JAKÉ DOKUMENTY PRO GDPR MUSÍM MÍT?

ZE VSTUPNÍ ANALÝZY VYPLYNE SEZNAM DOKUMENTŮ, KTERÉ POTŘEBUJETE ZPRACOVAT

"A to mi opravdu chcete říct, že mi pošlete hotové texty a budu mít pro GDPR splněno?" zeptala se klientka po 1,5 hodinové telefonické konzultaci ke GDPR. 

V jejím případě byla odpověď - ano. Už dnes totiž posílá novinky a nabídku služeb jen těm, kteří zaškrtli políčko, že si zasílání přejí (i když svým klientům by nabídku mohla posílat i bez toho). Už dnes má webové stránky zabezpečené v podobě https, k použití fotografií z realizovaných akcí má souhlasy klientů a osobní údaje uchovává jen po dobu a k účelům, k jakým je to nezbytné. Má smlouvu se svojí účetní i spolupracující IT firmou a své zaměstnance hned v úvodu o ochraně osobních údajů informuje.

Výsledkem naší konzultace tak byla dohoda, že:

  • Připravím aktualizovanou informaci o ochraně osobních údajů, kterou má na webových stránkách a na kterou je proklik i v objednávacím formuláři. Přeci jen GDPR přináší některé novinky a ty je potřeba do informace doplnit.
  • Upravím informaci, kterou nechává podepisovat novým zaměstnancům.
  • Navrhnu krátký text souhlasu se zpracováním osobních údajů, který bude na webu u políčka pro zadání emailu pro zasílání novinek a upravím souhlas s použitím fotografií a videí pořízených na realizovaných pobytových akcích a kurzech klientky.
  • Zpracuji úplně nový vzorový dokument - záznam o činnostech zpracování, který do jisté míry nahrazuje dnešní registraci u ÚOOÚ. A k němu i interní směrnici, která popíše celý proces zpracování osobních údajů ve firmě, včetně "banalit" typu, že jako přístupové heslo do pc a telefonů nebudou zaměstnanci a spolupracovníci dávat heslo typu "1234" nebo své jméno.
  • Připravím dodatky ke smlouvám se zpracovateli (účetní a IT firmou) a zkontrolujeme si, že do 25.5.2018 bude mít klientka k dispozici i smlouvy s ostatním zpracovateli jako je poskytovatel hostingu a mailingové aplikace.

V průběhu konzultace jsme si samozřejmě prošly všechny stávající procesy, pobavily se o principech zabezpečení a zpracování údajů. Výhodou (která konzultaci oproti běžným cca o hodinku zkrátila) byl fakt, že klientku a její podnikání znám roky, a to i z pohledu velmi spokojené klientky, takže vím, jak probíhá objednávání služeb, jaké údaje klienti poskytují, jaké dokumenty vyplňují atd.

Pokud jste si již udělali vstupní analýzu, tak jste připraveni si podobnou konzultaci udělat sami se sebou. A tento článek vám s tím pomůže.

Budete potřebovat informaci pro subjekty údajů?

Zcela jistě budete. Jakmile při svém podnikání zpracováváte osobní údaje fyzických osob, ať již jsou to zaměstnanci nebo klienti nebo ti, co si stáhli na webu váš e-book zdarma anebo si přáli zasílat informace o novinkách, musíte tyto osoby informovat o tom jaké jejich údaje zpracováváte, k jakým účelům, na jakou dobu, jestli to lze i bez jejich souhlasu, jestli dané informace mohou anebo musí poskytnout a přidat i informaci o třetích osobách, které budou mít k údajům přístup, případně i další informace týkající se např. automatizovaného zpracovávání nebo předávání informací do třetích zemí.

Vzor informace je k dispozici ke stažení i s komentářem na této stránce >>

Informaci pro klienty a návštěvníky webových stránek doporučuji dát přímo na vaše webové stránky (pokud jich máte víc, může být samozřejmě pro všechny společná) a na text dát odkaz do obchodních podmínek. A odkazovat na text i v objednávkovém formuláři, pokud si klienti vaše služby nebo produkty objednávají přímo na webu. V případě, že klienty musíte nejen informovat, ale budete potřebovat i jejich souhlas (viz dále), pak je potřeba mít přímo i text souhlasu (pro každý účel zvlášť), který na stránce na webu klienti přímo zakliknou.

Informaci pro zaměstnance doporučuji předávat v tištěné podobě a nechat si podepsat, že s tímto textem byl zaměstnanec seznámen. Může být i součástí pracovní smlouvy nebo DPP, DPČ, ale volila bych spíše samostatný dokument, ať kvůli případné změně nemusíte podepisovat i dodatek (změnu) pracovní smlouvy.

Budete potřebovat souhlas se zpracováním údajů od subjektů údajů?

Je možné, že souhlas vůbec potřebovat nebudete. Abyste se přiblížili k odpovědi na tuto otázku, je poměrně zásadní vědět, jestli zpracováváte:

  • jen běžné osobní údaje nebo
  • zvláštní kategorie osobních údajů.

Pokud zpracováváte jen běžné osobní údaje, snažte se najít jiný zákonný důvod pro zpracování než je souhlas subjektu údajů. Přehled zákonných titulů najdete i přímo v tabulce pro vstupní analýzu, viz předchozí článek tohoto modulu. Stejně tak tam najdete i příklady běžných a zvláštních (citlivých) údajů.

