Podnikáte? Zabezpečte osobní údaje. Poradíme, jak na GDPR

Nejen podnikatelé jsou v panice. Stejně tak třeba party místních hasičů, kluby aktivních důchodců či útulky pro psy se děsí toho, aby od 25. května dokázaly správně uchovávat osobní data. Ten den totiž začne platit obávané nařízení GDPR.

Ilustrační snímek | foto: Profimedia.cz

Na jednu stranu úřední otrava, na druhou stranu rizika, která si možná ani nedovedeme představit. Doteď v práci s daty vládla úplná anarchie. GDPR (General Data Protection Regulation), obecné nařízení o ochraně osobních údajů, nastavuje druhý extrém ochrany za každou cenu. Časem nejspíš dojde k vytvoření funkčního kompromisu.

„Je to asi jako když se před lety mohl na cesty vydat každý, kdo na dvorku sestavil auto. Pak se ukázalo, že provoz automobilů přináší rizika a společnost si začala nastavovat pravidla. A některá byla zpočátku bláznivá až šikanující - třeba že před autem musí běžet člověk s praporkem. Nakonec se společnost shodla na funkčních předpisech,“ připodobňuje Pavel Kasík ze serveru Technet.cz.

Pravidla GDPR platí s určitými výjimkami pro každého, kdo zpracovává osobní údaje, a to nehledě na skutečnost, zda jde o podnikatele jakožto jednotlivce, spolek, nebo velkou nadnárodní společnost. Začátek je pro všechny stejný: udělejte si audit - analýzu nebo prostě přehled. Jak na to? 

1. Sepište si:

  • která data a o kom evidujete
  • na co je potřebujete
  • kdo k nim má přístup

2. Ujasněte si: 

  • jestli evidujete jen ta data, která opravdu potřebujete. E-shop s kabelkami opravdu nepotřebuje znát rodná čísla zákaznic.

3. Stanovte si: 

  • jak s daty budete pracovat bezpečně
  • ideálně to udělejte písemně, vytvořte si na práci s daty směrnici
  • udělejte to, i když třeba podnikáte jako OSVČ - směrnice je totiž závazek, se kterým byste měli seznámit i své klienty, aby věděli, co se děje s daty, která vám svěří

Jak postupovat v konkrétních případech, radí advokát Ondřej Vokál.

1. Příklad Malý podnikatel OSVČ

Laura má e-shop. Prodává v něm vlastní výrobky - svatební dekorace. Materiál na výrobu dekorací obvykle nakupuje od různých dodavatelů, firem i soukromých osob. Platí převodem z účtu a dostává faktury. Ty si eviduje v daňové evidenci.

Proč mít data v bezpečí?

Nejde jen o to, aby vám nechodily nevyžádané e-maily (ostatně těch se dá několika kliknutími jednoduše zbavit). Představte si ale jinou situaci:

Pravděpodobně i vy máte několik hesel. Jedno ultrabezpečné, jedno bezpečné a jedno, které používáte většinou. Třeba když se registrujete při nákupu v obchodě. A jeden z těch obchodů zpronevěří data. A někdo (s pomocí techniky) najde ostatní obchody, kde jste registrován a máte stejné „obyčejné“ heslo. A v některém jste možná uložil pro jednodušší nakupování číslo své karty.

Není nic snazšího než vaším jménem objednat, vaší kartou zaplatit a v kamenné prodejně si vyzvednout třeba nový iPhone. Technicky zdatné leč morálně nevyspělé jedince jistě napadne mnoho dalších způsobů, jak nezabezpečená data využít.

Zákazníci jí platí také převodem z účtu a poskytují e-mail, telefon a adresu, kam má zboží zaslat. Kontaktní informace si Laura uchovává v počítači v excelovském souboru. Uchovává si je, aby byla schopna spárovat platbu s konkrétní objednávkou pro příklad reklamace, nebo kdyby potřebovala požádat o dobré reference.

