Lekce 3 - GDPR kompletně a lidsky - Zásady zpracování osobních údajů

V minulé lekci, GDPR kompletně a lidsky - Slovník pojmů, jsme si představili základní pojmy GDPR, zejména profilování a pseudonymizaci, ale i další důležité pojmy, které musíme znát.

V tomto tutoriálu kurzu GDPR kompletně a lidsky si ukážeme základní zásady, podle kterých musíme postupovat při zpracování osobních údajů. Vysvětlíme si, jak tyto zásady pomáhají nastavit zpracování údajů tak, aby bylo zákonné, přiměřené, transparentní a bezpečné.

Zásady zpracování osobních údajů

GDPR staví zpracování osobních údajů na několika základních zásadách. Ty nám říkají, jak máme s údaji zacházet od okamžiku, kdy je získáme, až po jejich výmaz nebo archivaci. Nejde tedy jen o to, zda máme souhlas nebo zda máme data uložená v zabezpečené databázi. Důležité je, aby každé zpracování mělo jasný účel, přiměřený rozsah, odpovídající právní důvod, rozumně nastavenou dobu uchování a dostatečnou ochranu.

Zásady zpracování jsou důležité i proto, že se k nim GDPR opakovaně vrací. Pokud si je nastavíme správně, snáze potom řešíme informační povinnost, práva uživatelů, bezpečnost, dokumentaci i případné kontroly.

Zákonnost, korektnost a transparentnost

První zásada říká, že osobní údaje musí být zpracovávány zákonně, korektně a transparentně:

• Zákonnost znamená, že pro každé zpracování osobních údajů musíme mít vhodný právní důvod. Souhlas je jen jednou z možností. Často se používá také plnění smlouvy, právní povinnost nebo oprávněný zájem. Pokud například zákazník vytvoří objednávku, potřebujeme jeho kontaktní a doručovací údaje, abychom mohli objednávku vyřídit. K tomu nepotřebujeme zvláštní souhlas, protože údaje zpracováváme kvůli splnění smlouvy.
• Korektnost znamená, že s údaji zacházíme férově a nepoužíváme je způsobem, který by byl pro člověka nečekaný, zavádějící nebo nepřiměřený. Pokud nám uživatel poskytne e-mail kvůli registraci, neměli bychom ho bez dalšího začít používat k úplně jinému účelu, se kterým nemohl rozumně počítat.
• Transparentnost znamená, že člověku srozumitelně vysvětlíme, jaké údaje zpracováváme, proč je potřebujeme, komu je případně předáváme, jak dlouho je uchováváme a jaká má v souvislosti se zpracováním práva. U webu nebo aplikace se to obvykle řeší stránkou se zásadami zpracování osobních údajů, případně stručnými informacemi přímo u formulářů, kde údaje získáváme.

Účelové omezení

Osobní údaje musíme shromažďovat pro určité, výslovně vyjádřené a legitimní účely. Jinými slovy: ještě před získáním údajů bychom měli vědět, k čemu je potřebujeme. Později je nemáme používat způsobem, který je s původním účelem neslučitelný.

Pokud například uživatel zadá e-mail při registraci do služby, neznamená to automaticky, že ho můžeme použít pro libovolná marketingová sdělení. Musíme posoudit, za jakým účelem jsme e-mail získali, o jaký právní důvod se opíráme a zda se neuplatní i další pravidla, například pravidla pro obchodní sdělení.

To neznamená, že údaje nikdy nemůžeme použít pro nový účel. GDPR umožňuje posoudit, zda je nový účel slučitelný s původním. Díváme se přitom hlavně na:

• vazbu mezi původním a novým účelem,
• okolnosti získání údajů,
• povahu zpracovávaných údajů,
• možné důsledky pro dotčené osoby,
• vhodná ochranná opatření, například pseudonymizaci nebo šifrování.

Minimalizace údajů a přesnost

Další důležitou zásadou je minimalizace údajů. Zpracováváme jen takové osobní údaje, které jsou přiměřené, relevantní a nezbytné pro daný účel. Údaje tedy nesbíráme "pro jistotu", protože by se nám jednou mohly hodit.

To znamená, že pokud pro registraci uživatele stačí e-mail a heslo, nemáme důvod vyžadovat také datum narození, adresu bydliště nebo telefonní číslo. Čím více údajů sbíráme, tím větší odpovědnost na sebe bereme. Zbytečně široké formuláře navíc zvyšují riziko, že nám uživatelé vyplní i údaje, které vůbec nepotřebujeme.

Zvláštní opatrnost je vhodná u volných textových polí. Pokud uživateli dáme prostor napsat cokoli, může do poznámky omylem uvést i citlivé nebo zcela zbytečné informace. Proto je lepší formuláře navrhovat tak, aby sbíraly jen to, co pro daný účel skutečně potřebujeme.

S minimalizací souvisí také přesnost údajů. Osobní údaje mají být přesné a v případě potřeby aktualizované. Pokud zjistíme, že jsou nepřesné, měli bychom přijmout rozumná opatření k jejich opravě nebo výmazu. U webového portálu to může znamenat například možnost upravit profilové údaje, změnit e-mailovou adresu nebo požádat o opravu údajů, které uživatel nemůže změnit sám.

Doba uložení a zabezpečení

Osobní údaje nemáme uchovávat déle, než je nezbytné pro účel, pro který je zpracováváme. Této zásadě se říká omezení uložení. Nestačí tedy údaje jednou získat a nechat je v systému navždy. Měli bychom vědět, jak dlouho potřebujeme uchovávat například údaje o uživatelském účtu, objednávce, faktuře, reklamaci, přihlášení k newsletteru nebo bezpečnostním incidentu.