Zda mít souhlas či nikoli vás nejspíš bude nejvíce zajímat při použití osobních údajů subjektu pro marketingové aktivity. Děláte-li přímý marketing, mohli byste se vejít do titulu "oprávněný zájem". I tak samozřejmě musíte subjekt informovat (v informaci uvedené v části výše) o tom, že konkrétní údaje pro tento účel budete zpracovávat. Pokud se rozhodnete kontakty (mail, jméno, příjmení, adresu) svých klientů/zákazníků použít pro zasílání nabídek vašich služeb nebo produktů, souhlas potřebovat nebudete. Stejně tak by se pod oprávněný zájem mohly vejít i přání k svátku, narozeninám.

Pokud se rozhodnete posílat obchodní nabídky svých partnerů anebo nabídky/obchodní sdělení posílat i lidem, co vašimi klienty nejsou a jen si stáhli e-book zdarma, pak naopak souhlas spíš potřebovat budete. Stejně tak bude souhlas většinou potřeba i pro použití osobních údajů při rozsáhlejším profilování (segmentaci, vytváření profilů klienta např. monitorováním jeho preferencí zjištěných na webových stránkách), pokud se výrazně může dotknout zájmů dané osoby.

 

Pokud zpracováváte zvláštní kategorie osobních údajů, tj. zřejmě nejspíš údaje o zdravotním stavu, naopak souhlas spíše potřebovat budete, pokud dané zpracování není za účelem poskytování zdravotních služeb. 

Typickým příkladem jsou kouči, terapeuti (pokud neposkytují zdravotní ale jiné služby).

Příkladem zpracování zvláštních kategorií údajů jsou i údaje zpracovávané o zaměstnancích (např. dokumentace ke vstupní zdravotní prohlídce), ale tady půjde o zpracování právě pro účely povinností v oblasti pracovního práva a souhlas potřebovat nebudete.

Budete muset vést záznamy o činnostech zpracování? 

Ráda bych teď napsala, že pokud nemáte víc než 250 zaměstnanců, tak se vás tato povinnost netýká. Aspoň tak to údajně bylo původně zamýšleno při tvorbě obecného nařízení EU, mělo jít o ušetření další administrativy pro malé a střední podnikatele. 

Nicméně realita je taková, že kromě uvedené podmínky by musely být současně splněny i další, jako je, že jde o pouze příležitostné zpracování osobních údajů. Což splní opravdu jen málokdo. Stačí, že zpracováváte údaje o 1 zaměstnanci, kterého opravdu nemáte jen nárazově na pár dnů. Nebo zpracováváte údaje klientů z faktur (čemuž se asi vyhne málokdo) anebo sbíráte mailové kontakty a průběžně na ně posíláte reklamní nabídky nebo odkazy na nové články na blogu. 

Takže pro jistotu - záznamy o zpracování si připravte. Ideálně pro každý účel zpracování zvlášť. Kdyby nic jiného, tak těmito záznamy budete schopni (ve spojení s předchozími dvěma dokumenty) prokázat, že jste v souladu s GDPR. A to je povinnost, která v nařízení výslovně uvedená je.

A jak je to s nutností mít smlouvy s externími spolupracovníky a dodavateli?

Všichni, kterým osobní údaje předáváte v rámci spolupráce a kteří je využívají při činnosti pro vás (jinak by samozřejmě neměli), jsou v pozici zpracovatelů. Dle GDPR musíte mít s každým zpracovatelem písemnou smlouvu. Písemná neznamená nutně tištěná, může jít i o elektronickou podobu.

Zpracovatelů můžete mít poměrně dost, jste povinni je uvést (jmenovitě nebo jako dané kategorie příjemců) na webu nebo jinak tuto informaci subjektům údajů zpřístupnit. Zpracovatelům bude opět věnován i samostatný článek.

Pokud jde o tvorbu zpracovatelských smluv, tak návrh může samozřejmě připravit jedna i druhá strana, ovšem u větších zpracovatelů (např. přepravci ve vztahu k eshopům, větší IT dodavatelé, poskytovatelé aplikací) bych předpokládala, že budou mít vlastní vzorový návrh a jen u těch menších bych případně zpracování a předložení zajistila ze strany správce, tedy z vaší strany. 

Budou potřeba ještě nějaké další dokumenty? 

Pro běžného podnikatele, který nemá zpracování osobních údajů jako hlavní činnost nebo jednu z hlavních činností anebo nezpracovává např. zvláštní kategorie osobních údajů ve větším rozsahu (zdravotnictví, zvlášť nemocnice a podobná větší zařízení) nebo neprovádí soustavný monitoring subjektů (internetový marketing s rozsáhlejší segmentací) anebo nevyužívá novější metody (např. s využitím biometrických údajů), bych doporučila mít ještě vnitřní směrnici týkající se ochrany osobních údajů.

Teoreticky by mohly stačit záznamy o zpracování, ale vnitřní předpis může být obecnější, týkat se všech osobních údajů a jejich toku ve firmě, kompetencí a mít i přílohy týkající se např. údajů ve firemních mobilech a pravidla pro nakládání s nimi, vzorové souhlasy, vzorové informace pro subjekty údajů, vzorové postupy při zjištění narušení ochrany údajů atd. v podstatě takový firemní manuál zastřešující i vše předchozí.

V některých případech nastíněných  úvodní větě této části byste měli provést i analýzu rizik a zjistit, jestli např. zpracování biometrických údajů nepřináší vyšší rizika než jaká lze odůvodnit zamýšleným účelem jejich použití. Totéž u rozsáhlého monitoringu subjektů údajů.

Kromě dokumentace vám může ze vstupní analýzy vyplynout i povinnost mít pověřence pro ochranu osobních údajů (DPO). Této problematice bude věnovaný samostatný článek. Nicméně opět platí, že běžný podnikatel pověřence spíš potřebovat nebude.

Aktuální vzory dokumentů pro GDPR ke stažení za velmi příznivé ceny jsou zde >>

Zpět na úvodní nástěnku - přehled článků ke GDPR se dostanete tady >>