Podnikáte? Zabezpečte osobní údaje. Poradíme, jak na GDPR

aktualizováno 
Nejen podnikatelé jsou v panice. Stejně tak třeba party místních hasičů, kluby aktivních důchodců či útulky pro psy se děsí toho, aby od 25. května dokázaly správně uchovávat osobní data. Ten den totiž začne platit obávané nařízení GDPR.

Ilustrační snímek | foto: Profimedia.cz

Na jednu stranu úřední otrava, na druhou stranu rizika, která si možná ani nedovedeme představit. Doteď v práci s daty vládla úplná anarchie. GDPR (General Data Protection Regulation), obecné nařízení o ochraně osobních údajů, nastavuje druhý extrém ochrany za každou cenu. Časem nejspíš dojde k vytvoření funkčního kompromisu.

„Je to asi jako když se před lety mohl na cesty vydat každý, kdo na dvorku sestavil auto. Pak se ukázalo, že provoz automobilů přináší rizika a společnost si začala nastavovat pravidla. A některá byla zpočátku bláznivá až šikanující - třeba že před autem musí běžet člověk s praporkem. Nakonec se společnost shodla na funkčních předpisech,“ připodobňuje Pavel Kasík ze serveru Technet.cz.

Pravidla GDPR platí s určitými výjimkami pro každého, kdo zpracovává osobní údaje, a to nehledě na skutečnost, zda jde o podnikatele jakožto jednotlivce, spolek, nebo velkou nadnárodní společnost. Začátek je pro všechny stejný: udělejte si audit - analýzu nebo prostě přehled. Jak na to? 

1. Sepište si:

  • která data a o kom evidujete
  • na co je potřebujete
  • kdo k nim má přístup

2. Ujasněte si: 

  • jestli evidujete jen ta data, která opravdu potřebujete. E-shop s kabelkami opravdu nepotřebuje znát rodná čísla zákaznic.

3. Stanovte si: 

  • jak s daty budete pracovat bezpečně
  • ideálně to udělejte písemně, vytvořte si na práci s daty směrnici
  • udělejte to, i když třeba podnikáte jako OSVČ - směrnice je totiž závazek, se kterým byste měli seznámit i své klienty, aby věděli, co se děje s daty, která vám svěří

Jak postupovat v konkrétních případech, radí advokát Ondřej Vokál.

1. PříkladMalý podnikatel OSVČ

Laura má e-shop. Prodává v něm vlastní výrobky - svatební dekorace. Materiál na výrobu dekorací obvykle nakupuje od různých dodavatelů, firem i soukromých osob. Platí převodem z účtu a dostává faktury. Ty si eviduje v daňové evidenci.

Proč mít data v bezpečí?

Nejde jen o to, aby vám nechodily nevyžádané e-maily (ostatně těch se dá několika kliknutími jednoduše zbavit). Představte si ale jinou situaci:

Pravděpodobně i vy máte několik hesel. Jedno ultrabezpečné, jedno bezpečné a jedno, které používáte většinou. Třeba když se registrujete při nákupu v obchodě. A jeden z těch obchodů zpronevěří data. A někdo (s pomocí techniky) najde ostatní obchody, kde jste registrován a máte stejné „obyčejné“ heslo. A v některém jste možná uložil pro jednodušší nakupování číslo své karty.

Není nic snazšího než vaším jménem objednat, vaší kartou zaplatit a v kamenné prodejně si vyzvednout třeba nový iPhone. Technicky zdatné leč morálně nevyspělé jedince jistě napadne mnoho dalších způsobů, jak nezabezpečená data využít.

Zákazníci jí platí také převodem z účtu a poskytují e-mail, telefon a adresu, kam má zboží zaslat. Kontaktní informace si Laura uchovává v počítači v excelovském souboru. Uchovává si je, aby byla schopna spárovat platbu s konkrétní objednávkou pro příklad reklamace, nebo kdyby potřebovala požádat o dobré reference.

