V roce 2021 provedl Úřad pro ochranu osobních údajů (ÚOOÚ) 43 kontrol souladu zpracování osobních údajů s GDPR. Pokutu uložil ve 40 případech. Na jaké povinnosti se zaměřuje ÚOOÚ, v jakých se nejčastěji chybuje a jak se těmto chybám vyhnout?
NA CO SE VZTAHUJE GDPR?
Obecné nařízení o ochraně osobních údajů (GDPR) se použije až na pár výjimek na jakékoliv nakládání s osobními údaji člověka. Výjimkou je např. použití údajů pro osobní potřebu. Osobním údajem je v podstatě jakákoliv informace, kterou si umíme přiřadit k člověku, jehož identitu známe, anebo kterého dokážeme díky této informaci rozpoznat. Kromě klasického jména či kontaktních údajů může jít např. i o historii objednávek, aktivitu uživatele v herním účtu nebo o IP adresu.
NA DODRŽOVÁNÍ JAKÝCH POVINNOSTÍ SE ZAMĚŘUJE ÚOOÚ?
GDPR nám ukládá mnoho povinností, které bychom měli při nakládání s osobními údaji dodržovat. ÚOOÚ může kontrolovat dodržování jakékoliv z nich. Z dostupných informací ale vyplývá, že se zpravidla zaměřuje na základní povinnosti, které jsou pro ochranu osobních údajů nezbytné, a ve kterých se stále nejvíce chybuje.
Konkrétně jde o tyto povinnosti:
- zpracování osobních údajů s řádným právním titulem (oprávnění vymezeného v GDPR);
- užívání osobních údajů k účelům, za kterými byly získány nebo ke slučitelným účelům, a po dobu potřebnou k naplnění těchto účelů;
- řádné informování lidí o tom, jak se s jejich osobními údaji nakládá;
- umožnění lidem vykonat jejich práva (např. nechat údaje vymazat);
- uzavření zpracovatelské smlouvy se všemi náležitostmi stanovenými GDPR;
- přijetí organizačních a technických opatření k zabezpečení osobních údajů a
- řádné zapojení pověřence pro ochranu osobních údajů do kontroly nakládání s osobními údaji.
JAK ZÁKLADNÍ POVINNOSTI SPLNIT?
Na příkladu provozu klasického e-shopu si ukážeme, jak je možné vyjmenované základní povinnosti dle GDPR splnit.
Zpracování osobních údajů s řádným právním titulem
Abyste mohli s jakýmikoliv osobními údaji nakládat ke konkrétnímu účelu, potřebujete tzv. právní titul (oprávnění) vyplývající z GDPR. Tím může být ve vašem případě např. nezbytnost splnit smlouvu / právní předpisy, váš oprávněný zájem nebo souhlas.
Příklad: Základní údaje o zákazníkovi v objednávkovém formuláři zpracováváte k tomu, abyste objednávku vyřídili a dodali zákazníkovi zboží, a to na základě právního titulu nezbytnosti pro splnění smlouvy se zákazníkem. Za tímto účelem proto nepotřebujete získávat od zákazníka souhlas. Pokud byste ale chtěli jméno zákazníka a informaci o koupeném produktu zveřejnit na stránce s vašimi referencemi, budete od zákazníka potřebovat souhlas. Zveřejnění bez prokazatelného souhlasu je zpracováním osobních údajů bez řádného právního titulu, tedy i porušením GDPR.
Účelové omezení a doba uchování
Osobní údaje je možné používat pouze za účelem, ke kterému byly získány nebo za slučitelným účelem, a to pouze po dobu nezbytnou k naplnění tohoto účelu. Jakmile účel pomine, a údaje nepotřebujete k jinému účelu, mělo by dojít k jejich výmazu.
