údaje svých zaměstnanců v rámci vedení personální nebo mzdové agendy. Dále také běžně společnosti zpracovávají osobní údaje svých obchodních partnerů či zákazníků v rámci obchodního styku nebo zákaznické péče. Ochraně totiž podléhají i osobní údaje uvedené na smlouvách nebo na fakturách. Pozor si společnosti musí dát i na provoz kamerového systému, GPS monitoring služebních vozidel, či zasílání marketingových sdělení nebo využívání cookies na jejich webových stránkách.

Některé společnosti se domnívají, že pokud mají uložené osobní údaje, ale „aktivně“ je nepoužívají, nejedná se o zpracování. Pod pojmem zpracování se však rozumí také uspořádání, uložení, zaznamenání nebo seřazení.

Jaké jsou základní povinnosti podnikatelů v souvislosti s obecným nařízením o ochraně osobních údajů?
Za základní povinnost podnikatelů je třeba bezpochyby označit ochranu osobních údajů před jejich zneužitím a zajištění omezení přístupu neoprávněných osob k osobním údajům. Také by měli podnikatelé dbát na dodržování zásad ochrany osobních údajů, například zpracovávat osobní údaje v přiměřeném rozsahu, po přiměřenou dobu a hlavně pro účel založený na jednom z právních titulů stanovených právní úpravou. Další zásadní povinností správců osobních údajů, tedy společností, je informování subjektů, tedy osob, jejichž osobní údaje zpracovávají. Tuto povinnost je možno splnit například informačním memorandem zveřejněným na webových stránkách společností. Správci osobních údajů mají i další povinnosti, která souvisí s právy subjektů, o nichž se dočtete dále.

Na co by si podnikatelé v souvislosti s obecným nařízením o ochraně osobních údajů měli dávat největší pozor?
Důležité je nepodcenit tzv. analýzu neboli mapování interních procesů týkajících se osobních údajů. Podnikatelé by měli mít přehled o tom, jaké osobní údaje zpracovávají, kdo má k těmto osobním údajům přístup a zda jej skutečně daná osoba potřebuje, jaký je účel zpracování osobních údajů, kde se uchovávají osobní údaje, ať již v elektronické nebo písemné podobě a v jakých lhůtách se likvidují. Rovněž je třeba znát a dodržovat veškerá práva subjektů osobních údajů. Pokud podnikatelé předávají osobní údaje kupříkladu svých zaměstnanců, případně obchodních partnerů (faktury, smlouvy) například externí účetní společnosti, je třeba s tímto zpracovatelem uzavřít příslušnou smlouvu o zpracování osobních údajů.

Jak je potřeba osobní údaje zabezpečit?
K tomuto se předmětné nařízení vyjadřuje velice obecně – přijetím vhodných technických a organizačních opatření. Konkrétně doporučujeme omezit přístup osob ke zpracovávaným osobním údajům, vymezit tedy jen určité oprávněné osoby s přístupem, případně omezit jejich přístupová oprávnění, aby měli přístup jen k tomu, co opravdu potřebují například při výkonu své práce pro společnost. Je třeba také zabezpečit zálohování osobních údajů, aby bylo možné je v případě potřeby obnovit. Dále je třeba mít aktivní antivirové systémy a počítače či mobilní telefony zabezpečit přístupovými hesly, která by se měla pravidelně měnit. Osobní údaje uchovávané v listinné podobě by měly být například uzamčeny ve skříních, nebo uloženy v kanceláři či archivu, do něhož nemají přístup neoprávněné osoby. Mezi vhodná technická a organizační opatření lze přiřadit také šifrování či pseudonymizaci.

Jaká jsou základní práva subjektů údajů?
Subjektům náleží například právo na informace o tom, jak jsou jejich osobní údaje zpracovávány, právo na opravu či právo na přístup k jejich osobním údajům. Za určitých podmínek mají i právo na omezení zpracování, právo vznést námitku nebo právo na přenositelnost. Nejvíce diskutovaným právem subjektů údajů je právo být zapomenut. To obsahuje správcovu povinnost osobní údaje subjektů za určitých podmínek beze zbytku zničit, přičemž ale toto právo není vždy splnitelné – například pokud má správce povinnost osobní údaje uchovávat za účelem splnění svých zákonných povinností, nelze subjektu údajů vyhovět. Výkon veškerých těchto práv by měl správce vždy zajistit – z práv subjektů údajů tedy plynou pro správce s tím související povinnosti.