Laura zpracovává údaje dvou typů subjektů, dodavatelů a zákazníků, pokud jde v obou případech o fyzické osoby. Údaje zákazníků sbírá pouze v rozsahu, který je nezbytný pro plnění smlouvy, tedy vyřízení objednávky, odeslání zboží a případné řešení reklamací.

Jelikož je právním důvodem tohoto zpracování plnění smlouvy, není třeba získávat od zákazníků jejich předchozí souhlas. Pokud by ovšem Laura chtěla zákazníkům posílat nabídky či novinky na jejich e-mailové adresy, musela by za tímto účelem jejich souhlas získat.

Laura musí zákazníky dostatečně a srozumitelně informovat například o tom, které jejich údaje zpracovává a proč, kdo k nim má přístup, po jakou dobu zpracování probíhá či jaká práva lidé ve vztahu ke svým údajům mohou uplatnit. Tyto a další informace by Laura měla uvést na webu svého e-shopu, třeba pod hlavičkou „Zásady ochrany osobních údajů“.

Základem je, aby informace byly podány jednoduše, srozumitelně a úplně, správci údajů mají v rámci transparentnosti informovat upřímně a nic nezamlčovat. Pak bude všechno v pořádku. Přistoupit k plnění informační povinnosti lze různým způsobem, hlavní je, aby byly zahrnuty všechny informace podle článku 13 (případně 14) GDPR.

Jejich formulace může vypadat třeba takto:

Příklad informací uváděných v sekci „Zásady ochrany osobních údajů“:

Aby náš e-shop mohl dobře fungovat, musíme zpracovávat některé vaše osobní údaje. Správcem osobních údajů ve vztahu k tomuto e-shopu je Laura Novotná, IČO: (●), se sídlem (●), telefon: (●), e-mail: (●).

Vaše osobní údaje zpracováváme pro následující účely: 

  • Vyřízení objednávky a řešení případných reklamací. 
  • Abychom vám mohli odesílat objednávky a zajistit efektivní vyřešení vašich případných požadavků a reklamací, zpracováváme vaše jméno a příjmení, doručovací adresu, e-mail, telefonní číslo, číslo bankovního účtu, objednané zboží a jeho cenu.
  • Právním důvodem tohoto zpracování je plnění smlouvy. Uvedené osobní údaje za tímto účelem zpracováváme po dobu trvání záruční doby.
  • Zasílání newsletteru a obchodních nabídek. Abychom vás mohli informovat o aktuálních nabídkách a slevách, zpracováváme vaše jméno a příjmení a e-mailovou adresu. Právním důvodem tohoto zpracování je váš souhlas, který nám poskytujete při vyplnění registračního formuláře a který můžete kdykoli odvolat.
  • Pro lepší kvalitu našich služeb spolupracujeme s některými zpracovateli, kterým mohou být vaše data zpřístupněna. Ke zpřístupnění dochází výhradně v souvislosti se službami našeho e-shopu a pouze v nezbytném rozsahu. Těmito zpracovateli jsou: Google, Mailchimp (newslettery). Nikomu dalšímu osobní údaje bez vašeho výslovného souhlasu neposkytujeme.

Jak postupovat dál? 

Faktury dodavatelů rovněž obsahují osobní údaje. Jejich zaznamenávání a archivace v rámci daňové evidence je plněním zákonné povinnosti, jež se na OSVČ vztahuje. Laura musí v tomto ohledu zajistit, aby byly faktury dostatečně zabezpečeny proti odcizení či jinému zneužití. 

Neměla by je proto mít poházené po stole v obývacím pokoji nebo vyskládané v knihovně, ale ideálně by se měla postarat o to, aby byly uložené v uzamykatelné skříni, místnosti či trezoru, což se vzhledem k možnostem Laury jeví jako vhodné a adekvátní opatření.

Případná likvidace dokumentů by rovněž měla probíhat řádně a bezpečně, ideálně formou skartace.