Příklad: Svým zákazníkům můžete za určitých podmínek posílat hromadné nabídky svých produktů (obchodní sdělení), aniž by k tomu musel zákazník dávat zvláštní souhlas. Po čase zákazníka přestanou obchodní sdělení zajímat a odhlásí se z jejich odběru. Obchodní sdělení mu dále nemůžete posílat a e-mail musí zmizet z mailingové databáze. Může ale zůstat na blacklistu, abyste poznali, že na tento e-mail obchodní sdělení posílat nemůžete. Pokud zákazníkovi pošlete obchodní sdělení i potom, co se odhlásí, jde o nezákonné zpracování a porušení GDPR (a navíc zákona č. 480/2004 Sb., který reguluje zasílání obchodních sdělení).
Informační povinnost
Lidé by měli vědět, s jakými osobními údaji nakládáte, za jakým účelem, jak dlouho, co vás k tomu opravňuje, komu je můžete svěřit i jaká jim náleží práva. Informace musí být srozumitelné a musí se k lidem jednoduše dostat. Srozumitelnost informační dokumenty často postrádají. Pokud takový dokument připravujete, doporučujeme se na něj dívat z pohledu zákazníka a zeptat se sami sebe, zda byste z něj pochopili, co např. e-shop s vašimi údaji vlastně dělá.
Příklad: Než zákazník odešle objednávkový formulář, objeví se mu kromě kolonky k zaškrtnutí souhlasu s obchodními podmínkami i krátké sdělení, že jeho údaje potřebujete k vyřízení objednávky a odkaz na podrobnější dokument „Ochrana osobních údajů“. Pokud byste dokument na webu měli, ale zákazník by si ho musel dohledávat sám, nesplnili byste zcela informační povinnost a porušili byste GDPR.
Výkon práv
Lidem, s jejichž osobními údaji nakládáte, náleží řada práv. Např. mají právo vědět, jaké informace o nich ukládáte a co všechno s jejich osobními údaji děláte (právo na přístup), právo žádat výmaz osobních údajů, které nepotřebujete, právo podat námitku proti zpracování osobních údajů na základě oprávněného zájmu (např. proti použití kamer), právo podat stížnost ÚOOÚ a další. O těchto všech právech byste je měli předem informovat a umět na ně správně reagovat i v pozdějších dotazech.
Příklad: Na infomail vám přijde dotaz zákaznice, která chce vědět, co všechno o ní evidujete. Vy byste jí měli až na výjimky max. do 1 měsíce odpovědět a poslat jí zdarma kopii všech osobních údajů s informacemi o tom, odkud údaje máte, k čemu je potřebujete, jak dlouho mají být uchovány, kdo k nim může mít přístup, jaká další práva zákaznice má, vč. práva stěžovat si u ÚOOÚ a zda dochází k automatizovanému rozhodování. Žádost zákaznice zapadla v dalších e-mailech a nikdo na e-mail neodpověděl? Došlo k porušení GDPR.
Zpracovatelská smlouva
Pokud využíváte dodavatele, kterým zpřístupňujete osobní údaje, zapojujete do zpracování osobních údajů tzv. zpracovatele. Jde typicky o provozovatele software, kde s údaji pracujete (třeba Microsoft 365), provozovatele mailingových služeb, ale i fyzické osoby, které s vámi externě spolupracují. S těmito zpracovateli máte povinnost uzavřít zpracovatelskou smlouvu, dle které bude mít zpracovatel povinnost zejména osobní údaje používat jen k tomu, k čemu se zavázal, zabezpečit je a dostatečně s vámi spolupracovat, abyste společně osobní údaje chránili.
