GDPR z pohledu firemního nákupu

Co vám říká pojem GDPR? Pokud víte, že se jedná o nové obecné nařízení o ochraně osobních údajů legislativy EU, které vstoupí v platnost 25. května 2018, a již nyní přijímáte opatření na zavedení do vaší firemní praxe, pak je nejspíše vše v pořádku. V opačném případě zbystřete pozornost, jinak byste mohli mít zanedlouho velký problém.

Pojďme se spolu podívat a seznámit se s nejdůležitějšími fakty o GDPR tak, abyste měli rámcovou představu o této problematice.

To se vám bude hodit:

• v případě diskuse s právníkem nebo pověřencem pro ochranu osobních údajů, abyste věděli, o čem je vlastně řeč, a vzájemně si rozuměli
• když se na GDPR budete dívat z pohledu firemního nákupu a přijímat adekvátní rozhodnutí

Ve druhé části vám prozradím, co musíte udělat, abyste byli na GDPR dobře připraveni. >>>

Co je GDPR

General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů.

Toto nařízení je závazné pro všechny členské státy EU, má aplikační přednost a je nadřazeno národním úpravám.

Jeho cílem je stanovit jednotná práva a povinnosti v oblasti ochrany osobních údajů v národních právních řádech.

Při nedodržení povinností, které GDPR přináší, hrozí povinným subjektům vysoké pokuty, a to do výše až 20 milionů eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností).

Zdroj: Evropská komise

GDPR se týká všech firem a institucí, ale i jednotlivců, kteří nějakým způsobem zacházejí s údaji zaměstnanců, zákazníků či dodavatelů.

Pravidla GDPR dopadají na celou firmu a dotýkají se každého, kdo ve firmě pracuje s osobními údaji, tedy i nákupního oddělení.

Věnujte mi sedm a půl hodiny a já vám ušetřím klidně i rok samostudia.

• Excelentní nákupčí
• Microsoft Excel pro nákupčí
• Strategické řízení nákupu a strategie nákupu
• Efektivní strategie nákupu: Jak v nákupu odhalit skrytý potenciál
• Jak úspěšně vyjednávat s dodavateli – Vyjednávání s dodavateli
• Praktický trénink vyjednávání (nejen) pro nákupčí
• Jak si vyjednat lepší dodavatelské podmínky – Výběrová řízení v nákupu
• Strategie vytváření úspor krok za krokem
• Individuální školení na míru dle vašich potřeb

Klíčové pojmy GDPR

Co je zpracování osobních údajů?

Zpracování osobních údajů je jakýkoliv úkon (operace) nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky.

Zpracováním se rozumí zejména:

• shromažďování – sběr dat, získávání či vytěžování dat z různých zdrojů
• zaznamenávání – zápis dat (údajů) do předem definovaných polí
• uspořádání – zvolený způsob organizace dat
• strukturování – zápis dat podle předem definovaných standardů
• zpřístupnění přenosem – zaslání/předání elektronickou formou (e-mail, internet) úprava nebo pozměnění – upravení dat dle potřeby
• ukládání dat za účelem jejich uchování
• vyhledávání – nalezení správných údajů dle zadaného požadavku či kritéria
• nahlédnutí – možnost podívat se na požadované informace bez možnosti získání papírové či elektronické formy výstupu
• používání – aplikování dat dle potřeby
• šíření nebo jiné zpřístupnění – poskytnutí dat veřejnosti papírovou či elektronickou formou
• třídění nebo kombinování – zobrazení dat dle zadaného kritéria či vytažení dat z více zdrojů a složení dle pravidel
• likvidace/výmaz nebo zničení – zrušení záznamu či poškození nosiče dat, vymazání osobních dat z databáze

Co jsou to osobní údaje?

Osobní údaje jsou definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (např. zaměstnanec nebo klient). Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam.

Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Zvláštní kategorie osobních údajů (citlivé údaje) jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Mezi osobní údaje nepatří data o právnické osobě, respektive firmách.

Kdo je správce osobních údajů?

Správcem je podle GDPR každý subjekt, přičemž není rozhodující, jakou má právní formu. Správce určuje účel a prostředky zpracování osobních údajů a provádí za stanoveným účelem jejich shromažďování, zpracování a uchování.

