Strašák GDPR obchází nejednoho freelancera. Málokdo ale ví, jak se nařízení o ochraně osobních údajů vztahuje na něj – a jak je prakticky splnit. Všem, kdo v GDPR plavete, podáváme pomocnou ruku společně s Petrou Stupkovou z advokátní kanceláře Legitas.
K čemu je to GDPR vlastně dobré?
V digitální době mají osobní údaje hodnotu, kterou si musíte bedlivě chránit. GDPR pro mě představuje mantinel, kam až vám někdo může zasahovat do soukromí. Právo na ochranu osobních údajů patří mezi základní práva a svobody – a tohle právo vašich klientů musíte respektovat. K tomu bych prakticky dodala, že GDPR je dobré také v tom, že problematiku osobních údajů sjednocuje pro celou Evropskou unii. To oceníte hlavně tehdy, až bude vaše online podnikání expandovat za hranice ČR. V takovém případě budete hodně rádi, že nemusíte detailně konzultovat s právníky každého členského státu. Zkrátka se spolehnete na to, že nařízení je přímo účinné pro celou EU.
Na koho se GDPR v podnikání vztahuje?
Na všechny, kteří zpracovávají osobní údaje občanů EU. To v lidské řeči znamená, že pokud podnikáte v ČR, nejspíš se povinnostem vyplývajícím z GDPR nevyhnete. Pokud podnikáte v onlinu nebo digitálu, budete velmi pravděpodobně v pozici správce, někdy dokonce správce i zpracovatele osobních údajů současně. Proto si musíte nejdřív ujasnit svoji pozici.
Příklad: Takový e-shop bude vždy v roli správce osobních údajů. Digitální agentura bude často jednak v roli správce a jednak zpracovatele. Freelancer si musí zvážit, zda pro klienta v rámci jeho činnosti dochází k systematické práci s osobními údaji, nebo ne. Například e-mailingový specialista zpravidla bude zpracovatelem, ale copywriter má ke zpracování osobních údajů pro klienta dál.
GDPR – jak funguje
Co všechno spadá do osobních údajů?
V tom má řada lidí stále zmatek. Teoreticky je osobní údaj je úplně každá informace, která vás sama o sobě a nebo ve spojení s jinou informací dovede ke konkrétnímu jedinci.
Příklad z praxe: Mám databázi e-mailů zákazníků. E-mail, který zní jako info@nejlepsifirma.cz sám o sobě být osobním údajem nemusí. Jenže ve spojení s jinými informacemi, které o zákazníkovi máte, už pravděpodobně bude. Pro klidné spaní podnikatelům radím, aby si nastavili všechny informace týkající se zákazníků jako osobní údaje.
Kdo dodržování pravidel o ochraně osobních údajů kontroluje?
Dohlíží na to Úřad pro ochranu osobních údajů. Jeho rozhodovací praxe se dá považovat za velmi rozumnou. Začátkem října měl projev předseda úřadu, který zdůraznil dozorovou funkci úřadu jako poslední možnost – až když všechno ostatní, jako třeba osvěta, nepomůže.
Jak taková kontrola probíhá?
Zpravidla nejdřív distančně a na základě stížnosti, kterou na vás někdo podal. Uvedu to na příkladu kontroly oprávněnosti zasílání obchodních sdělení. Úřad vás nejprve vyzve, abyste u konkrétních e-mailových adres doložili právní titul k zasílání obchodního sdělení (například souhlas nebo důkaz o tom, že se jedná o vašeho zákazníka). Pokud nejste schopni právní titul doložit, je s vámi zahájeno přestupkové řízení. A víme, že pokuty mohou být i pěkně nepříjemné.
Co můžu čekat při kontrole přímo u mě v kanceláři nebo obchodě?
V takovém případě si připravte Záznamy o činnostech zpracování – ty musí mít každý správce osobních údajů a tím se zpravidla začne. Inspektor si pak řekne o další doklady, kterých se kontrola týká – zpracovatelské smlouvy nebo třeba interní směrnice.
