22 let na trhu autoopravárenství

Nebojte se GDPR…

Pokračování článku najdete v časopisu AutoEXPERT 1+2/2018.

 

PRO ZLOM: záhlaví

Červená

Na aktuální téma

Legislativa

Za AE se ptal: Jaromír Martinec

Foto: Archiv

Ilustráky prosím libovolně (ten, co nevybereš na titulku, dej taky jako ilustr.)

Sim ve struktuře je dvoustrana, ale tohle vypadá delší. Pokud vyjde na 2 str – ok, pokud to bude na tři, tak vykopnem ze struktury to Liqui Moly a tohle by začalo na PS. Kdyby tam pak zbývalo místo na inzerát, pypej (asi bychom sem přesunuli inzerci ze spektra a tam to doplnili zprávami)

PRO ZLOM: k otvíráku prosím razítko

  1. května 2018 to začne…

PRO ZLOM: k nadpisu obr Skornickova (vyber si z nabídky) s popiskou:

Provozovatelka poradenského portálu www.GDPR.cz Mgr. Eva Škorničková.

 

 

Nebojte se GDPR…

(… ale neberte jej na lehkou váhu)

GDPR neboli General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů, je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů. Jako provozovatelů autoopraven se tato legislativní úprava týká i vás, proto jsme ve spolupráci s provozovatelkou osvětového, vzdělávacího a poradenského portálu www.GDPR.cz Mgr. Evou Škorničkovou pro vás připravili následující rozhovor, ve kterém nás zajímala konkrétně oblast autoopravárenství.

Legislativní rámec pro GDPR byl přijat v dubnu 2016, ale vstoupí v účinnost až od 25. května 2018. Představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a on-line služeb, které zpracovávají data uživatelů. Na zmíněném webu www.GDPR.cz získáte o GDPR vyčerpávající informace a doporučujeme si je podrobně prostudovat. My jsme Mgr. Evě Škorničkové položili následující otázky:

Nejprve obecně: Jaký je reálný a konkrétní smysl GDPR?

Cílem GDPR je lépe chránit osobní údaje zpracovávané na území EU. GDPR dává lidem, kterým údaje patří (těm se říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody. Subjekt údajů by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být ideálně přímý a on-line. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.

S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.

 

A nyní konkrétně: Provozuji autoopravnu – co pro mě konkrétně GDPR znamená? Platí pro mě GDPR, i když jsme pouze malá opravna (např. do pěti zaměstnanců, do 20 zaměstnanců atd.)?

Ano, jednoznačně platí. Nařízení GDPR míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

 

Jaké konkrétní kroky musím podniknout, abych splnil požadavky legislativy?

Skutečná implementace obsahuje několik kroků, které je vždy vhodné konzultovat s příslušnými odborníky. V prvé řadě každému doporučuji, aby si podle svého nejlepšího vědomí a svědomí odpověděl na následující otázky:

  • Jaká osobní data zpracováváte?
  • Kde osobní data získáváte (přímo od zákazníků, z internetu, od obchodních partnerů)?
  • Kde údaje ukládáte (papírová kartotéka, disk počítače, internetové úložiště)?
  • Jak dlouho osobní data uchováváte a vymazáváte je po pominutí účelu?
  • Jak jsou u vás osobní data zabezpečena (zašifrována v systému, zamčena ve skladu)?

Po zodpovězení daných otázek každému dojde, jak je jedinečný. Nelze tedy připravit plán, který by fungoval pro všechny beze změny. Po zodpovězení daných otázek by mělo následovat vytvoření bojového plánu. V něm by bylo vhodné uvážit, kolik času a peněz do přípravy chci investovat, z čehož by se mělo odvíjet další plánování. Je vhodné uvážit, zda přípravy zvládnu sám, nebo zda budu hledat pomoc u odborníka. Na internetu jsou volně dostupné různé check-listy na přípravu, obecně by však největší přípravy měly proběhnout v revizi stávajících dokumentů, IT a procesů zpracování osobních údajů, v proškolení personálu a zabezpečení údajů. Proces přípravy rozhodně nekončí účinností GDPR, připravenost se bude neustále vyvíjet a přizpůsobovat skutečným potřebám vyplývajícím ze zavedené praxe.

 

Poznamenají přísná pravidla e-mailovou komunikaci?