Laura zpracovává údaje dvou typů subjektů, dodavatelů a zákazníků, pokud jde v obou případech o fyzické osoby. Údaje zákazníků sbírá pouze v rozsahu, který je nezbytný pro plnění smlouvy, tedy vyřízení objednávky, odeslání zboží a případné řešení reklamací.

Jelikož je právním důvodem tohoto zpracování plnění smlouvy, není třeba získávat od zákazníků jejich předchozí souhlas. Pokud by ovšem Laura chtěla zákazníkům posílat nabídky či novinky na jejich e-mailové adresy, musela by za tímto účelem jejich souhlas získat.

Laura musí zákazníky dostatečně a srozumitelně informovat například o tom, které jejich údaje zpracovává a proč, kdo k nim má přístup, po jakou dobu zpracování probíhá či jaká práva lidé ve vztahu ke svým údajům mohou uplatnit. Tyto a další informace by Laura měla uvést na webu svého e-shopu, třeba pod hlavičkou „Zásady ochrany osobních údajů“.

Základem je, aby informace byly podány jednoduše, srozumitelně a úplně, správci údajů mají v rámci transparentnosti informovat upřímně a nic nezamlčovat. Pak bude všechno v pořádku. Přistoupit k plnění informační povinnosti lze různým způsobem, hlavní je, aby byly zahrnuty všechny informace podle článku 13 (případně 14) GDPR.

Jejich formulace může vypadat třeba takto:

Příklad informací uváděných v sekci „Zásady ochrany osobních údajů“:

Aby náš e-shop mohl dobře fungovat, musíme zpracovávat některé vaše osobní údaje. Správcem osobních údajů ve vztahu k tomuto e-shopu je Laura Novotná, IČO: (●), se sídlem (●), telefon: (●), e-mail: (●).

Vaše osobní údaje zpracováváme pro následující účely: 

  • Vyřízení objednávky a řešení případných reklamací. 
  • Abychom vám mohli odesílat objednávky a zajistit efektivní vyřešení vašich případných požadavků a reklamací, zpracováváme vaše jméno a příjmení, doručovací adresu, e-mail, telefonní číslo, číslo bankovního účtu, objednané zboží a jeho cenu.
  • Právním důvodem tohoto zpracování je plnění smlouvy. Uvedené osobní údaje za tímto účelem zpracováváme po dobu trvání záruční doby.
  • Zasílání newsletteru a obchodních nabídek. Abychom vás mohli informovat o aktuálních nabídkách a slevách, zpracováváme vaše jméno a příjmení a e-mailovou adresu. Právním důvodem tohoto zpracování je váš souhlas, který nám poskytujete při vyplnění registračního formuláře a který můžete kdykoli odvolat.
  • Pro lepší kvalitu našich služeb spolupracujeme s některými zpracovateli, kterým mohou být vaše data zpřístupněna. Ke zpřístupnění dochází výhradně v souvislosti se službami našeho e-shopu a pouze v nezbytném rozsahu. Těmito zpracovateli jsou: Google, Mailchimp (newslettery). Nikomu dalšímu osobní údaje bez vašeho výslovného souhlasu neposkytujeme.

Jak postupovat dál? 

Faktury dodavatelů rovněž obsahují osobní údaje. Jejich zaznamenávání a archivace v rámci daňové evidence je plněním zákonné povinnosti, jež se na OSVČ vztahuje. Laura musí v tomto ohledu zajistit, aby byly faktury dostatečně zabezpečeny proti odcizení či jinému zneužití. 

Neměla by je proto mít poházené po stole v obývacím pokoji nebo vyskládané v knihovně, ale ideálně by se měla postarat o to, aby byly uložené v uzamykatelné skříni, místnosti či trezoru, což se vzhledem k možnostem Laury jeví jako vhodné a adekvátní opatření.

Případná likvidace dokumentů by rovněž měla probíhat řádně a bezpečně, ideálně formou skartace.

