GDPR se týká údajů fyzických osob (ne údajů o právnických osobách), které jste si vyžádali (netýká se nevyžádaných životopisů, veřejně dostupných údajů z rejstříků apod. pokud je dále neuchováváte).
Osobní údaj je jakýkoliv údaj osobně identifikující fyzickou osobu (třeba i eMailová adresa, otisk prstu, fotografie, na které je obličej, záznam kamery, může být i údaj GPS sledující vozidlo atd.) nebo týkající se jeho osoby (výška, rodinný stav, zájmy a koníčky, oblíbená barva).
Zpracovávat údaje, znamená mít možnost je následně vyhledat. Dokud existuje bezpečnostní záloha dat, kterou lze obnovit, tak stále údaje zpracováváte.
K zpracování údajů (např. o zaměstnancích, klientech), které potřebujete ze zákona (k sepsání pracovní smlouvy, vystavení daňového dokladu), nepotřebujete souhlas poskytovatele (a naopak požadování souhlasu by u zaměstnanců mohlo vést i k porušení zákona – uvedení v omyl, že se jedná o údaj, který dává dobrovolně).
V okamžiku, kdy pomine zákonný důvod (např. zaměstnanec odešel a uplynula povinná doba archivace), nesmíte dále údaje uchovávat (musíte je vymazat i ze všech záložních kopií).
Citlivé údaje o zaměstnancích (např. zdravotní stav, členství v odborech, biometrické údaje) a údaje, které nesmíte požadovat (existence babičky na hlídání), nemůžete zpracovávat ani se souhlasem zaměstnance, leda že je potřebujete dle jiného zákona. (Tedy zaheslování firemního notebooku nebo otvírání dveří otiskem prstu je protizákonné – leda, že byste neevidovali čí je to otisk J).
To, že nepotřebujete souhlas, neznamená, že nemusíte o zpracování informovat a že při zpracování nemusíme dodržovat zákon. Informovat o zpracování osobních údajů musíte každému poskytnout nejpozději v okamžik, kdy Vám on poskytne údaj (i uchazeče o zaměstnání, po kterém chceme životopis, odběratele, po kterém chcete fakturační údaje apod.).
Pokud požadujete souhlas po zaměstnanci (např. s uveřejněním fotky na firemním webu), musíte velmi pečlivě volit formulaci, aby bylo zřejmé, že souhlas dal opravdu zcela dobrovolně a vztah podřízeného se při tom žádným způsobem neprojevil. Pokud Vám data zpracovává externí dodavatel (outsourcing mezd, externí IT zálohující data) musíte s ním problematiku GDPR smluvně ošetřit.
Pokud neprovozujete některou ze v zákoně vyjmenovaných činností (zdravotnictví, státní úřady atd.), nepotřebujete pověřence. Pověřenec je poradce, školitel, kontaktní osoba, ale nepřejímá zodpovědnost. Ta zůstává plně na vás, i když pověřence máte. I když nemáte pověřence, musíte si sestavit tabulku s osobními údaji fyzických osob, jak se údaje zaznamenávají, proč se evidují, jak dlouho se uchovávají, komu se poskytují, jak a kdy se skartují. Tento dokument bude tvořit základ prokazování, že jste učinili veškerá opatření na ochranu údajů; dalšími opatřeními budou vnitřní směrnice určující přístup k údajům a jejich ochranu.