Senátor Ivo Valenta dne 6.11.2017 adresoval Ministerstvu průmyslu a obchodu dopis, ve kterém vyjádřil obavy malých podnikatelů a živnostníků z celé České republiky z Obecného nařízení o ochraně osobních údajů (GDPR) a položil šest otázek, které jsou pro malé podnikatele a živnostníky zásadní. Zdůraznil, že podnikatelé a živnostníci jsou zmateni požadavky GDPR, ale zároveň se bojí obrátit na poradenské podnikatelské subjekty, jelikož se domnívají, že tyto společnosti je chtějí pouze „zbytečně“ vyděsit a na implementaci GDPR potom fakturovat vysoké částky. Takové obavy společnost GDPR Solutions, a.s. chápe, a proto se rozhodla poskytnout odpovědi na otázky pana senátora Valenty a umožnit tak všem subjektům, aby se seznámily se základními požadavky GDPR a mohly se kvalitně, ať už s pomocí poradenského subjektu nebo nikoliv, připravit na blížící se účinnost tohoto Nařízení. Na otázky pana senátora odpovídá RNDr. Igor Němec (akcionář a předseda dozorčí rady GDPR Solutions, a.s., bývalý předseda Úřadu na ochranu osobních údajů a bývalý místopředseda pracovní skupiny WP 29):
- Jakých podnikatelských subjektů se GDPR ve skutečnosti týká? Musí pravidla GDPR – zavádět také malý živnostník nebo OSVČ, která má živnostenské podnikání pouze jako vedlejší zdroj svých příjmů?
Nařízení se týká všech subjektů (právnických osob i fyzických osob), které zpracovávají osobní údaje jinak než pro svou osobní potřebu. Pravidla GDPR proto musí zavádět každý malý živnostník, OSVČ, nebo jiný subjekt, který zpracovává osobní údaje byť jen jednoho svého klienta nebo zaměstnance. Osoba, která má živnostenské oprávnění pouze jako vedlejší zdroj svých příjmů a zpracovává osobní údaje je samozřejmě také povinna podřídit se požadavkům Nařízení. Příkladem může být kadeřnice, která má jméno a telefonní číslo svých zákazníků uložené v mobilním telefonu a každý měsíc jim posílá akční nabídky na různé balíčky svých služeb. V takovém případě (i kdyby se jednalo o údaje jen o pěti klientech) musí tyto údaje dostatečně chránit tak, aby nemohly být zneužity. O tom prakticky celé Nařízení je – o poskytnutí větší míry jistoty a bezpečí fyzickým osobám, že jejich osobní údaje nebudou nikým zneužity.
- Existuje rozdíl v rozsahu povinností spojených s GDPR v případě živnostníků či OSVČ a podnikajících právnických osob, obchodní společnosti či korporací? Opravdu musí malí živnostníci plnit stejné povinnosti jako velké firmy?
Základní požadavky GDPR jsou pro všechny subjekty stejné. Například každý subjekt, byť sebemenší, musí postupovat v souladu s tímto Nařízením a zpracovávat osobní údaje zákonnými prostředky, respektovat práva subjektů údajů stanovené Nařízením atp. Živnostníci a OSVČ se ale mohou vyhnout několika jiným povinnostem, které jsou stanoveny pro subjekty, jejichž zpracování osobních údajů se dá označit za „rozsáhlé“ a splňují některé jiné podmínky. Takové subjekty potom musí mít například pověřence pro ochranu osobních údajů, zpracovávat posouzení vlivů na ochranu osobních údajů atp. Tyto povinnosti se malých podnikatelů a živnostníků ve většině případů týkat nebudou.
- Kde je možné získat konkrétní informace o tom, jaké osobní údaje a jakým způsobem má živnostník či podnikatel chránit v souvislosti s nařízením o GDPR?