Je vhodné ještě doplnit, že si Laura vzhledem k charakteru a objemu shromažďovaných údajů rozhodně nemusí pořizovat žádný speciální software. Je nicméně povinna dodržovat základní zásady bezpečnosti, tedy například zabezpečit přístup do počítače (respektive k uživatelskému účtu) heslem, používat firewall, pravidelně aktualizovat antivirovou ochranu a neukládat data na veřejných úložištích.

Může však zvážit třeba používání bezpečných cloudových služeb garantujících soulad s GDPR či zavedení šifrování souborů za účelem vyšší jistoty bezpečnosti dat.

2. Příklad Malý podnikatel s jedním zaměstnancem

Václav má malý obchod v okresním městě. Protože potřebuje pokrýt celou otevírací dobu, což by sám nezvládal, zaměstnal prodavačku. Protože Václav není moc dobrý na „papíry“, najal si externí účetní, která za něj řeší daňovou i mzdovou a personální agendu.

V obchodě se dá platit hotovostí i kartou. Platby převodem z účtu nejsou možné. Zákazníci, kteří se registrovali (jméno, e-mail) dostávají elektronicky informaci o akčních nabídkách a mohou je využít přednostně.

Václav si vede databázi dodavatelů (firma/osoba, e-mail, telefon, web, číslo účtu, typ objednávaného zboží). Stejně tak má tabulku, ve které má poznamenané e-maily na zákazníky, kteří se registrovali ve věrnostním programu. K oběma tabulkám má přístup i jeho prodavačka.

Pro Václava platí stejná pravidla jako v případě Laury, avšak jeho situace se liší přinejmenším tím, že má jednu zaměstnankyni a využívá služeb externí účetní, která na základě smlouvy zpracovává jím shromážděné osobní údaje.

Školení a protokol

Jako zaměstnavatel je Václav povinen zajistit řádné proškolení svých zaměstnanců v oblasti ochrany osobních údajů a přijmout vnitřní předpis, který bude upravovat postupy při zacházení s osobními údaji, včetně postupů v případě bezpečnostních incidentů.

Jelikož zpracování osobních údajů při Václavově podnikání není nikterak rozsáhlé a komplikované, interní předpis i školení mohou být koncipovány poměrně jednoduše. O proškolení a seznámení s pravidly je vhodné se zaměstnanci následně sepsat protokol.

Školení neznamená, že prodavačka stráví dva dny na nějakém obecném semináři. Jeho cílem je seznámit zaměstnance s jejich povinnostmi při práci s osobními údaji tak, jak jsou uvedeny v interním předpisu, a udělit jim případné doplňující konkrétní pokyny, aby věděli, jak si následně v praxi počínat. Například:

  • Ukládat faktury a objednávkové listy na určené místo a nenechávat je volně na pultu.
  • Nekopírovat databáze s osobními údaji na soukromý e-mail či USB disky a „nevynášet“ data ven.
  • Odhlašovat se z elektronických systémů před opuštěním prodejny.
  • Hlásit jakékoli problémy či nesrovnalosti.

Pracovněprávní vztah je pro podnikatele z hlediska GDPR důležitý ještě z pohledu zpracování osobních údajů zaměstnanců. Václav svou zaměstnankyni musí v nezbytném rozsahu informovat o ochraně jejích osobních údajů, proto bude nutné upravit pracovní smlouvu, případně uzavřít dodatek k té stávající. 

Pro firmy s více zaměstnanci je vhodnější nedávat poučení o zpracování osobních údajů přímo do pracovních smluv, protože když by se něco změnilo, musí měnit všechny smlouvy. Mohou poučení zapracovat do nějakého vnitřního předpisu a zaměstnancům zpřístupnit třeba na internetu.