E-mailovou komunikaci lze pro zjednodušení rozdělit do dvou skupin. První skupina je komunikace vedená za účelem vytvoření objednávky apod. V tomto případě nebude potřeba získávat souhlas se zpracováním, jelikož půjde ze strany provozovatelů opraven o zpracování za účelem uzavření smlouvy. Je potřeba však dávat pozor na rozsah požadovaných informací. Údaje o věku, pohlaví apod. rozhodně nelze považovat za údaje potřebné pro uzavření smlouvy!

Druhou kategorií je marketingová komunikace. Pro zasílání obchodních sdělení je vhodné mít souhlas, nicméně pokud jde o zasílání současným zákazníkům, souhlasu v přiměřeném rozsahu není potřeba (např. nabídnutí přezutí pneumatik stávajícímu zákazníkovi za akční cenu). Pod tuto výjimku však nelze schovat např. rozesílaní novinek z opravny. K zasílání obchodních sdělení potenciálním zákazníkům je jejich souhlasu potřeba vždy. V každém případě je potřeba splnit informační povinnost vůči stávajícím i potenciálním zákazníkům v okamžiku získávání údajů (informace např. o účelu zpracovávání, právním důvodu zpracování či době, po kterou jsou uchovávány).

Co s diagnostickými zařízeními, která se používají pro vyhledávání tzv. sporadických závad a která se do vozidla dočasně namontují a sledují signály z různých snímačů, přičemž součástí může být i snímání polohy vozidla?

Poloha vozidla, která je přiřaditelná ke konkrétnímu vozidlu, a tedy i majiteli, je osobním údajem. Musíte dohlédnout na to, aby majitel/uživatel vozidla souhlasil s instalací takového zařízení a byl informován o tom, že zařízení snímá jeho polohu a že tyto záznamy budou používány výhradně k tomu, aby byla identifikována závada. Je důležité také nastavit časové intervaly (např. tři dny nebo jinou přiměřenou dobu), po uplynutí kterých budou tyto záznamy vymazávány.

Jakým způsobem se zpracování legislativy GDPR provádí a lze je zadat např. externí společnosti, jako je tomu např. u legislativy týkající se odpadového hospodářství? Má taková externí společnost status DPO (tzv. Data Protection Officer, tj. pověřenec pro ochranu osobních údajů)?

DPO má za úkol dohlížet na to, aby zpracovávání osobních údajů ve společnosti probíhalo v souladu s GDPR. Můžete si jako DPO najmout i externí společnost poskytující služby DPO. Je ale potřeba vzít v úvahu, že to není jednorázový úkon, na který si DPO najmete, protože dodržovaní souladu zpracování osobních údajů s GDPR je kontinuální proces, takže se bude jednat o dlouhodobou spolupráci.

Komu dokládám soulad s GDPR, kdo provádí kontrolu a jaké mi hrozí sankce za neplnění?

Kontrolu provádí Úřad pro ochranu osobních údajů (ÚOOÚ). Pokud ÚOOÚ zjistí porušení povinností vyplývajících z GDPR, může (i) učinit nápravná opatření (např. napomenutí nebo omezení zpracovávání údajů společností) a/nebo (ii) uložit sankci do maximální výše 20 000 000 eur nebo do výše 4 % celkového ročního obratu (tyto vysoké sankce by se v případě autoopraven asi neaplikovaly, tyto směřují na skutečně velké hráče, kteří zpracovávají obrovské množství osobních dat).

 

Vyplývají mi z GDPR povinnosti také k mým zaměstnancům?

Rozhodně doporučuji provést alespoň základní školení zaměstnanců. Zaměstnance, kteří budou s osobními údaji pracovat více (zaměstnanci komunikující s klienty), je třeba proškolit pečlivěji. Pravděpodobně bude potřeba revidovat a upravit stávající procesy ohledně pracovněprávních vztahů, je totiž běžnou praxí, že se od uchazečů o zaměstnání vyžaduje podepsání souhlasu se zpracováním osobních údajů i tam, kde to není potřeba. Pro zpracování osobních údajů pro účely uzavření pracovní smlouvy či hlášení zaměstnanců do zdravotní či sociální pojišťovny souhlasu potřeba není, jelikož to pokrývají jiné právní důvody zpracování – plnění smlouvy, resp. zákonné povinnosti. Na druhé straně pro účely zveřejnění fotografie zaměstnance na webové stránce už ale souhlasu potřeba bude.

Článek byl zpracován ve spolupráci s webovým portálem www GDPR.cz.

PRO ZLOM: hlasky do textu

HL 1

GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.