V prvé řadě máme ale radost z toho, že u velkého počtu kontrol Úřad došel k závěru, že GDPR ani české zákony nebyly porušeny. Snad to znamená, že ochrana osobních údajů není jen regulativní strašák, ale záležitost, která se v Česku začíná brát vážně.
ÚOOÚ za první pololetí uzavřel téměř 30 kontrol u různých subjektů, od běžných společností přes SVJ, školy až po Policii ČR a jako už tradičně věnoval zvláštní důraz nevyžádaným obchodním sdělením.
Nevyžádaná obchodní sdělení
Co Úřad zajímá?
Úřad většinou zahajuje kontroly ohledně rozesílání newsletterů na základě podnětů od nespokojených uživatelů, kterým chodí nevyžádané zprávy.
ÚOOÚ jako první zkoumá, zda e‑mail mohl být dotyčnému vůbec odeslán. Není totiž možné newslettery rozesílat jen proto, že na někoho máte e‑mailovou adresu. Vždy musí jít o vašeho zákazníka, který u vás v posledních pár letech nakoupil (obvyklé jsou 3 roky), anebo o toho, kdo se k odběru novinek skutečně přihlásil a souhlasil se zpracováním svých osobních údajů.
Úřad zkoumá i to, jestli newslettery splňují všechny zákonné náležitosti. Zajímá ho konkrétně, jestli je z e‑mailu jasný odesílatel, i to, jak jednoduše se můžou adresáti z odběru novinek odhlásit. A zjišťuje i to, jestli e‑mail nevypadá jako osobní nebo důležitá zpráva, zatímco ve skutečnosti jde o obchodní sdělení.
Co si z toho odnést?
Newslettery zasílejte jen vašim zákazníkům anebo těm, kdo s odběrem novinek souhlasili. Newslettery nelze navíc posílat navěky, ale jen po určitou dobu od provedení nákupu nebo dobrovolného přihlášení, což jsou výše zmiňované 3 roky.
Zkontrolujte si, jestli máte souhlasy s odběrem novinek správně nastavené, a pro jistotu mrkněte i do vašich informací o zpracování osobních údajů, jestli v nich newslettery řešíte správně.
Projděte si i pár vašich posledních newsletterů a zkontrolujte, jestli:
- Opravdu posíláte e‑maily jen vašim zákazníkům a těm, kteří si jejich odběr přihlásili?
- Je z newsletterů jasné, kdo je odesílá?
- Jaký je předmět e‑mailu? Je z něj na první pohled zřejmé, že je e‑mail obchodním sdělením? (Nemělo by to být například jen „Plískanice jsou tu! Chraňte se před chřipkou“!)
- Má adresát možnost se z odběru vašich novinek odhlásit? A opravdu odhlášení funguje?
Přístup k osobním údajům
Co Úřad zajímá?
Na základě stížnosti bývalého zaměstnance, kterému fungovaly přihlašovací údaje do interních systémů i po skončení pracovního poměru, kontroloval Úřad interní nastavení oprávnění přístupu k osobním údajům.
Prošel přitom interní dokumenty kontrolované firmy, kde zjistil, že dotyčný měl špatně nastavený off-boardingový proces. Neměl nastavené, kdo konkrétně má změnit přihlašovací údaje při odchodu zaměstnance ani další detaily ohledně jeho přístupů do interních systémů.
Co si z toho odnést?
Interní dokumenty jsou důležité a kromě obecných pravidel přístupů k osobním údajům a povinností zaměstnanců musí obsahovat i konkrétní procesy s odpovědnými osobami.
Zkontrolujte si, jestli vůbec máte vnitřní předpis upravující ochranu osobních údajů, a pokud ano, tak ověřte, jestli odpovídá realitě. Kromě vnitřního předpisu byste ve složce „GDPR“ měli mít třeba i záznamy o zpracování osobních údajů anebo informace pro zaměstnance o zpracování osobních údajů.
V těchto dokumentech se vyplatí mít pořádek. Když k vám ÚOOÚ přijde na kontrolu, dáte mu šanon s nápisem „GDPR“, a pokud v něm bude vše v pořádku a pravidla budete dodržovat i v praxi, bude to Úřadu stačit.
Důvody pro zpracování osobních údajů
Co Úřad zajímá?
Když k vám přijde kontrola z ÚOOÚ, pravděpodobně padne otázka: „A proč tyhle údaje zpracováváte?“ A úředník nechce slyšet odpověď „Protože to tak děláme už dlouho“. nebo „Protože to navrhla Tereza z Obchodního“.
Úřad zajímají zákonné důvody, proč osobní údaje vůbec máte a nesmazali jste je. Většinou jde o:
- Splnění zákonné povinnosti, kdy musíte třeba nějaké osobní údaje uchovávat podle zákona o účetnictví.
- Plnění smluvní povinnosti. Údaje máte proto, abyste mohli svým zákazníkům dodat zboží anebo spolupracovat s vašimi obchodními partnery na základě smlouvy. Nebo v rámci předsmluvního jednání, abyste tu smlouvu vůbec mohli uzavřít.
- Váš oprávněný zájem. Osobní údaje si i po uzavření a splnění smlouvy necháváte proto, abyste mohli případně uplatnit svoje práva u soudu.
- Souhlas dotyčného člověka se zpracováním osobních údajů. Pozor, pokud se vám zpracování osobních údajů nevejde pod výše uvedené důvody, určitě není řešení zpracování nechat odsouhlasit dotyčným a jít od toho dál. Souhlas není žádným zbytkovým důvodem pro zpracování osobních údajů.
Co si z toho odnést?
Nenechávejte si osobní údaje „pro jistotu, co kdyby se mohly hodit“. Vždy se zamyslete nad tím, jestli údaje opravdu potřebujete a jestli je dokážete podřadit pod nějaký ze zákonných důvodů zpracování.
Udělejte si interní přehled kategorií osobních údajů, které zpracováváte a proč. V případě kontroly se vám určitě bude hodit a vás při jeho přípravě třeba překvapí, kolik zbytečných informací a osobních údajů ve firmě ukládáte.
Kopírování občanských průkazů
Co Úřad zajímá?
Úřad kopírování občanských průkazů nevidí rád. Vždy ho při kontrole zajímá důvod, proč dotyčný průkazy kopíruje i to, jestli není možné kopii nahradit jiným způsobem.
Úřad v minulosti řešil třeba půjčovnu sportovního vybavení nebo poskytovatele půjček a i u těch došel k závěru, že kopie občanek opravdu nebyly třeba.
Co si z toho odnést?
Nekopírujte občanky, nekopírujte občanky, nekopírujte občanky.
A když máte pocit, že byste kopii přeci jen potřebovali, důkladně zvažte, zda to není jen proto, že se vám nechce údaje opisovat a nebo jestli nemůžete používat šablonu k zakrytí nepotřebných údajů. Pokud kopie opravdu potřebujete, mějte určitě v pořádku veškerou dokumentaci. Do té doporučujeme doplnit i dokument, ve kterém zvážíte rizika pro osobní údaje a práva dotyčných subjektů, tzv. posouzení vlivu na ochranu osobních údajů.
S čímkoliv ohledně GDPR a ochrany dat vám samozřejmě rádi budeme k ruce. Stačí říct.
A nezapomeňte ani na malou revoluci v cookies, která nás čeká od nového roku.
26. 10. 2021
Sdílet
Tweet
LinkedIn