Někdy můžeme údaje uchovávat i po skončení hlavního účelu, například kvůli zákonné povinnosti, reklamační lhůtě nebo obraně právních nároků. V takovém případě ale musíme mít jasný důvod a údaje nepoužívat k jiným účelům.

Vedle doby uložení musíme řešit také integritu a důvěrnost. Osobní údaje mají být chráněny před neoprávněným přístupem, ztrátou, zničením, poškozením nebo protiprávním zpracováním. Nejde jen o technická opatření, jako jsou silná hesla, šifrování, zálohování nebo vícefaktorové ověřování. Stejně důležitá jsou i organizační opatření: přístupová práva, školení lidí, pravidla pro práci s údaji nebo kontrola dodavatelů.

Právní důvody zpracování

Zásada zákonnosti znamená, že pro každé zpracování osobních údajů musíme mít právní důvod. GDPR uvádí šest základních právních důvodů. Pro konkrétní zpracování přitom stačí jeden vhodný právní důvod, pokud skutečně odpovídá dané situaci.

Je dobré si uvědomit, že právní důvod bychom měli znát už ve chvíli, kdy zpracování nastavujeme. Není možné ho určovat až dodatečně podle toho, co se nám zrovna hodí.

Mezi právní důvody patří:

• souhlas – používáme ho tam, kde se člověk může svobodně rozhodnout, zda se zpracováním souhlasí,
• plnění smlouvy – použijeme ho například tehdy, když potřebujeme zpracovat údaje pro vyřízení objednávky, poskytnutí služby, komunikaci se zákazníkem nebo doručení,
• právní povinnost – týká se situací, kdy nám zpracování ukládá zákon, například u účetnictví, daňových dokladů nebo zákonných evidencí,
• životně důležité zájmy – mohou se uplatnit v mimořádných situacích, kdy jde například o ochranu života nebo zdraví člověka,
• veřejný zájem nebo výkon veřejné moci – typicky se týká orgánů veřejné moci nebo úkolů prováděných ve veřejném zájmu,
• oprávněný zájem – může se uplatnit například při zajištění bezpečnosti služby, ochraně před zneužíváním, obraně právních nároků nebo u některých forem přímého marketingu.

Souhlas tedy není jediný způsob, jak lze osobní údaje zpracovávat. V některých situacích by dokonce nebyl vhodným právním důvodem. Pokud například zákon ukládá firmě povinnost uchovávat účetní doklady, nejde o zpracování založené na souhlasu zákazníka. Stejně tak při vyřízení objednávky obvykle potřebujeme zpracovat údaje nezbytné pro splnění smlouvy, aniž bychom k tomu žádali samostatný souhlas.

Oprávněný zájem v marketingu

Oprávněný zájem se v praxi často řeší také u marketingu vůči stávajícím zákazníkům. Může jít například o situaci, kdy firma oslovuje zákazníka s nabídkou vlastních obdobných výrobků nebo služeb. Ani v takovém případě ale nejde o volnou možnost posílat reklamu komukoli. Aby bylo možné opřít se o oprávněný zájem, musí být splněny konkrétní podmínky podle GDPR i podle pravidel pro obchodní sdělení.

U e-mailového marketingu se vedle GDPR uplatní také zákon č. 480/2004 Sb., o některých službách informační společnosti, zejména pravidla pro obchodní sdělení. Podle těchto pravidel lze bez předchozího souhlasu za určitých okolností oslovovat stávající zákazníky, pokud:

• firma získala e-mail zákazníka v souvislosti s prodejem svého výrobku nebo služby,
• obchodní sdělení se týká vlastních obdobných výrobků nebo služeb,
• zákazník měl jasnou a jednoduchou možnost zasílání odmítnout, a to při získání e-mailu i v každém dalším obchodním sdělení,
• zpráva je zřetelně označená jako obchodní sdělení a je jasné, kdo ji posílá,
• správce zároveň splní informační povinnost podle GDPR.

Nestačí tedy pouze napsat do obchodních podmínek, že marketing posíláme na základě oprávněného zájmu. Správce musí být schopen vysvětlit, proč je tento právní důvod v dané situaci vhodný, a zároveň musí dodržet zvláštní pravidla pro zasílání obchodních sdělení.

Odpovědnost správce

GDPR klade důraz také na odpovědnost správce. Nestačí pravidla jen dodržovat. Správce musí být schopný doložit, že je dodržuje.

Jako správci musíme mít přehled zejména o tom, jaké údaje zpracováváme, proč je potřebujeme a o jaký právní důvod se opíráme. Zároveň bychom měli vědět, komu je případně předáváme, jak dlouho je uchováváme a jakým způsobem je chráníme.

Tato odpovědnost se promítá do dokumentace, interních postupů i technického nastavení systému. U malého webu může jít o jednoduchý přehled zpracování, správně napsané zásady zpracování osobních údajů a rozumně nastavené formuláře. U větší organizace už půjde o propracovanější procesy, smlouvy s dodavateli, řízení přístupů a pravidelné kontroly.

Shrnutí

V této lekci jsme si vysvětlili základní zásady, na kterých GDPR staví zpracování osobních údajů. Pro běžnou praxi je důležité hlavně to, abychom osobní údaje shromažďovali jen tehdy, když pro to máme jasný důvod, a pouze v rozsahu, který skutečně potřebujeme. Zároveň je musíme používat jen k určeným účelům a umět doložit, proč a jak s nimi pracujeme.

V následujícím kvízu, Kvíz - Úvod do nařízení GDPR, si vyzkoušíme nabyté zkušenosti z předchozích lekcí.