Smlouva s externí účetní musí poté dostatečným způsobem upravovat mechanismus odpovědnosti v oblasti ochrany údajů, neboť Václav se jakožto správce osobních údajů nezbavuje odpovědnosti pouze tím, že zpracováním údajů pověří externí subjekt. Osoby, jichž se údaje týkají, je třeba rovněž informovat o tom, že účetní má k jejich datům přístup.

Účetní bude uvedena jako jeden ze zpracovatelů (tedy třetích stran, které mají přístup k osobním údajům a provádějí jejich zpracování) v interní směrnici a informačních dokumentech Václavovy firmy. Účetní nemusí být jmenována konkrétně (jméno, příjmení, kde bydlí apod.), ale postačí například uvést, že jde o externího poskytovatele účetních služeb.

Komplikace s věrnostními programy

Pozor si Václav musí dát také v souvislosti s pořádáním věrnostních programů - zákazníci při registraci musejí poskytnout souhlas se zpracováním svých údajů za tímto účelem, přičemž tento souhlas mohou kdykoli odvolat, což jim Václav musí umožnit. Václav musí být také schopen kdykoli prokázat, že mu souhlasy byly uděleny, což lze nejlépe ošetřit zasíláním potvrzovacích e-mailů (tzv. double opt-in).

Václav by měl omezit přístup prodavačky k interním databázím na nezbytné minimum, tedy zajistit, aby měla přístup pouze k těm údajům, které nutně potřebuje k výkonu práce. Lze se domnívat, že čísla účtů dodavatelů či e-mailové adresy zákazníků pro ni nepředstavují informace nezbytně nutné.

Jak se vypořádat s GDPR v případě, že máte veřejné centrum nebo spolek, poradíme v úterý 24. dubna na iDNES Finance.

  • Nejčtenější

Opustili původní profese a včelaří. Už mají 200 úlů a milionové obraty

16. března 2024

Ze svého koníčka udělali manželé Kölblovi rodinný byznys. Na Vysočině vybudovali medovou farmu a...

Splatili hypotéku, za výmaz z katastru zaplatili dvojnásobný poplatek

19. března 2024

Majitelé rozdílně zastavených nemovitostí kvůli hypotéce si za vklad do katastru nemovitostí při...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Jak financovat pobyt v lázních? Nenechte se odbýt, možná na něj máte nárok

15. března 2024

Premium Léčebný pobyt v lázních může pomoct s nejrůznějšími zdravotními neduhy. Na své si tam však přijdou...

Půjčených 50 tisíc bratr nevrátil. Můžu ho žalovat, i když nemáme smlouvu?

13. března 2024

Premium Jsou tací, kteří říkají, že máme půjčovat jen tolik peněz, o kolik jsme ochotni přijít. Na druhou...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Zmapovali jsme, na co letos přispívají všechny zdravotní pojišťovny

15. března 2024

Všechny zdravotní pojišťovny se snaží motivovat klienty, aby pečovali o své zdraví a využívali i...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Čím je dlouhodobý investiční produkt výhodný i pro padesátníky?

19. března 2024

Jak už sám název napovídá, dlouhodobý investiční produkt (DIP) je primárně koncipován jako...

Splatili hypotéku, za výmaz z katastru zaplatili dvojnásobný poplatek

19. března 2024

Majitelé rozdílně zastavených nemovitostí kvůli hypotéce si za vklad do katastru nemovitostí při...

Nemovitosti jsou jistota. Investovat se dá i s malým kapitálem

18. března 2024

Advertorial Pokud si chcete zafixovat vysoký výnos v době klesajících úrokových sazeb, není na co čekat. Do...

Jak umět říkat druhým „ne“ a necítit se přitom provinile

18. března 2024

Dvě jednoduchá písmena, jedno jednoduché slovo: „Ne!“ Vyslovit ho však bývá často obtížné. Pro...

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Byla to láska na první pohled, říká hvězda Gilmorek o manželství s modelkou

Milo Ventimiglia (46), představitel Jesse ze seriálu Gilmorova děvčata nebo Jacka Pearsona ze seriálu Tohle jsme my, je...