Je vhodné ještě doplnit, že si Laura vzhledem k charakteru a objemu shromažďovaných údajů rozhodně nemusí pořizovat žádný speciální software. Je nicméně povinna dodržovat základní zásady bezpečnosti, tedy například zabezpečit přístup do počítače (respektive k uživatelskému účtu) heslem, používat firewall, pravidelně aktualizovat antivirovou ochranu a neukládat data na veřejných úložištích.

Může však zvážit třeba používání bezpečných cloudových služeb garantujících soulad s GDPR či zavedení šifrování souborů za účelem vyšší jistoty bezpečnosti dat.

2. PříkladMalý podnikatel s jedním zaměstnancem

Václav má malý obchod v okresním městě. Protože potřebuje pokrýt celou otevírací dobu, což by sám nezvládal, zaměstnal prodavačku. Protože Václav není moc dobrý na „papíry“, najal si externí účetní, která za něj řeší daňovou i mzdovou a personální agendu.

V obchodě se dá platit hotovostí i kartou. Platby převodem z účtu nejsou možné. Zákazníci, kteří se registrovali (jméno, e-mail) dostávají elektronicky informaci o akčních nabídkách a mohou je využít přednostně.

Václav si vede databázi dodavatelů (firma/osoba, e-mail, telefon, web, číslo účtu, typ objednávaného zboží). Stejně tak má tabulku, ve které má poznamenané e-maily na zákazníky, kteří se registrovali ve věrnostním programu. K oběma tabulkám má přístup i jeho prodavačka.

Pro Václava platí stejná pravidla jako v případě Laury, avšak jeho situace se liší přinejmenším tím, že má jednu zaměstnankyni a využívá služeb externí účetní, která na základě smlouvy zpracovává jím shromážděné osobní údaje.

Školení a protokol

Jako zaměstnavatel je Václav povinen zajistit řádné proškolení svých zaměstnanců v oblasti ochrany osobních údajů a přijmout vnitřní předpis, který bude upravovat postupy při zacházení s osobními údaji, včetně postupů v případě bezpečnostních incidentů.

Jelikož zpracování osobních údajů při Václavově podnikání není nikterak rozsáhlé a komplikované, interní předpis i školení mohou být koncipovány poměrně jednoduše. O proškolení a seznámení s pravidly je vhodné se zaměstnanci následně sepsat protokol.

Školení neznamená, že prodavačka stráví dva dny na nějakém obecném semináři. Jeho cílem je seznámit zaměstnance s jejich povinnostmi při práci s osobními údaji tak, jak jsou uvedeny v interním předpisu, a udělit jim případné doplňující konkrétní pokyny, aby věděli, jak si následně v praxi počínat. Například:

  • Ukládat faktury a objednávkové listy na určené místo a nenechávat je volně na pultu.
  • Nekopírovat databáze s osobními údaji na soukromý e-mail či USB disky a „nevynášet“ data ven.
  • Odhlašovat se z elektronických systémů před opuštěním prodejny.
  • Hlásit jakékoli problémy či nesrovnalosti.

Pracovněprávní vztah je pro podnikatele z hlediska GDPR důležitý ještě z pohledu zpracování osobních údajů zaměstnanců. Václav svou zaměstnankyni musí v nezbytném rozsahu informovat o ochraně jejích osobních údajů, proto bude nutné upravit pracovní smlouvu, případně uzavřít dodatek k té stávající. 

Pro firmy s více zaměstnanci je vhodnější nedávat poučení o zpracování osobních údajů přímo do pracovních smluv, protože když by se něco změnilo, musí měnit všechny smlouvy. Mohou poučení zapracovat do nějakého vnitřního předpisu a zaměstnancům zpřístupnit třeba na internetu.

