Zákon o ochraně osobních údajů už je mezi námi více jak 6 let. Dodržování tohoto právního rámce by mělo být prioritou pro všechny společnosti, které nějakým způsobem nakládají se zákaznickými daty a osobními informacemi. Co podle GDPR patří mezi osobní údaje a jaké zásady jejich ochrany musíte dodržovat?
Co jsou podle GDPR osobní údaje?
Zkratka GDPR znamená General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů. Tento právní rámec platí v rámci celé EU a definuje pravidla pro zpracování osobních údajů.
Osobní údaje jsou jakékoliv informace, které se týkají identifikované nebo identifikovatelné fyzické osoby. Touto osobou je občan, u kterého lze přímo nebo nepřímo identifikovat:
- Identifikační údaje – jméno, příjmení, číslo občanského nebo řidičského průkazu či cestovního pasu, datum a místo narození, věk, pohlaví, osobní stav.
- Kontaktní údaje – adresa, trvalé bydliště nebo doručovací adresa, e-mailová adresa se jménem a příjmením, telefonní číslo, datová schránka.
- Vzdělání.
- Příjem ze zaměstnání nebo příjem z důchodu.
- IČO, DIČ.
- Zdravotní znevýhodnění.
- Foto, video nebo audio záznamy.
- Citlivé osobní údaje – popisujeme níže.
Co jsou citlivé osobní údaje?
Citlivé osobní údaje jsou speciální kategorií osobních údajů, která podléhá zvláštní ochraně GDPR. Spadají sem informace o:
- rasovém nebo etnickém původu,
- náboženském či filozofickém vyznání,
- politických názorech a členství v odborech,
- zdravotním stavu,
- přestupcích nebo pravomocném odsouzení,
- sexuální orientaci.
Tyto údaje jsou považované za citlivé, protože jejich povaha může vést k poškození osoby ve společnosti, škole či zaměstnání, nebo způsobit její diskriminaci.
Zásady ochrany osobních údajů podle GDPR
Obecné nařízení o ochraně osobních údajů je postavené na následujících zásadách zpracování osobních údajů:
- Zásada zákonnosti, korektnosti a transparentnosti – osobní údaje musíte zpracovávat na základě alespoň jednoho právního důvodu a jasně vysvětlit proč a jak je používáte.
- Zásada minimalizace údajů – smíte shromažďovat pouze takové osobní údaje, které skutečně potřebujete.
- Zásada přesnosti – osobní údaje musí být aktuální a správné.
- Zásada omezení účelu – osobní údaje můžete shromažďovat pouze pro konkrétní a legitimní účely.
- Zásada omezení uložení – osobní údaje můžete uchovávat pouze po dobu nezbytně nutnou pro splnění účelu, pro který jste je shromažďovali.
- Zásada integrity a důvěrnosti – osobní údaje musíte mít zabezpečené.
A kdo se musí těmito zásadami řídit?
- Správce údajů – organizace nebo jednotlivci, kteří shromažďují, zpracovávají a uchovávají osobní údaje nebo určují účel a prostředky zpracování osobních údajů. To zahrnuje firmy, vládní instituce, neziskové organizace a další subjekty, které například vedou evidenci členů spolku, zpracovávají internetové objednávky nebo zasílají newslettery atp.
- Zpracovatelé údajů – subjekty, které zpracovávají osobní údaje na základě pokynů správce.
Můžou to být externí poskytovatelé služeb, jako jsou IT firmy, marketingové agentury nebo účetní firmy, které se specializují na outsourcing služeb.
- Zaměstnanci – lidé, kteří pracující pro správce nebo zpracovatele údajů a přicházejí do styku s osobními údaji.
- Subjekty, které zpracovávají osobní údaje občanů EU – pokud společnost, která nesídlí v EU, nabízí produkty nebo služby občanům EU.
Dodržování těchto zásad je důležité nejen pro ochranu soukromí jednotlivců a budování důvěry zákazníků, ale také pro firmy samotné. Nedodržení pravidel ochrany osobních údajů podle GDPR může totiž vést k obrovským pokutám, a to až do výše 4 % ročních globálních příjmů nebo 20 milionů eur.
Zdroj obrázku: LIGHTFIELD STUDIOS / stock.adobe.com