Obecně není možné nalézt příručku, která by nám exaktně říkala, co je osobní údaj a co osobní údaj už není. GDPR definuje osobní údaj relativně široce. Osobním údajem může být například jméno, adresa, příjmení za svobodna, fotografie, nebo například i IP adresa, v zásadě se ale vždy jedná o takový údaj (nebo více údajů), který dokáže individualizovat osobu a odlišit ji od jiné. Samotné příjmení Novák například samo o sobě osobním údajem není, neboť Nováků je v ČR mnoho. Pokud se ale k příjmení Novák přiřadí adresa Čestlice 35, je zjevné, o jakou osobu jde (pakliže na adrese nežije více rodin Novákových). V pochybnostech je vždy lepší údaj považovat za osobní a neudělat tak zbytečnou „chybu“. Informace o tom, jakým způsobem mají být tyto údaje chráněny není lehké obecně stanovit, jelikož pro každého správce (příp. zpracovatele) osobních údajů budou tyto požadavky jiné. Obecně lze ale doporučit, aby žádné osobní údaje nebyly lehce přístupné, tedy údaje v papírové podobě například dobře uzamknout do veřejnosti nepřístupné místnosti. Údaje v elektronické podobě zajistit heslem atp.
- Ve veřejném prostoru se objevuje řada spekulací o tom, že živnostníci budou muset šifrovat seznamy svým zaměstnanců, nebudou moci ve standardních šanonech skladovat vystavené faktury, budou muset platit nezávislé pověřence pro ochranu osobních údajů, sepisovat rozsáhlé pracovní postupy, aby prokázali správné zacházení s osobními údaji. Je možné tyto spekulace vyvrátit, upřesnit nebo potvrdit?
Tyto spekulace jsou ve většině případů opravdu pouze spekulacemi. Živnostníci musí s osobními údaji nakládat tak, aby nedošlo k jejich zneužití. „Šifrování seznamu zaměstnanců“ proto opravdu nebude běžnou praxí (samozřejmě živnostník se může sám rozhodnout pseudonymizovat údaje svých klientů nebo zaměstnanců a poskytnout jim tak vyšší míru ochrany). Živnostník také může skladovat faktury v standardních šanonech, ale musí je zajistit proti případnému zneužití (například je uložit v jeho uzamykatelné kanceláří do uzamykatelné skříně). Jak bylo zmíněno výše, až na výjimky nebudou muset živnostníci mít pověřence pro ochranu osobních údajů. Ten je potřeba zejména při „rozsáhlém zpracování osobních údajů“ (například nemocnice). Každý subjekt, tedy i živnostník, by měl být schopen prokázat, že se podřídil požadavkům GDPR a měl by tedy připravit dokument, který by shrnul jeho politiku s nakládáním s osobními údaji. Tyto dokumenty u živnostníků a malých podnikatelů ale nejspíše nebudou „rozsáhlé“.
- Je k dispozici nějaká přehledná a ucelená metodika či návod, jak má podnikatel a malý živnostník postupovat, aby byl do 25.5.2018 připraven na GPDR a nebyl vystaven hrozbě sankcí? Pokud ano, žádám o poskytnutí takové metodiky či návodu.
Jednotlivé metodiky ke konkrétním článkům Nařízení připravuje Pracovní komise Evropské Unie (WP 29), bohužel žádná z nich komplexně neupravuje postup přípravy malých podnikatelů a živnostníků na účinnost Nařízení. Obecně lze ale těmto subjektům doporučit aby:
- zjistily, kde a jakým způsobem mají uloženy zpracovávané osobní údaje,
- ověřily jaké osobní údaje zpracovávají, k jakým účelům a zda je takové zpracování potřebné (například kadeřnice nemusí zpracovávat adresy klientů, pokud k nim nedochází vykonávat služby do jejich bydliště),
- se ujistily, že ke všem získaným osobním údajům mají také adekvátní souhlas, který je v souladu s GDPR (ale pozor, samostatný souhlas není potřeba, pokud zpracování údajů vyplývá ze samotné smlouvy nebo zákona, zde je třeba subjekt údajů pouze upozornit – například aby opravář vodovodů věděl, kam se má k objednané opravě dostavit, potřebuje jméno a adresu svého klienta),
- se ujistily, že osobní údaje mají dobře chráněny před jejich zneužitím jinou osobou a v případě nutnosti je mohou snadno vyhledat, opravit, nebo smazat.
6. Kam se mohou podnikatelé obracet se svými individuálními dotazy souvisejícími s GDPR a kdo jim bude schopen ze strany státu poskytnout přesné informace a závazné stanovisko?
Přesné informace a stanoviska podnikatelům poskytne Úřad na ochranu osobních údajů. Je ale třeba dodat, že ÚOOÚ těmto subjektům nedokáže pomoci s reálnou implementací nových požadavků a postupů. Pokud si malí živnostníci a podnikatelé nebudou v těchto případech jistí, mohou se obrátit na některou ze společností, která se přímo na problematiku Nařízení specializuje.