Již 25. května 2018 vstoupí v účinnost Obecné nařízení EU o ochraně osobních údajů (General Data Protection Regulation – zkráceně GDPR), jenž podstatně zvýší ochranu osobních dat občanů Evropské unie. Nové povinnosti se týkají všech firem a institucí, ale i jednotlivců, kteří pracují s osobními daty uživatelů, zákazníků či občanů. Při nedodržení nových povinností tak hrozí nejen právnickým osobám, ale též fyzickým osobám podnikatelům astronomické pokuty až do výše 20 miliónů EUR (půl miliardy Kč).
Ano. Většina podnikatelů a realitních makléřů pracuje s osobními daty získaných od svých klientů (prodejců, kupujících, poptávajících atd..) a podléhají tedy nařízení GDPR.
Co jsou osobní údaje?
Vlastně všechny údaje, kterými můžete jednoznačně identifikovat fyzickou osobu. Nejčastěji tedy jméno, příjmení, telefonní číslo, e-mail, adresa bydliště, pohlaví, ale také IP adresa počítače dané fyzické osoby.
Nejdůležitějšími právy občana ve vztahu ke svým osobním datům je právo na přístup, opravu, či výmaz svých údajů u zpracovatele či správce dat. Dále pak právo na omezení zpracování a přenositelnost údajů.
Každý občan bude mít právo vědět, za jakým účelem budou jeho data použita, kdo přesně bude příjemcem či zpracovatelem dat.
Samozřejmostí je zamezení předávání osobních údajů mezi podnikateli (tj. 3. osobě), pokud k tomu občan nedal výslovné svolení, včetně uvedení konkrétního příjemce dat ještě před udělením souhlasu.
Asi nejvýraznějším dopadem GDPR na práci realitních makléřů (ale i jiných podnikatelů) je nová povinnost správce dat, jenž bude nucen veškeré osobní údaje daného subjektu nezvratně vymazat v okamžiku, kdy je podnikatel již nebude nutně potřebovat pro účel, za jakým byla data poskytnuta. Nezvratně tedy znamená též z diáře, telefonu, firemních systémů atd. Dále bude muset podnikatel toto učinit také v případě, že o výmaz občan kdykoliv zažádá.
Nově také nebude možné udělovat souhlas se zpracováním osobních údajů na neurčito. Vždy bude nutné informovat dopředu kdo přesně bude a za jakým účelem data zpracovávat, používat a kdy budou vymazána.
Nařízení GDPR nově zavádí také princip zodpovědnosti, který ukládá podnikatelům povinnost zavést taková opatření, jenž maximalizuje ochranu osobních údajů před zneužitím či například vedení záznamů o činnostech zpracování (kdo kdy měl přístup k daným datům). Pokud budete zpracovávat větší množství dat, je nutné také jmenovat pověřence pro ochranu osobních údajů.
Nové nařízení myslí také na osobní data zaměstnanců (např. v pracovních smlouvách) či spolupracovníků, kdy také jejich data musejí být náležitě ochráněna (na nepřístupném místě), vedeny záznamy kdo má k datům přístup a kdy k nim a za jakým účelem přistoupil. Zaměstnanci budou nově mít také právo v určitých případech odmítnout nakládání se svými údaji – například zamezení fotografování své osoby za účelem firemní prezentace.
Jelikož všechny nově přijatá opatření znamenají kompletní přepracování firemních procesů, nejedná se o úkol na několik dní či týdnů. V první řadě je nutná analýza stávajícího stavu, vyhodnocení a návrh nových firemních procesů k souladu s GDPR. Tyto procesy musejí být také nově jasně popsány a připraveny k nahlédnutí při případné kontrole.
Konkrétněji se problematikou GDPR zabývá server GDPR.cz.
Seriál o GDPR připravuje také server Lupa.cz či Podnikatel.cz.