Smlouva s externí účetní musí poté dostatečným způsobem upravovat mechanismus odpovědnosti v oblasti ochrany údajů, neboť Václav se jakožto správce osobních údajů nezbavuje odpovědnosti pouze tím, že zpracováním údajů pověří externí subjekt. Osoby, jichž se údaje týkají, je třeba rovněž informovat o tom, že účetní má k jejich datům přístup.

Účetní bude uvedena jako jeden ze zpracovatelů (tedy třetích stran, které mají přístup k osobním údajům a provádějí jejich zpracování) v interní směrnici a informačních dokumentech Václavovy firmy. Účetní nemusí být jmenována konkrétně (jméno, příjmení, kde bydlí apod.), ale postačí například uvést, že jde o externího poskytovatele účetních služeb.

Komplikace s věrnostními programy

Pozor si Václav musí dát také v souvislosti s pořádáním věrnostních programů - zákazníci při registraci musejí poskytnout souhlas se zpracováním svých údajů za tímto účelem, přičemž tento souhlas mohou kdykoli odvolat, což jim Václav musí umožnit. Václav musí být také schopen kdykoli prokázat, že mu souhlasy byly uděleny, což lze nejlépe ošetřit zasíláním potvrzovacích e-mailů (tzv. double opt-in).

Václav by měl omezit přístup prodavačky k interním databázím na nezbytné minimum, tedy zajistit, aby měla přístup pouze k těm údajům, které nutně potřebuje k výkonu práce. Lze se domnívat, že čísla účtů dodavatelů či e-mailové adresy zákazníků pro ni nepředstavují informace nezbytně nutné.

Jak se vypořádat s GDPR v případě, že máte veřejné centrum nebo spolek, poradíme v úterý 24. dubna na iDNES Finance.



Nejčtenější

Chtěla potvrzení o bezdlužnosti, teď je dlužníkem ona

Ilustrační snímek

Centrální registr dlužníků poskytuje mimo jiného vydání potvrzení o bezdlužnosti. To však nikdo v České republice...

Expertka: Ceny za hygienu zubů jsou různé, je to jako v luxusní restauraci

Prezidentka Asociace zubních hygienistek ve své pracovně.

Paní Eva dochází už tři roky na zubní hygienu v Přerově. Za každou návštěvu zaplatí kolem šesti set korun. Její sestra,...



Kvíz: Zvládli byste práci v nadnárodní korporaci?

Ilustrační snímek

Pokud splňujete kvalifikační předpoklady pro nabízenou pracovní pozici a ještě k tomu máte na obdobném postu i...

Zmapovali jsme deset aktuálně nejvýhodnějších běžných bankovních účtů

Ilustrační snímek

V Česku přibývají bankovní účty, které lze zřídit zdarma bez jakýchkoliv podmínek. Vyplývá to z analýzy, kterou server...

Devět osobních doporučení, jak dát svému životu smysl

Ilustrační snímek

Mark Twain byl úspěšným romanopiscem, ale i trefným a často ironickým pozorovatelem lidských osudů. V jeho díle lze...

Další z rubriky

Advokátka: Sexuální útoky a šikanu v práci zákony dostatečně neřeší

Ilustrační snímek

Případů sexuálního obtěžování nebo šikany v práci je podle odborníků hodně, ale na rozdíl od západních států se o nich...

Kvíz: Zvládli byste práci v nadnárodní korporaci?

Ilustrační snímek

Pokud splňujete kvalifikační předpoklady pro nabízenou pracovní pozici a ještě k tomu máte na obdobném postu i...

Výše mzdy stresuje nastupující generaci méně, než si firmy myslí

Ilustrační snímek

Stres v práci zažívají i mladí. Žebříček stresujících faktorů však nevede výše platu. Ten není pro nastupující generaci...

Zlato – obloha se vyjasňuje. (Analýza)

Zlato – obloha se vyjasňuje. (Analýza)

Kurzy.cz V minulém týdnu dostaly akciové trhy další varování v podobě prudkých propadů. Dow Jones ztratil během sedmi burzovních...



Najdete na iDNES.cz