GDPR hrozí pokutami i za nezabezpečený mobil nebo vizitku odloženou mimo firmu

Osobním údajem je také e-mail nebo telefonní číslo. Ty musí firmy podle nového nařízení o ochraně osobních údajů zabezpečit před zneužitím. Za neuhlídání svých databází již podniky zaplatily tučné pokuty.



Přísné nařízení Evropské unie o ochraně osobních údajů (GDPR) může zasáhnout i do poměrně neočekávaných oblastí. Jednou z nich jsou kontakty uvedené na klasických vizitkách nebo kontakty v mobilních telefonech.

Pokud totiž firmy dostatečně nezajistí osobní údaje, mohou dostat od úřadů drastickou pokutu až do výše 20 000 000 euro nebo 4 procent celkového ročního obratu. „Nařízení se vztahuje na veškeré informace, které se vztahují k identifikované nebo identifikovatelné fyzické osobě. Údaje běžně uváděné na vizitkách jako jsou jméno, email, popřípadě telefonní číslo jsou osobními údaji a spadají do působnosti GDPR,“ upozorňuje Milan Fric, advokát mezinárodní advokátní kanceláře PwC Legal.

Záležet však bude na konkrétní situaci. „Zda se na určitou situaci bude nařízení vztahovat, záleží také na formě zpracování údajů obsažených na vizitkách. V případě manuálního zpracování se GDPR totiž vztahuje pouze na osobní údaje, které jsou obsaženy v evidenci (např. v kartotéce, interním IT systému apod.) nebo do takové evidence mají být zařazeny. V tomto smyslu by se tedy GDPR nemělo vztahovat na situace, kdy si například zaměstnanec položí na stůl několik vizitek a dále s nimi v žádné evidenci nepracuje,“ konstatuje Milan Fric.

Co není osobní údaj

Ne každý údaj na vizitce je rovněž osobním údajem. „Mnohdy vizitky obsahují údaje, které jsou oprávněně zveřejněny, například údaje z živnostenského rejstříku, a které je dovoleno zpracovávat. Je třeba také zohlednit, že na vizitkách se uvádějí údaje, které chtějí jejich nositelé používat v obchodním styku, a u kterých lze tedy přepokládat, že nositelé těchto údajů je nechtějí tajit,“ navazuje Stanislav Klika z auditorské a poradenské společnosti BDO. „GDPR nepředstavuje zásadní posun oproti stávající právní úpravě, která je vykládána tak, že ze znění e-mailové adresy musí být evidentní, že patří určité osobě, což většinou nesplňují adresy na free-mailu (pnovak@post.cz), ani firemní adresy užívané více lidmi (office@dla.com). Osobním údajem jsou pouze firemní adresy uvádějící jméno a příjmení (petr.novak@dla.com). V tom případě se na ně vztahuje celá regulace,“ porovnává Petr Šabatka z advokátní kanceláře DLA Piper.

Naopak podle některých odborníků je větším rizikem právě neuhlídání soukromého e-mailu na freemailovém serveru. „Ochrana musí být vždy přiměřená újmě či riziku, které nositel dané informace podstupuje v případě, že se tato informace zneužije. Například zveřejněním pracovního e-mailu podstupuje člověk minimální riziko či újmu, a tedy není nutné přijímat přísná bezpečnostní opatření,“ konstatuje Stanislav Klika.

Záleží rovněž na tom, kdo z firmy bude s vizitkou dále pracovat. „Vizitky zákon specificky neřeší, ale podle převládajícího názoru odborníků lze z pouhého dobrovolného předání vizitky jiné osobě (zaměstnanci) dovodit souhlas s tím, aby si ji zařadila do svého osobního vizitkáře. Určitě ale doporučujeme obezřetnost při sdílení vizitek v rámci firmy,“ zmiňuje Petr Šabatka.

Některé případy však podle něj rozhodně rizikové jsou. „Pokutu lze dostat například za vydávání vizitek s osobními údaji nerelevantních zaměstnanců, za zpracování údajů nad rámec nezbytné nutnosti. HR oddělení nemusí mít nutně přístup do klientského vizitkáře a naopak pracovník z obchodního oddělení zase nepotřebuje přístup k vizitkám dodavatelů nebo uchazečů o zaměstnání, a podobně,“ uvádí Petr Šabatka konkrétní příklad.

Vizitky je nutné skartovat

„Pokutu lze dostat také za nezničení vizitek při jejich skartaci. Například jeden státní úřad dostal pokutu za vyhození životopisů zaměstnanců jen tak na skládku, kde si je kdokoli mohl vzít. Sankce hrozí také za nezabezpečení elektronického vizitkáře. T-Mobile dostal historicky druhou nejvyšší pokutu v České republice za to, že svým zaměstnancům nezabránil zkopírování klientské databáze s kontaktními údaji milionu klientů za účelem prodeje jiným osobám,“ doplňuje Petr Šabatka.

Firmy by proto také u vizitek nebo kontaktů uložených v mobilních telefonech měli přijmout příslušná opatření. „Pokud probíhá zpracování údajů z vizitek formou určité evidence, například vizitkáře či zaznamenání do CRM systému, takové zpracování by mělo být v souladu s povinnostmi a zásadami vyplývajících z nařízení. Zejména se jedná o užívání osobních údajů pouze za účelem, za kterým byla vizitka správci předána, musí být zachováno právo subjektu údajů na výmaz a správce musí zajistit dostatečné zabezpečení údajů v souladu s nařízením. Konkrétní řešení však bude záležet vždy na jednotlivém případu a hrozících rizicích,“ podotýká Milan Fric.


Evidence vizitek by podle něj měla být nepřístupná pro třetí osoby mimo organizaci v případě, že taková vizitka byla předána zaměstnanci jako reprezentantovi dané organizace. U kontaktů v telefonech je zajištění údajů ještě důležitější. „Pokud jde o mobilní telefony, zejména ty pracovní, kde jsou například běžně aplikace pro práci emaily, je riziko zneužití mnohem větší. Proto doporučujeme využívat bezpečnostních nástrojů, jako například automatického zamknutí displeje a kódu pro opětovné odemknutí,“ připojuje Stanislav Klika.

GDPR začne v celé EU platit jednotně od 25. května 2018 a v České republice nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

Dalibor Dostál

• Oblasti podnikání: Software a ICT služby

Doporučujeme