Správce primárně odpovídá za dodržování zásad a povinností plynoucích ze zpracování osobních údajů a za jejich bezpečnost.

Vlastním zpracováním může pověřit zpracovatele. K legálnímu zpracování osobních údajů správce potřebuje mít právní důvody.

Kdo je zpracovatel osobních údajů?

Je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který jménem správce zpracovává osobní údaje.

Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

Zásady zpracování osobních údajů

Nařízení GDPR přináší sedm zásad, jak přistupovat ke zpracování osobních údajů.

Patří sem:

• zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně
• účelové omezení shromažďování – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
• minimalizace údajů – jedna z nejdůležitějších zásad, osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
• přesnost – osobní údaje musí být přesné a v případě potřeby aktualizované
• omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány
• integrita a důvěrnost – osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením

Právní důvody zpracování osobních údajů

Právní důvody (právní tituly) jsou nezbytným předpokladem legálního zpracování osobních údajů. Ty mohou být zpracovány pro různé účely, respektive pro různé cíle a vy je musíte znát. Účely musí být stanoveny konkrétně.

Mezi právní tituly patří:

• subjekt údajů udělil souhlas pro jeden či více konkrétních účelů
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů

Jaké zásadní změny GDPR přináší

Z pohledu občana EU nařízení výrazně zvýší ochranu osobních dat občanů.

Naopak organizace, které osobní údaje zpracovávají, budou muset vynaložit veškerou odbornou péči na eliminaci rizik spojených se zneužitím, neoprávněným přístupem nebo neoprávněným zveřejněním osobních údajů.

Soukromé osoby mají právo (subjekt údajů)

• být jasně a srozumitelně informovány, že správce údajů zpracovává jejich osobní údaje a v jakém rozsahu
• opravovat chyby ve svých osobních údajích
• vznést námitku proti zpracování osobních údajů – subjekt údajů může kdykoliv odmítnout přímý marketing
• právo na přenositelnost osobních údajů od jednoho správce k druhému
• právo na výmaz – relevantní pouze pro zpracování založené na právním základu oprávněného zájmu nebo veřejném zájmu
• právo být zapomenut v případě, že údaje nejsou potřeba, byl odvolán souhlas, byly vzneseny námitky nebo bylo zpracování protiprávní

Firmy a organizace musejí (správce údajů)

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

Správci údajů zejména musejí:

• upozornit na shromažďování údajů
• vysvětlit, proč a kdy jsou zpracovávány osobní údaje
• definovat pravidla uchovávání a mazání údajů
• získat souhlas se zpracováváním osobních údajů
• v případě vznesení námitky proti zpracovávání osobních údajů je přestat dále zpracovávat, pokud k tomu správce nemá závažné a prokazatelné důvody
• chránit osobní údaje pomocí adekvátních bezpečnostních opatření
• ohlašovat dozorovému úřadu případy porušení zabezpečení osobních údajů
• uchovávat záznamy o aktivitách týkajících se zpracovávání dat
• zaškolit zaměstnance v oblasti ochrany a zabezpečení osobních údajů
• auditovat a aktualizovat svá pravidla týkající se údajů
• v případě nutnosti zaměstnávat pověřence pro ochranu osobních údajů
• vytvořit a spravovat dodavatelské smlouvy splňující nařízení
• vypracovat posouzení vlivu na ochranu osobních údajů (v angličtině DPIA neboli Data Protection Impact Assessment)
• vést záznamy o činnostech zpracování

Tyto záznamy o činnostech musí obsahovat následující informace:

• jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
• účely zpracování
• popis kategorií subjektů údajů a kategorií osobních údajů
• kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
• informace o mezinárodním předávání osobních údajů
• lhůty pro výmaz jednotlivých kategorií údajů
• popis technických a organizačních opatření

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Zpracovatel osobních údajů

Správce může zpracováním osobních údajů pověřit zpracovatele, jinou fyzickou nebo právnickou osobu, agenturu nebo jiný subjekt, který jménem správce zpracovává osobní údaje.

Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky Obecného nařízení a byla zajištěna ochrana práv subjektu údajů.

Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 Obecného nařízení.

Není nutné, aby se jednalo o samostatnou smlouvu, požadované náležitosti lze zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.

Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.

GDPR z pohledu firemního nákupu

Jakožto správce osobních údajů je můžeme zpracovávat jednak na základě uděleného souhlasu, ale také například na základě svého oprávněného zájmu nebo pro splnění uzavřené smlouvy, a to v rozsahu osobních údajů, které jsou k takovému splnění nezbytné.

V neposlední řadě je pak důvodem, který umožňuje správci zpracovávat osobní údaje i bez souhlasu subjektu údajů, plnění povinností vyplývajících ze zákona.

Co konkrétně výše uvedené znamená? Na to se podíváme v následujících řádcích.

Zpracování osobních údajů, k němuž dal subjekt údajů souhlas

Získávat souhlas se zpracováním osobních údajů můžete jednak od zákazníků nebo vašich potencionálních dodavatelů pomocí předdefinovaného „zaškrtávacího políčka“ na webovém formuláři. Takový souhlas musí být dán svobodně a ke konkrétnímu účelu. Tento účel musí být jednoznačně specifikován a musí být prokazatelně doložen po celou dobu zpracování.

Zpracování osobních údajů je nezbytné pro splnění smlouvy

Pokud máte s dodavateli uzavřenou smlouvu, výslovný souhlas se zpracováním osobních údajů není potřeba dávat do smlouvy, protože osobní údaje obsažené ve smlouvě jsou nezbytné pro splnění smluvní povinnosti.

Zpracování je nezbytné pro splnění právních povinností

Jako zaměstnavatel vaše organizace zpracovává osobní údaje zaměstnanců. Tyto údaje musíte shromažďovat z důvodu zákonné povinnosti vést mzdovou a personální agendu (např. jméno a příjmení zaměstnance, rodné číslo, datum narození, mít informaci o tom, u jaké zdravotní pojišťovny je zaměstnanec veden, osobní hodnocení zaměstnance, mzdy).

Zpracování osobních údajů potencionálních dodavatelů

Máte databázi potencionálních dodavatelů, které občas obešlete poptávkou? Zbystřete svoji pozornost, protože takové databáze jsou prakticky tvořené jenom osobními údaji (tel. čísla, e-maily, informace o tom, jací zaměstnanci ve firmě pracují, na jaké pozici, a to jsou informace přiřaditelné k jakékoliv fyzické osobě).

Pokud kontaktujete takové fyzické osoby, byť zaměstnance, jedná se o zpracovávání osobních údajů a je potřeba vědět, jak s takovými údaji nakládat – kdy je pro oslovení potřeba souhlas, kdy jen informace, jak databáze uchovávat, jaké pořizovat apod.

Potřebujete souhlas ke zpracování osobních údajů potencionálních dodavatelů a k zasílání poptávek?

Setkal jsem se s názorem experta na GDPR a ten říkal, že při práci s databází potencionálních dodavatelů pracujete s údaji firem v segmentu B2B (ten GDPR nepostihuje).

Dá se proto předpokládat, že zástupci firem se zveřejněním svých osobních údajů a se zasíláním poptávek souhlasí, a proto souhlas se zpracováním jejich údajů nepotřebujete.

Zaslání poptávky v databázi potencionálních dodavatelů se dá hodnotit jako zájem vytvořit budoucí obchodní vztah a toto prý není obchodní sdělení dle zákona č. 480/2004 Sb., o některých službách informační společnosti.

Nicméně ÚOOÚ na dotaz, zda lze považovat za obchodní sdělení poptávku na předložení nabídky na určitý produkt, přičemž je vždy oslovován větší počet možných dodavatelů a není vyloučeno, že poptávka odejde na adresu, která nemá s předmětem poptávky nic společného, odpověděl takto:

„Ano, i tento způsob komunikace lze považovat za obchodní sdělení. Zaslání poptávky však nelze chápat jako nevyžádané obchodní sdělení, neboť je výsledkem inzerce či reklamy a tam je souhlas předpokladem.“

Přečtěte si pokračování článku a dozvíte se, co musíte udělat, abyste byli na GDPR dobře připraveni. >>>

—

Líbil se vám tento článek? Zmáčkněte tlačítko „To se mi líbí“ či „Share“. Uděláte mi tím radost. 

Jarda Cirkovský

—