V prvním díle našeho seriálu o téhle nevyhnutelné byrokratické osině v za*ku se podíváme na to, co to ten mytický GDPR vlastně je a proč jste s přípravou měli začít už včera.
Ve zkratce se jedná o nové nařízení („zákon“) o ochraně osobních údajů (eng – General Data Protection Regulation), které docela zásadně mění stávající způsoby práce s informacemi (třeba osobními údaji). Důležité je mít na paměti, že toto nařízení platí už od 25. 5. 2018 a bohužel se dotýká tolika oblastí fungování firmy nebo eshopu, že je nutné začít s přípravou co nejdříve.
Nejprve si dovolím osobní úvod (můj názor) z pohledu manažera/ podnikatele. Celá regulace představuje spoustu vody na mlýn jednoho z mnoha velmi potřebných úřadů (UOOU), o kterém bychom nebýt tohoto nařízení téměř neslyšeli. Nyní, nabyvší veškeré důležitosti, se ředitelce tohoto úřadu dostává prostoru a pozornosti v nejednom celonárodním novinovém plátku. Jak z těchto řádků asi chápete, můj názor na celou záležitost je takový, že se jedná o další persekuci ze strany úřadů včetně přenesení veškeré odpovědnosti (včetně té identifikační viz vysvětlení níže) na firmy s tím, že jedinou zbývající činností takového úřadu pak bude vyhodnocení informací o pochybeních za účelem drakonických finančních trestů (ze kterých se státní instituce dle posledního návrhu zákona zase vyvlečou). Tolik osobně rozohněný úvod, nyní pár faktů – proč je nutné to řešit už teď.
V zásadě proto, že oblastí, kterých se nařízení ve firmě dotýká, je mnoho. Pokud Vám někdo tvrdí, že změnou informačního systému nebo prostou změnou interních směrnic jste v pohodě, tak to tak bohužel není. Zde prostý výčet oblastí:
Data – nařízení zavádí spousty zajímavých srand (z pohledu IT) jako právo být zapomenut či na vyžádání poskytnout veškeré informace, kterými disponujete o konkrétním zákazníkovi. Samozřejmě pro velké firmy toto nemusí představovat až tak velký problém, pro menší eshopy to ale už složitější je. Právo být zapomenut - na popud zákazníka musíte smazat ze všech databází shromážděné informace o něm a to včetně například záloh. Aby to nebylo jednoduché, tak samozřejmě platí určitá podřízenost nařízení stávajícím zákonům (není to absolutní právo). To například znamená, že máte jako firma povinnost uchovávat účetní informace pro potřeby finančního úřadu tak z této databáze klienta vymazat nemůžete.
Organizačně procesní - Důležitým aspektem jsou prvky ochrany dat - ať už se jedná o řízené přístupy k databázím a informacím obecně (kdo, jak a kdy může ve firmě přistupovat ke konkrétním datům). Nezapomeňte, že disponujete i osobními údaji svých zaměstnanců, tj. musíte nastavit procesy, jak je s těmito údaji zacházeno (kdo má přístup k elektronické kopii smlouvy, kdo k hardcopy – je zamčená skříň, ve které jsou smlouvy?)
Nová role zaměstnance / nový zaměstnanec – DPO (Data Protection Officer) aneb firmou placený informátor, který má za povinnost hlásit nalezená pochybení ve firmě úřadu, který pak přikročí k akci. Povinnost jmenovat tohoto zaměstnance máte, pokud jste jako právní subjekt zpracovatelem nebo správcem osobních údajů (v definici ze zákona) s tím, že realizujete aktivity směřující k pravidelnému a systematickému monitorování občanů. Takže – používáte Mailkit/Mailchimp k segmentaci emailingu? Máte věrnostní program? Jste in! Pracovní náplní Vámi placeného zaměstnance bude interní audit, školení Vašich zaměstnanců, monitorování stavu (práskačství, když pochybíte) a obecně- řízení agendy ochrany osobních dat.
Interní legislativa – aktualizace vnitřních předpisů firmy v duchu změn provedených v organizaci práce, toto je nutné udělat na závěr až bude jasné co všechno v rámci Vaší firmy bylo změněno.
Ještě pro pořádek – co že je to ten osobní údaj z pohledu eshopu – jméno, pohlaví, věk, datum narození, IP adresa, fotografický záznam, emailová adresa, telefonní číslo. Je toho víc, tohle jsou ty nejdůležitější. V rámci podnikání na internetu se tedy velmi pravděpodobně (až hraničně s jistotou) se Vás GDPR dotýká a je nutné ho řešit.
Vše výše uvedené nese znaky poměrně komplexního interního projektu, který malé a střední firmy zatíží prací a náklady jak v průběhu implementace, tak nadále v průběhu realizace (platíte si zaměstnance, který dělá práci úřadu a v případě problémů Vás nahlásí…). Je tedy nutné s tím začít co nejdříve, protože těch pár měsíců vlastně není tolik času. Asi nejlepším způsobem jak začít je nejdříve si interně prozkoumat vnitřní prostředí firmy a zjistit s jakými osobními údaji a jak pracujete. Na základě toho pak lze přikročit k naplánování implementačního projektu, případně vyhodnocení zda potřebujete externí pomoc nebo ne.
Abych nebyl zcela negativistický – je pravdou, že určitá míra pravidel zacházení s těmito typy údajů ergo ochrana koncového spotřebitele je zapotřebí, protože se bohužel vždy najdou podnikavci, kteří se neštítí ničeho (klasický nevyžádaný spam). Je pravdou, že samotný fakt, že se tím firmy/eshopy budou zabývat, prospěje jak etice podnikání, tak bezpečnosti nakládání s osobními údaji. Aktuální úprava příslušných zákonů/ nařízení je však dle mého názoru příkladem alibistického chování státu, který přenáší část svých povinností na firmy a na úřady tak zbývají pouze papíry, statistika o tom co kdo a jak a hlavně vymáhání pokut, protože o tom stát je, že…
Tak, teď jsme si trochu postěžovali. O tom ale tenhle článek nebyl. Je o tom, jak se s GDPR popasovat. A proto se Vám už brzy ozveme, a ukážeme Vám, jaké kroky podnikne Pixman pro to, aby naši klienti byli s GDPR v pohodě. Tak sledujte nás blog, Facebook nebo LinkedIn a my se brzy ozveme s další várkou praktických informací a vychytávek.
Hezký den a podnikání zdar, Milan
Copyright PIXMAN 2024
