Průvodce pro správné zpracování osobních údajů dle GDPR.
Základní pojmy
| Pojem | Definice | Příklad |
|---|
| Osobní údaj | Jakákoliv informace identifikující fyzickou osobu | Jméno, email, IP adresa |
| Subjekt údajů | Fyzická osoba, jejíž data zpracováváte | Zákazník, zaměstnanec |
| Správce | Určuje účely a prostředky zpracování | Vaše firma |
| Zpracovatel | Zpracovává data jménem správce | Cloud provider |
| Zpracování | Jakákoliv operace s daty | Sběr, uložení, použití, smazání |
Kategorie osobních údajů
Běžné osobní údaje
| Kategorie | Příklady |
|---|
| Identifikační | Jméno, příjmení, datum narození, rodné číslo |
| Kontaktní | Email, telefon, adresa |
| Online identifikátory | IP adresa, cookies, device ID |
| Finanční | Číslo účtu, platební karta |
| Profesní | Zaměstnavatel, pozice, CV |
| Behaviorální | Nákupní historie, browsing history |
Zvláštní kategorie (Art. 9)
Zpracování vyžaduje explicitní souhlas nebo zákonnou výjimku:
| Kategorie | Příklady | Právní základ |
|---|
| Rasový/etnický původ | Národnost, etnicita | Explicitní souhlas |
| Politické názory | Členství v politické straně | Explicitní souhlas |
| Náboženské přesvědčení | Vyznání, církev | Explicitní souhlas |
| Členství v odborech | Odborová organizace | Explicitní souhlas |
| Genetická data | DNA, genetické testy | Zdravotní účely |
| Biometrická data | Otisk prstu, face ID | Bezpečnost |
| Zdravotní data | Diagnózy, léčba | Zdravotní péče |
| Sexuální orientace | Sexuální preference | Explicitní souhlas |
Data Mapping (ROPA)
Records of Processing Activities
GDPR vyžaduje vedení záznamů o zpracování (Art. 30):
Příklad ROPA tabulky
| # | Účel | Právní základ | Subjekty | Data | Příjemci | Retention |
|---|
| 1 | E-commerce | Smlouva | Zákazníci | Jméno, adresa, platby | Dopravce, platební brána | 10 let |
| 2 | Newsletter | Souhlas | Subscribers | Email | Mailchimp | Do odvolání |
| 3 | HR | Smlouva + Zákon | Zaměstnanci | Vše | Účetní, ČSSZ | 30 let |
| 4 | Analytics | Oprávněný zájem | Návštěvníci | IP, cookies | Google | 2 roky |
Právní základy zpracování
Přehled právních základů (Art. 6)
| # | Právní základ | Kdy | Příklad | Pozor |
|---|
| 1 | SOUHLAS (Art. 6.1.a) | Marketing, cookies, newsletter | Svobodný, konkrétní, informovaný | Kdykoliv odvolatelný |
| 2 | SMLOUVA (Art. 6.1.b) | Plnění smlouvy se subjektem | Dodání zboží, poskytnutí služby | Pouze nezbytná data |
| 3 | PRÁVNÍ POVINNOST (Art. 6.1.c) | Zákon vyžaduje zpracování | Daně, účetnictví, ČSSZ | Musí existovat konkrétní zákon |
| 4 | VITÁLNÍ ZÁJEM (Art. 6.1.d) | Ochrana života subjektu | Zdravotní nouze | Výjimečné situace |
| 5 | VEŘEJNÝ ZÁJEM (Art. 6.1.e) | Výkon veřejné moci | Státní správa | Pouze veřejné orgány |
| 6 | OPRÁVNĚNÝ ZÁJEM (Art. 6.1.f) | Váš legitimní zájem převažuje | Fraud prevention, direct marketing | Nutný LIA (balancing test) |
Souhlas - požadavky
Platný souhlas musí být:
| Požadavek | Popis | Příklad špatně | Příklad správně |
|---|
| Svobodný | Bez nátlaku | ”Bez souhlasu nemůžete službu používat” | Služba funguje i bez souhlasu |
| Konkrétní | Pro jasný účel | ”Souhlasím se vším" | "Souhlasím s newsletterem” |
| Informovaný | Subjekt ví co | Žádné vysvětlení | Jasný popis účelu |
| Jednoznačný | Aktivní akce | Předvyplněný checkbox | Prázdný checkbox |
| Odvolatelný | Snadné odvolání | Skryté nebo složité | Odkaz v každém emailu |
Oprávněný zájem - LIA
Legitimate Interest Assessment (balancing test):
Principy zpracování
GDPR principy (Art. 5)
| Princip | Popis | Implementace |
|---|
| Zákonnost | Mít právní základ | Dokumentovat v ROPA |
| Účelové omezení | Pouze pro definovaný účel | Nesdílet pro jiné účely |
| Minimalizace | Pouze nezbytná data | Audit, smazat nepotřebné |
| Přesnost | Data musí být správná | Validace, opravy |
| Omezení uložení | Ne déle než nutné | Retention policy |
| Integrita | Bezpečnost dat | Encryption, access control |
| Odpovědnost | Prokázat compliance | Dokumentace, audit trail |
Transfer dat mimo EU
Mechanismy pro transfer
| Mechanismus | Kdy použít |
|---|
| Adequacy decision | Země s rozhodnutím EK (UK, Švýcarsko, Kanada, Japonsko…) |
| SCCs | Standard Contractual Clauses - nejběžnější |
| BCR | Binding Corporate Rules - pro korporace |
| Výjimky | Explicitní souhlas, plnění smlouvy (omezené) |
US transfers (post-Schrems II)
- EU-US Data Privacy Framework (2023+) - pro certifikované US společnosti
- Nutné ověřit, zda je vendor v DPF seznamu
- Alternativně SCCs + TIA (Transfer Impact Assessment)
Data Processing Agreements
Povinný obsah DPA (Art. 28)
| Položka | Popis |
|---|
| Předmět zpracování | Co zpracovatel zpracovává |
| Doba zpracování | Jak dlouho |
| Povaha a účel | Proč |
| Typy dat | Jaká data |
| Kategorie subjektů | O kom |
| Práva a povinnosti | Controller vs. Processor |
| Sub-processors | Seznam + schvalovací proces |
| Security measures | Technical + organizational |
| Breach notification | SLA pro hlášení |
| Audit rights | Právo auditu |
| Deletion | Po ukončení smlouvy |
| Assistance | Pomoc s DSAR, DPIA |
Retention Policy
Příklad retention schedule
| Kategorie dat | Retention | Základ | Auto-delete |
|---|
| Customer data | Trvání smlouvy + 3 roky | Business need | ☐ Ano |
| Employee data | Trvání zaměstnání + 30 let | Zákon | ☐ Ne |
| Financial records | 10 let | Účetní předpisy | ☐ Ano |
| Marketing consent | Do odvolání | Consent | ☐ Ano |
| Log data | 1 rok | Security | ☐ Ano |
| Backup data | 30 dní po deletion | Technical | ☐ Ano |
| CCTV | 72 hodin | Legitimate interest | ☐ Ano |
Další kroky
- ✅ Zpracování dat pochopeno
- → Práva subjektů (DSAR)
- → Compliance checklist