Dobré vědět: Průměrná sankce za porušení pravidel GDPR se u nás v loňském roce pohybovala kolem 45 tisíc korun. V září 2020 byla uložena nejvyšší pokuta v historii úřadu vůbec, a to ve výši 6 milionů korun za nevyžádaná rozesílání obchodních sdělení.
Co mi hrozí, když zjistí, že jsem porušila nařízení?
Slovy GDPR vám hrozí vysoká pokuta až do výše 20 milionů eur nebo až do výše 4 % vašeho celkového ročního obratu celosvětově za předchozí finanční rok. Podle toho, která hodnota je vyšší. Sankce by měla být odrazující, nikoli likvidační. Z praxe českého ÚOOÚ za rok 2019 vyplývá, že průměrná sankce byla uložena ve výši 45 800 korun. Já osobně vnímám jako největší riziko nikoli pokutu ze strany státu, ale spíše ztrátu důvěry zákazníků. U některých typů služeb, typicky poskytovaných prostřednictvím SaaS aplikací, může mít právě ztráta důvěryhodnosti likvidační důsledky.
Ochrana osobních údajů prakticky
Kde se můžu ohledně GDPR poradit?
Ideálně u právních expertů. U nás v Legitas máme mnoho zkušeností jak s nastavením procesů pro e-shopy, technologické firmy, tak pro freelancery, kteří pro ně pracují.
Jak mám ošetřit ochranu osobních údajů, když provozuji e-shop?
Pro případ e-shopu rozděluji problematiku GDPR vždy do dvou zásadních oblastí. Nejprve doporučuji řešit to, co je nejvíc vidět, co může být kontrolováno distančně. To znamená nastavení jednotlivých procesů pro sběr kontaktů a správné poučení zákazníků. To všechno obvykle napíšete do Zásad zpracování osobních údajů, což je dokument, bez kterého se prakticky nehnete z místa. Prostřednictvím tohoto dokumentu dochází ke splnění informační povinnosti, kterou na podnikatele GDPR klade.
Jaký je ten druhý krok, když mám Zásady zpracování osobních údajů hotové?
Pak přichází na řadu ochrana osobních údajů interně. Uvědomit si, zda jsem správce, nebo zpracovatel, nebo obojí. Musíte si vyhodnotit, zda potřebujete pověřence na ochranu osobních údajů a toto vyhodnocení si někde uložit. To samé platí pro povinnost učinit posouzení vlivu vašeho zpracování na ochranu osobních údajů. Co budete potřebovat určitě, jsou Záznamy o činnostech zpracování. Je to takový přehled, kde napíšete, při jakých procesech u vás dochází ke zpracování osobních údajů.
TIP: Zde najdete úplné znění Nařízení. Pokud vám GDPR nebude připadat jako čtivý román, je to pochopitelné. V takovém případě se můžete poradit například s expertkami z Legitas.
Rozesílám pravidelný newsletter, k jehož odběru se mohou lidé přihlásit na mém webu. Musím mít zvláštní podstránku s pravidly ochrany osobních údajů? Co na ní mám uvést?
V této fázi je potřeba zdůraznit, že pokud rozesíláte newsletter, tak buď svým zákazníkům nebo těm, kteří s tím vyslovili souhlas. Na našem blogu je ke stažení příručka, o tom, co nepodcenit při hromadné rozesílce z pohledu práva.
Můžete nějak shrnout ty nejdůležitější kroky?
Doporučuji mít kvalitně napsané Zásady zpracování osobních údajů. Tím splníte informační povinnost. V praxi to znamená, že vždycky, když získáte nový osobní údaj, vzniká vám povinnost danou osobu informovat, proč ten osobní údaj nezbytně potřebujete, na jak dlouho, co se s tímto osobním údajem bude dít a jaká jsou její práva.
