Co musíte vědět o GDPR

Noční můra v podobě GDPR se nezadržitelně blíží, a proto se vyplatí mít vše v souladu se zákonem. Jste i Vy na příchod GDPR připraveni?

O čem je GDPR

General Data Protection Regulation je obecné nařízení EU, které začne platit od 25. května 2018. Jeho cílem je hájit co nejvíce práva občanů, zamezit neoprávněného zacházení s jejich daty, ale i posktynout přehled a kontrolu nad tím, co se s daty děje.

Koho se to týká?

GDPR se týká všech, kteří:

  • mají alespoň 1 zaměstnance,
  • ukládají a zpracovávají osobní informace o zákaznících,
  • využívají marketingové databáze,
  • monitorují osoby...

Jakou roli zde hraje správce a jakou zpracovatel?

Správce je osoba či firma, které byly osobní údaje poskytnuty, a která určuje účel, prostředky a samotné zpracování osobních údajů. Zpracováním osobních údajů může pověřit zpracovatele. Tím můžeme být třeba my. Přes redakční systém či jiné nástroje zpracováváme Vaše data a data o Vašich klientech. Pamatujte ale, že odpovědnost vždy nese správce.

Víte, co je a co není osobní údaj?

Pokud mluvíme o osobních údajích, myslíme tím údaje, jako jsou je jméno, e-mail, telefon, rodné číslo, atd. Jde prakticky o cokoliv, dle čeho vás lze identifikovat. 

Co je osobní údaj

>> jméno, příjmení, adresa, telefonní číslo, email spojující s konkrétní osobou (jmeno.prijmeni@sovanet.cz), číslo OP, IP adresa, log, datum narození, občanství, ...

Co je citlivý údaj

>> osobní údaje dětí, biometrické údaje, členství v odborech, zdravotní karta, trestní minulost, sexuální orientace, ...

Co není osobní údaj

>> anonymní údaj, údaje o zesnulém, data o právnické osobě, email nespojující s konkrétní osobou (info@sovanet.cz), ...

Co si pohlídat?

Pro nedůsledné zacházení s údaji zavádí GDPR vysoké pokuty až do 4% celosvětového ročního obratu. Jak takovým likvidačním pokutám předejít? V první řadě je potřeba mít pořádek v několika věcech a to:

  • s jakými údaji zacházíte (databáze klientů, administrace webů, atd.),
  • kde data uchováváte,
  • kdo má k jakým údajům přístup,
  • za jakým účelem data uschováváte,
  • zda jste schopni zajistit smazání údajů,
  • zda jsou údaje dostatečně chráněny.

A jaké dokumenty si pro případ kontroly raději uschovávat? Prvním a asi nejdůležitějším jsou prokazatelné souhlasy se zpracováním dat! Bez těch to po 25. květnu prostě nepůjde. Dalším nutností bude zpracovatelská smlouva vymezující pravidla mezi správcem (klient) a zpracovatelem (agentura). No a v neposlední řadě byste měli disponovat dokumenty o proškolenosti zaměstnanců, kteří s osobními údaji přijdou do styku. 

Odkud  začít?

Pro analýzu dat slouží tzv. GAP analýza, díky níž získáte ucelený přehed o tom, v jakém stavu  je ochrana data ve vaší organizaci v porovnání s požadavky GDPR.

GAP analýza - základ všeho

GAP analýza Vám pomůže zhodnotit připravenost zejména po stránce:

  • technické,
  • procesní,
  • právní.

Existuje mnoho podob, jak by měla GAP analýza vypadat a mnoho způsobů, jak ji provést. Za nás bychom doporučili postupovat dle následujících kroků:

  • Určit, jaké osobní údaje uchováváte.
  • Klasifikovat je dle kategorie, účelu zpracování a právního základu.
  • Definovat, kde je ukládáte (servery, cloud, kontrola úložiště využívaného organizací), jak dlouho a kdo k nim má přístup.
  • Vytvořit procesy zpracovávání osobních údajů, tzv. životní cyklus údajů.
  • Vyhodnotit zpracování osobních údajů s ohledem na nezbytnost vypracování zprávy o dopadech zpracování a na nutnost mít pověřence ochrany osobních údajů.
  • Zkontrolovat proces profilování.
  • Vyhodnotit zavedení bezpečnostních opatření při zpracování osobních údajů.
  • Vyhodnotit minimalizaci dat.
  • Vyhodnotit práva jednotlivce.
  • Revidovat smlouvy a vnitropodnikové předpisy.

Správně a důsledně zpracovaná GAP analýza rovněž slouží k prokázání GDPR compliance před dozorovým orgánem a je podkladem pro veškeré další zpracování osobních údajů. Bohatě Vám postačí přehledně zpracovaná tabulka v Excelu :-)

Double opt-in online i offline

Jak vlastně s příchodem GDPR můžeme osobní údaje shromažďovat? Asi největší problém nastává při sběru e-mailových kontaktů. Základem je již zmíněný jednoznačný souhlas, ten se ovšem nelehko prokazuje. Jako spolehlivá metoda prokazatelnosti souhlasu se zatím jeví systém double opt-in. Tím docílíme nejen prokazatelného souhlasu, ale také zajištění toho, že souhlas udělila příslušná osoba.

Systém double opt-in je samozřejmě uplatnitelný také v offlinu. Zde to funguje tak, že po osobním vyplnění formuláře a uvedení e-mailu, musí proběhnout opětovné ověření souhlasu zasláním potvrzovacího e-mailu. Nutností je samozřejmě prokazatelnost a uchování veškerých údajů o souhlasu.

Výhody double opt-in:

  • eliminuje chyby způsobené překlepem při vyplňování formuláře,
  • přechází podvodným registracím,
  • chrání před obviněním ze šíření spamu.

Kam dál?

Pokud hledáte víc informací o GDPR, podívejte se na nabídku kurzů a workshopů od SOVA STUDIO.

Informace najdete i v dalších článcích na blogu SOVA NET:

Autor: Tým SOVA NET, 19. 4. 2018

Potřebujete poradit? Kontaktujte nás

Odesláním formuláře přijímáte naše Zásady zpracování osobních údajů.
Děkujeme za vyplnění formuláře.Odeslání formuláře se nezdařilo.