Příklad: Najali jste externí analytiky, od kterých potřebujete připravit statistiky o nákupech vašich produktů. Podepsali jste s nimi jednoduchou smlouvu o poskytování služeb. O zpracování osobních údajů ani řádek. Vytvořili jste jim účty do vaší CRM databáze, odkud analytici berou data a přenášejí je do systému pro analýzu, kde s nimi dále pracují. Po měsíci zjistíte, že jeden analytik si nechal databázi CRM otevřenou v kavárně, šel na WC a někdo data z CRM ukradl a vymazal. K porušení zabezpečení mohlo dojít i s uzavřenou zpracovatelskou smlouvou, ale vy jste neudělali ani minimum pro to, abyste analytikovi např. zakázali CRM používat ve veřejných prostorech a uložili povinnost přijmout další bezpečnostní opatření. Za krádež a ztrátu dat odpovídáte, můžete být pokutování ze strany ÚOOÚ, zákazník, jehož data unikla, po vás může chtít náhradu škody. Po analytikovi se sice můžete v takovém případě domáhat náhrady škody, ale nebude to nic jednoduchého.
Zabezpečení osobních údajů
Uložené osobní údaje byste měli zabezpečit přiměřeně tomu, o jaké osobní údaje jde, v jakém kontextu je používáte, jaké máte technické a finanční prostředky na zabezpečení a jak můžete zasáhnout do práv a svobod lidí. Čím citlivější údaje máte (např. údaje o zdraví), tím více byste měli na bezpečnost dbát. Měli byste přijmout organizační opatření (interní směrnice o tom, jak správně nakládat s osobními údaji, jak je zabezpečit i jak řešit bezpečnostní incidenty apod.) i technická opatření (zabezpečení prostor, antivirové programy, nastavení silných přístupových hesel, pseudonymizace apod.).
Příklad: Zákazníci si u vás vytvářejí uživatelské účty. Jejich uživatelské jméno a heslo se vám propisuje do Google tabulky, ke které má přístup celá společnost a je dostupná pod odkazem bez dalšího. Tedy v podstatě kdokoliv se do tabulky může nabourat a osobní údaje ukrást. Tím, že údaje do nezabezpečené tabulky vložíte, můžete také porušit GDPR. Bez ohledu na to, jestli tabulku někdo odcizil. Její zabezpečení je totiž velmi nízké vzhledem k citlivosti přístupových údajů.
Zapojení pověřence pro ochranu osobních údajů
Možná jste povinně museli jmenovat pověřence, který má dohlížet na to, že dodržujete GDPR. Třeba jím je jeden ze současných zaměstnanců, který by podle vás mohl zpracování osobních údajů rozumět. Pamatujte ale, že pověřenec musí zpracování osobních údajů rozumět, měl by mít ke své práci dostatek času a neměl by se dostat do střetu zájmů.
Příklad: Pověřencem pro ochranu osobních údajů jste zvolili vedoucího IT oddělení, který se specializuje na zabezpečení systémů a připravuje bezpečnostní směrnice. Problematice ochrany osobních údajů rozumí, jenže jako pověřenec nemůže sám sobě kontrolovat, jestli bezpečnostní směrnice byly přijaty správně. Nachází se ve střetu zájmů. Je také pravděpodobné, že na pozici pověřence nebude mít dost času, jelikož zpravidla celé dny tráví meetingy s kolegy a kontrolou svého týmu. Tím pádem je pověřenec zapojen do zpracování v rozporu s GDPR.
ZÁVĚR
ÚOOÚ může dodržování výše uvedených povinností kontrolovat na základě každoročního kontrolního plánu, z podnětu jiného orgánu nebo na základě stížnosti nespokojeného zákazníka nebo konkurence. Pokud nechcete věci ponechávat náhodě, doporučujeme si prověřit, jestli základní povinnosti GDPR plníte správně.
Pokud nevíte, jak dál, ozvěte se. Společně vymyslíme, jak si s GDPR jednoduše poradit.
KDE HLEDAT VÍCE INFORMACÍ?
GDPR: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) dostupné zde.
Relevantní články GDPR: čl. 5, 6, 9, 12 až 21, 28, 32 až 34, 37 až 39
Výroční zprávy ÚOOÚ naleznete zde.
Informace o kontrolách prováděných ÚOOÚ naleznete zde.
Kontrolní plán pro rok 2023 je dostupný zde.
Autor: Kristýna Gembalová