Příklad: Pokud se někdo přihlašuje k odběru newsletteru, uděluje souhlas. V té chvíli ho musíte řádně poučit: Pokud poskytnete svůj e-mail, budu vám posílat newsletter. Vaše osobní údaje zpracovávám podle těchto Zásad zpracování osobních údajů. Takže Zásady zpracování osobních údajů doporučuji použít všude tam, kde sbíráte osobní údaje a dále do patičky na webu. Protože už samotnou prohlídkou webu může dojít ke zpracování osobních údajů, například přes IP adresu.
GDPR versus technologie
Všechny podklady a pracovní dokumenty mám uložené na Google Drivu. Stačí to? Mám tento údaj uvádět někde na webu nebo ve smlouvě s klientem?
Softwary, které používáme, jsou často našimi zpracovateli. Takže bychom měli mít uzavřenou zpracovatelskou smlouvu. Ta je součástí standardní smluvní dokumentace Googlu. Z hlediska bezpečnosti osobně považuji Google Drive vlastně lepší než stohy papírů uložené ve skříňce na jednoduchý zámek. Doporučuji mít všude dvoufázové ověření. V případě průšvihu, budete lépe prokazovat, že jste udělali všechna opatření, které lze po vás v dané době požadovat.
Píšu si s klienty přes WhatsApp a Facebook Messenger. Jsou údaje, které si tam vyměňujeme, dostatečné chráněné? Jakou mám alternativu, pokud nejsou?
Pokud v této komunikaci dochází ke zpracování osobních údajů, pak si musíte pohlídat, jaké záruky poskytovatelé uvedených programů nabízejí. To se dá najít v jejich zpracovatelských smlouvách. Jedná o americké entity, přičemž od 16. 7. 2020 máme zrušený Privacy Shield.
Co to znamená?
To znamená, že byl zrušen jakýsi “jízdní řád” pro vztahy v rámci ochrany osobních údajů mezi USA a Evropou. Převedeno do praxe, nikdo v EU by teď neměl předávat osobní údaje občanů EU do USA. Něco takového není samozřejmě v dnešní praxi udržitelné. Uvidíme jak se vyvine politika, doufám, že přinese nějaký nový, stabilnější “jízdní řád”. Zatím bych počkala, jak se situace vyvine. Většina amerických poskytovatelů služeb zareagovala tak, že přijala vhodné záruky, aby požadavkům EU vyhověli.
Tip: Zabezpečenou komunikaci nabízí například chatovací aplikace Telegram.
GDPR pro fotografy a konzultanty
Jaké náležitosti musím splnit jako portrétní fotografka? A co když fotím pro klienty na akcích? Nebo na svatbách?
Podobizna je osobním údajem. Takže ve vztahu k některým klientům budete v pozici zpracovatele. V takovém případě byste měla kromě smlouvy o poskytování služeb, což je smlouva o dílo a licenční smlouva, uzavřít také zpracovatelskou smlouvu.
Na konzultacích si dělám do notesu poznámky ke klientovi, kterému radím. Kancelář mám doma a k notesu se tedy může dostat i člen rodiny. Porušuji ochranu osobních údajů? Co mám dělat?
Tady je potřeba si uvědomit, že ne každé zapsání jména a příjmení spadá pod procesy zpracování osobních údajů. Takže pokud si v notesu nevedete například přehled fakturace ke každému klientovi, zůstala bych v klidu. Na druhou stranu, ke zpracování osobních údajů může dojít jak digitálně, tak papírově. Papírovou agendu, která se typicky bude týkat zaměstnanců, doporučuji na pracovišti nepodcenit a zamykat.
Doporučené čtení: Pokud na volné noze začínáte, nebo máte mezery v základním vzdělání volnonožce, přečtěte si celý seriál Právo pro freelancery, který začíná článkem Rizika a jak jim předejít.
Foto: AK Legitas