Strašák GDPR: Jak mají postupovat malí a střední podnikatelé?
Povinnosti spojené s Obecným nařízením o ochraně osobních údajů (General Data Protection Regulation neboli GDPR) dopadnou vedle obcí, krajů, nemocnic či škol také na řadu podnikatelů, včetně živnostníků. V tomto článku se zaměříme na malé a střední podnikatele a řekneme si, jaké základní povinnosti jim GDPR ukládá a jak by měli postupovat: snadno, rychle, prakticky a bez vysokých nákladů.
Úvodem si ve zkratce řekněme pár základních informací o GDPR. Nařízení EU, které vstoupí v účinnost 25. května 2018, představuje nový právní rámec ochrany osobních údajů a pro subjekty, které osobní údaje zpracovávají, přináší také nové povinnosti. Ty se liší podle typu zpracovatele a způsobu zpracovávání osobních údajů. Za porušení povinností hrozí podnikateli pokuta až do výše 20 miliónů eur. Byť se v první fázi předpokládá spíše shovívavý přístup ze strany úřadů, vždy bude třeba očekávat individuální přístup.
Jak se tedy s problémem zvaným GDPR poprat co nejsnáze, a přitom naplnit všechny zákonné povinnosti s tím spojené? V zásadě stačí dodržet 5 kroků:
KROK PRVNÍ – UDĚLEJTE SI JEDNODUCHÝ AUDIT
Ten společně zvládneme relativně rychle. Zahájí se první schůzkou, na níž společně probereme, jak podnikatel funguje, jaké osobní údaje zpracovává, byť to možná ani netuší. Vyhodnotíme jak rizika, tak nové nastavení procesů.
KROK DRUHÝ – INTERNÍ SMĚRNICE GDPR
Zejména u podnikatelů se zaměstnanci nebo interní strukturou lze vytvoření směrnice doporučit. Opět se nemusí jednat o nic složitého, pokud se ve fungování dané instituce zorientujeme, tím spíše, pokud již některé procesy byly nyní nastavené k ochraně osobních údajů ve smyslu platné právní úpravy.
KROK TŘETÍ – ŠKOLENÍ ZAMĚSTNANCŮ
Jedna věc je nastavení procesů, ale druhá je jejich reálné fungování v praxi. Můžete mít odborně sepsanou interní směrnici, pokud se jí však nebude nikdo ze zaměstnanců řídit, nebudou údaje dostatečně chráněny. A nebudou-li údaje ochráněny, hrozí organizaci pokuta ve správním řízení. Proto je na místě, obdobně jako v případě BOZP, zaměstnance a případné další osoby pravidelně proškolovat také v rámci ochrany osobních údajů, tedy GDPR. Periodu školení bych nastavoval s ohledem na konkrétní podmínky a parametry podnikatele. Ani školení Vám nezajistí stoprocentní jistotu dodržování všech principů a pravidel ze strany zaměstnanců, avšak v případě správního řízení a pokuty hrozící za správní delikt může pravidelné školení, stejně jako řádně nastavené vnitřní procesy, dostatečně odůvodnit mnohem mírnější postup ze strany kontrolního orgánu, a v důsledku toho také mírnější sankci. Jedná se tedy o Váš nástroj budoucí obhajoby.
KROK ČTVRTÝ – UPRAVTE SMLOUVY S DODAVATELI A PŘIPRAVTE SI SOUHLASY
Pakliže část osobních údajů předáváte dalším subjektům, příkladem může být předání účetnictví, správa dat apod., je třeba s těmito subjekty dostatečně smluvně upravit také ochranu osobních údajů v kontextu GDPR.
KROK PÁTÝ – POVĚŘENEC
Již v rámci prvního kroku byste měli vyhodnotit, zda právě Vaší organizaci nařízení GDPR ukládá povinnost zavést obligatorně pozici tzv. pověřence pro ochranu osobních údajů. U malých a středních podnikatelů tato povinnost v zásadě odpadá.
S dostatečnou přípravou není třeba se GDPR zbytečně obávat. Ochranu údajů však nelze podceňovat, jak se tomu v mnoha případech dosud dělo. My nabízíme přípravu na GDPR pro malé a střední podnikatele v cenových balíčcích již od 5 000 Kč. Stačí nás kontaktovat a domluvit si schůzku na klega.j@advokatova.cz.
Jiří Klega, advokát