Jdi na obsah Jdi na menu

Jak se připravit na GDPR - nařízení EU o ochraně osobních údajů

7. 11. 2017

General Data Protection Regulation, ve zkratce GDPR - nařízení EU. Výrazným způsobem přepracovává legislativu o ochraně osobních údajů. Musí být plně zavedeno do května 2018 v celém svém rozsahu ve všech státech EU.

Pět nejdůležitějších zásad - principy GDPR

Osobní údaje je nutné zpracovávat pod následujícími zásadami, které GDPR stanovuje.

1) Zákonnost

Osobní údaje můžete zpracovávat pouze na základě podmínek, které GDPR umožňuje:

  • Zpracování osobních údajů je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, případně i pro provedení opatření přijatých před uzavřením smlouvy na žádost těchto subjektů. 
  • Zpracování je nezbytné pro splnění právní povinnosti, v takovémto případě budete osobní údaje fyzických osob nejčastěji zpracovávat na základě povinnosti stanovené jiným právním předpisem – typicky půjde o údaje o zaměstnancích, ale i o ty, které jsou potřeba uchovávat dle zákona o DPH nebo zákona o účetnictví. Právě platná legislativa podnikatelským subjektům nařizuje archivovat po stanovenou dobu účetní doklady, mnohdy obsahující osobní údaje fyzických osob. Je tedy důležité si uvědomit, že kvůli zachování integrity účetních dat často nepůjde ve finančních výkazech zcela oddělit již zpracované osobní údajeCelistvost dat je žádoucí také v případě zpětné kontroly finančního úřadu či úřadu práce.
  • Zpracování osobních údajů je nezbytné pro účely oprávněných zájmů správce, pokud existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem. 
  • Zpracování osobních údajů je nezbytné pro ochranu životně důležitých zájmů subjektu údajů a pro splnění úkolů prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterou je správce pověřen. Tyto dvě podmínky ale nebudou mezi podnikajícími subjekty příliš časté.

GDPR upřednostňuje zpracování osobních údajů na základě výše popsaných zákonných podmínek, které samy o sobě nevyžadují souhlas subjektu se zpracováním osobních údajů. Souhlas je tak až posledním předpokladem, na základě kterého lze osobní údaje zpracovávat.


2) Účelové omezení a omezení uložení

Je potřeba si stanovit účely, pro které konkrétní osobní údaje zpracováváte. Tyto účely se z části kryjí se zákonnými podmínkami, a tak budete zpracovávat osobní údaje například proto, že dotyčný subjekt je Váš dodavatel, zákazník nebo zaměstnanec.

3) Minimalizace údajů

Můžete zpracovávat pouze osobní údaje, které jsou relevantní, přiměřené a z hlediska rozsahu nezbytné vzhledem k účelu jejich zpracování. Jakmile tedy tento účel pomine, měly by být odstraněny.

V některých případech zároveň nastává povinnost uchovávat osobní údaje také za účelem archivace účetních dat. Splňujete tak výše popsanou zákonnou podmínku GDPR, právní povinnost, a musíte tedy odstranit pouze údaje, které nadále za účelem archivace nepotřebujete.

4) Přesnost

S přihlédnutím k účelům, pro které se osobní údaje zpracovávají, musí být údaje přesné. V případě potřeby je nutné je aktualizovat nebo bezodkladně vymazat či opravit.

5) Integrita a důvěrnost

Poslední zásadou je důraz na náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracovánímpřed náhodnou ztrátou, zničením nebo poškozením. Co se týká organizačních opatření, zde je právě prostor pro nastavení procesních změn a postupů
GDPR se vztahuje na ochranu osobních údajů všech fyzických osob, nezávisle na tom, zda jsou, nebo nejsou podnikatelskými subjekty; dokonce i v případě, že jsou již veřejně známými či dostupnými např. ve veřejném rejstříku.

Skutečnost veřejnosti rejstříku totiž neznamená, že takové osobní údaje lze dále neomezeně přebírat a zpracovávat (např. jejich dalším zveřejňováním) a tím na nich profitovat. je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků se považuje za jejich zpracování, k čemuž je potřeba právní důvod, tj. zákonem předpokládané oprávnění.

Obdobná situace nastává u osobních údajů, které dobrovolně zveřejňují na internetu samotné subjekty údajů za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze zpracovávat, jelikož i v tomto případě by správce měl absenci právního důvodu.

Veřejnost údajů tak nikdy neznamená možnost jejich dalšího bezmezného zpracovávání.

 

Archivace účetních dokladů

Platná legislativa nařizuje podnikatelům, účetním jednotkám a dalším subjektům archivovat po stanovenou dobu účetní doklady, které samozřejmě mnohdy obsahují osobní údaje o zaměstnancích, společnících, obchodních partnerech nebo třeba zákaznících.

Přehled toho, jaké dokumenty jste povinni uchovávat.

https://portal.pohoda.cz