Ochrana a zpracování osobních údajů je klíčovým prvkem při provozování jakékoliv webové stránky. Vzhledem k Obecnému nařízení o ochraně osobních údajů v rámci EU je ochrana osobních údajů právní i etickou otázkou.
Obsah
Kdo je odpovědný za dodržování zásad?
Odpovědnost za dodržování zásad ochrany a zpracování osobních údajů je vždy správce údajů. Správcem údajů se myslí fyzická nebo právnická osoba, která určuje, jak se bude s osobními údaji nakládat. Tento správce určuje účel i prostředek zpracování osobních údajů a také zajišťuje, že všechny činnosti spojené se zpracováním údajů jsou v souladu s právními předpisy.
Správce údajů dále vybírá a kontroluje zpracovatele údajů, kteří jeho jménem s daty pracují. Správce a zpracovatel mezi sebou uzavírají písemnou smlouvu, která obsahuje konkrétní pokyny pro zpracování osobních údajů a zajišťuje odpovídající úroveň ochrany.
Vzor zásad pro zpracování osobních údajů, inspirován webem fast-web, můžete stáhnout ZDE
Zpracování osobních údajů
Mezi zpracování osobních údajů patří veškeré operace s údaji, jako je jejich shromažďování, zaznamenávání, strukturování, ukládání, organizování, úprava nebo změna. Dále také vyhledávání, používání, šíření, nahlížení, kombinování, mazání osobních údajů nebo jejich ničení.
Cokoliv, co se s osobními údaji děje probíhá transparentně a zákonně. To znamená, že subjekt údajů informujeme o účelech zpracování, právním základu, příjemcích údajů a době uchování údajů. Stejně tak má tato osoba (subjekt) právo na přístup ke svým osobním údajům, na jejich opravení, vymazání nebo omezení zpracování. Pokud chce, může také podat stížnost u dozorového úřadu.
Co je zpracování osobních údajů?
V řádcích výše jsme už víceméně naťukli, co zpracování osobních údajů znamená. Pojďme si nyní uvést konkrétní příklady. O co se při zpracování osobní údajů tedy jedná?
Shromažďování údajů – když se uživatelé registrují na webu, objednávají naše produkty nebo se přihlašují k odběru newsletteru.
Ukládání údajů – ukládáme osobní údaje do databází, cloudu apod.
Využívání údajů – používáme osobní údaje pro účely komunikace, personalizace obsahu nebo pro poskytnutí těch správných služeb.
Předávání údajů – třetím stranám (např. poskytovatelům služeb nebo orgánům veřejné moci).
Vymazání údajů – pokud údaje již nepotřebujeme jsme povinni je vymazat. Stejně tak tehdy, přeje-li si to subjekt údajů.
Je zde také vhodné zmínit Zákon o zpracování osobních údajů, který doplňuje a konkretizuje některé aspekty GDPR a také stanovuje specifické povinnosti pro správce a zpracovatele osobních údajů.
Co mimo jiné tento zákon o zpracování osobních údajů upravuje?
Jedná se především o práva subjektů údajů, kdy má subjekt právo na přístup k osobním údajům, právo na výmaz, omezení zpracování a také například právo vznést námitku.
Dále upravuje povinnosti správců a zpracovatelů, kdy mají povinnost zavést vhodná technická a organizační opatření k ochraně osobních údajů nebo vést záznamy o činnostech zpracování, povinnost oznámit porušení zabezpečení osobních údajů dozorovém úřadu a subjektům údajů.
Mezi další povinnosti, které upravuje spadá postavení a úkoly pověřence pro ochranu osobních údajů. Pověřenec je osoba, která dohlíží na dodržování předpisů o ochraně osobních údajů v organizaci a poskytuje poradenství.
Na co si dát pozor při rozesílce newsletterů?
Pokud se rozhodnete při správě webu také rozesílat newslettery, pracujte na tom v souladu s GDPR. Abyste se vyhnuli problémům je potřeba držet se základních požadavků.
1.) Souhlas se zpracováním osobních údajů
Subjekt vám musí dát jasný souhlas se zpracováním svých osobních údajů pro účely rozesílky newsletterů. Takový souhlas musí být informovaný, svobodný a hlavně odvolatelný. V takovém případě byste měli subjekt vždy předem informovat na co, jeho údaje využijete a dát mu prostor a možnost kdykoliv svůj souhlas odvolat.
2.) Minimalizace údajů
Shromažďujte pouze údaje, které jsou pro vaše účely nezbytné. Zde pro účely rozesílání newsletterů. Pokud vám tedy pro zasílání newsletterů stačí emailová adresa, nepotřebujete žádné další osobní údaje.
3.) Právo na odhlášení
Ať se již zmiňované právo na odhlášení stane součástí vašeho newsletteru. Někde ke konci stránky přidejte odkaz pro odhlášení odběru. Tento odkaz by měl být subjekt schopný snadno najít a v případě potřeby i využít.
4.) Bezpečnost údajů
Dbejte na to, aby byly osobní údaje chráněny před neoprávněným přístupem nebo ztrátou. Využijte dostupné bezpečností funkce jako je například šifrování tak, abyste osobní údaje skutečně dobře ochránili.
Co znamená pojem omezení účelu?
Omezení účelu znamená, že jsou osobní údaje shromažďovány pouze pro konkrétní a legitimní účely a nesmí být dále zpracovávány způsobem, který není kompatibilní s těmito účely. Pokud tedy shromažďujete osobní údaje za účelem registrace na webu, je to jediný účel, za kterým můžete tyto osobní údaje využívat.
Pokud chcete využívat osobní údaje pro další účely, jako je například marketing a další, potřebujete k tomu opět souhlas se zpracováním osobních údajů pro tyto účely. Stanovte si účely, pro které budete údaje využívat, předem a pak je transparentně komunikujte všem subjektům údajů. Následně kontrolujte, zda užívání osobních údajů stále odpovídá původně stanoveným účelům.
Zpracování osobní údajů je komplexní činnost, při které musíte důkladně plánovat a zavádět vhodná opatření. Pokud spouštíte nový web je důležité zajistit, aby byly všechny procesy zpracování osobních údajů v souladu s GDPR a dalšími relevantními právními předpisy.
