Co musíte vědět o GDPR

O čem je GDPR

General Data Protection Regulation je obecné nařízení EU, které začne platit od 25. května 2018. Jeho cílem je hájit co nejvíce práva občanů, zamezit neoprávněného zacházení s jejich daty, ale i posktynout přehled a kontrolu nad tím, co se s daty děje.

Koho se to týká?

GDPR se týká všech, kteří:

• mají alespoň 1 zaměstnance,
• ukládají a zpracovávají osobní informace o zákaznících,
• využívají marketingové databáze,
• monitorují osoby...

Jakou roli zde hraje správce a jakou zpracovatel?

Správce je osoba či firma, které byly osobní údaje poskytnuty, a která určuje účel, prostředky a samotné zpracování osobních údajů. Zpracováním osobních údajů může pověřit zpracovatele. Tím můžeme být třeba my. Přes redakční systém či jiné nástroje zpracováváme Vaše data a data o Vašich klientech. Pamatujte ale, že odpovědnost vždy nese správce.

Víte, co je a co není osobní údaj?

Pokud mluvíme o osobních údajích, myslíme tím údaje, jako jsou je jméno, e-mail, telefon, rodné číslo, atd. Jde prakticky o cokoliv, dle čeho vás lze identifikovat. 

Co je osobní údaj

>> jméno, příjmení, adresa, telefonní číslo, email spojující s konkrétní osobou (jmeno.prijmeni@sovanet.cz), číslo OP, IP adresa, log, datum narození, občanství, ...

Co je citlivý údaj

>> osobní údaje dětí, biometrické údaje, členství v odborech, zdravotní karta, trestní minulost, sexuální orientace, ...

Co není osobní údaj

>> anonymní údaj, údaje o zesnulém, data o právnické osobě, email nespojující s konkrétní osobou (info@sovanet.cz), ...

Co si pohlídat?

Pro nedůsledné zacházení s údaji zavádí GDPR vysoké pokuty až do 4% celosvětového ročního obratu. Jak takovým likvidačním pokutám předejít? V první řadě je potřeba mít pořádek v několika věcech a to:

• s jakými údaji zacházíte (databáze klientů, administrace webů, atd.),
• kde data uchováváte,
• kdo má k jakým údajům přístup,
• za jakým účelem data uschováváte,
• zda jste schopni zajistit smazání údajů,
• zda jsou údaje dostatečně chráněny.

A jaké dokumenty si pro případ kontroly raději uschovávat? Prvním a asi nejdůležitějším jsou prokazatelné souhlasy se zpracováním dat! Bez těch to po 25. květnu prostě nepůjde. Dalším nutností bude zpracovatelská smlouva vymezující pravidla mezi správcem (klient) a zpracovatelem (agentura). No a v neposlední řadě byste měli disponovat dokumenty o proškolenosti zaměstnanců, kteří s osobními údaji přijdou do styku. 

Odkud  začít?

Pro analýzu dat slouží tzv. GAP analýza, díky níž získáte ucelený přehed o tom, v jakém stavu  je ochrana data ve vaší organizaci v porovnání s požadavky GDPR.

GAP analýza - základ všeho

GAP analýza Vám pomůže zhodnotit připravenost zejména po stránce:

• technické,
• procesní,
• právní.

Existuje mnoho podob, jak by měla GAP analýza vypadat a mnoho způsobů, jak ji provést. Za nás bychom doporučili postupovat dle následujících kroků:

• Určit, jaké osobní údaje uchováváte.
• Klasifikovat je dle kategorie, účelu zpracování a právního základu.
• Definovat, kde je ukládáte (servery, cloud, kontrola úložiště využívaného organizací), jak dlouho a kdo k nim má přístup.
• Vytvořit procesy zpracovávání osobních údajů, tzv. životní cyklus údajů.
• Vyhodnotit zpracování osobních údajů s ohledem na nezbytnost vypracování zprávy o dopadech zpracování a na nutnost mít pověřence ochrany osobních údajů.
• Zkontrolovat proces profilování.
• Vyhodnotit zavedení bezpečnostních opatření při zpracování osobních údajů.
• Vyhodnotit minimalizaci dat.
• Vyhodnotit práva jednotlivce.
• Revidovat smlouvy a vnitropodnikové předpisy.

Správně a důsledně zpracovaná GAP analýza rovněž slouží k prokázání GDPR compliance před dozorovým orgánem a je podkladem pro veškeré další zpracování osobních údajů. Bohatě Vám postačí přehledně zpracovaná tabulka v Excelu :-)

Double opt-in online i offline

Jak vlastně s příchodem GDPR můžeme osobní údaje shromažďovat? Asi největší problém nastává při sběru e-mailových kontaktů. Základem je již zmíněný jednoznačný souhlas, ten se ovšem nelehko prokazuje. Jako spolehlivá metoda prokazatelnosti souhlasu se zatím jeví systém double opt-in. Tím docílíme nejen prokazatelného souhlasu, ale také zajištění toho, že souhlas udělila příslušná osoba.

Systém double opt-in je samozřejmě uplatnitelný také v offlinu. Zde to funguje tak, že po osobním vyplnění formuláře a uvedení e-mailu, musí proběhnout opětovné ověření souhlasu zasláním potvrzovacího e-mailu. Nutností je samozřejmě prokazatelnost a uchování veškerých údajů o souhlasu.

Výhody double opt-in:

• eliminuje chyby způsobené překlepem při vyplňování formuláře,
• přechází podvodným registracím,
• chrání před obviněním ze šíření spamu.

Kam dál?

Pokud hledáte víc informací o GDPR, podívejte se na nabídku kurzů a workshopů od SOVA STUDIO.

Informace najdete i v dalších článcích na blogu SOVA NET:

• GDPR aneb revoluce v ochraně osobních údajů
• Jaký dopad má GDPR na online marketing
• GDPR a úpravy na webu z pohledu online marketingu
• GDPR a e-mail marketing