Jste GDPR compliant? Sledujte náš GDPR seriál a nic Vám neunikne. V prvním díle našeho seriálu o téhle nevyhnutelné byrokratické osině v za*ku se podíváme na to, co to ten mytický GDPR vlastně je a proč jste s přípravou měli začít už včera.
Ve zkratce se jedná o nové nařízení („zákon“) o ochraně osobních údajů (eng – General Data Protection Regulation), které docela zásadně mění stávající způsoby práce s informacemi (třeba osobními údaji). Důležité je mít na paměti, že toto nařízení platí už od 25. 5. 2018 a bohužel se dotýká tolika oblastí fungování firmy nebo e-shopu, že je nutné začít s přípravou co nejdříve.
Uvedeme si pár faktů, proč je nutné to řešit už teď.
V zásadě proto, že oblastí, kterých se nařízení ve firmě dotýká, je mnoho. Pokud vám někdo tvrdí, že změnou informačního systému nebo prostou změnou interních směrnic jste v pohodě, tak to tak bohužel není. Zde prostý výčet oblastí:
Data – nařízení zavádí spoustu zajímavých srand (z pohledu IT) jako právo být zapomenut či na vyžádání poskytnout veškeré informace, kterými disponujete o konkrétním zákazníkovi. Samozřejmě pro velké firmy toto nemusí představovat až tak velký problém, pro menší e-shopy to ale už složitější je. Právo být zapomenut - na popud zákazníka musíte smazat ze všech databází shromážděné informace o něm a to včetně například záloh. Aby to nebylo jednoduché, tak samozřejmě platí určitá podřízenost nařízení stávajícím zákonům (není to absolutní právo). To například znamená, že máte jako firma povinnost uchovávat účetní informace pro potřeby finančního úřadu, tak z této databáze klienta vymazat nemůžete.
Organizačně procesní - důležitým aspektem jsou prvky ochrany dat - ať už se jedná o řízené přístupy k databázím a informacím obecně (kdo, jak a kdy může ve firmě přistupovat ke konkrétním datům). Nezapomeňte, že disponujete i osobními údaji svých zaměstnanců, tj. musíte nastavit procesy, jak je s těmito údaji zacházeno (kdo má přístup k elektronické kopii smlouvy, kdo k hardcopy – je zamčená skříň, ve které jsou smlouvy).
Nová role zaměstnance / nový zaměstnanec – DPO (Data Protection Officer) aneb firmou placený informátor, který má za povinnost hlásit nalezená pochybení ve firmě úřadu, který pak přikročí k akci. Povinnost jmenovat tohoto zaměstnance máte, pokud jste jako právní subjekt zpracovatelem nebo správcem osobních údajů (v definici ze zákona) s tím, že realizujete aktivity směřující k pravidelnému a systematickému monitorování občanů. Takže – používáte Mailkit/Mailchimp k segmentaci e-mailingu? Máte věrnostní program? Jste in! Pracovní náplní Vámi placeného zaměstnance bude interní audit, školení vašich zaměstnanců, monitorování stavu a obecně - řízení agendy ochrany osobních dat.
Interní legislativa – aktualizace vnitřních předpisů firmy v duchu změn provedených v organizaci práce, toto je nutné udělat na závěr, až bude jasné, co všechno v rámci vaší firmy bylo změněno.
Ještě pro pořádek – co že je to ten osobní údaj z pohledu e-shopu – jméno, pohlaví, věk, datum narození, IP adresa, fotografický záznam, e-mailová adresa, telefonní číslo. Je toho víc, tohle jsou ty nejdůležitější. V rámci podnikání na internetu se vás tedy velmi pravděpodobně (až hraničně s jistotou) GDPR dotýká a je nutné ho řešit.
Vše výše uvedené nese znaky poměrně komplexního interního projektu, který malé a střední firmy zatíží prací a náklady jak v průběhu implementace, tak nadále v průběhu realizace (platíte si zaměstnance, který dělá práci úřadu a v případě problémů vás nahlásí…). Je tedy nutné s tím začít co nejdříve, protože těch pár měsíců vlastně není tolik času. Asi nejlepším způsobem, jak začít, je nejdříve si interně prozkoumat vnitřní prostředí firmy a zjistit, s jakými osobními údaji a jak pracujete. Na základě toho pak lze přikročit k naplánování implementačního projektu, případně vyhodnocení, zda potřebujete externí pomoc nebo ne.
Pravdou je, že určitá míra pravidel zacházení s těmito typy údajů, ergo ochrana koncového spotřebitele, je zapotřebí, protože se bohužel vždy najdou podnikavci, kteří se neštítí ničeho (klasický nevyžádaný spam). Je pravdou, že samotný fakt, že se tím firmy/e-shopy budou zabývat, prospěje jak etice podnikání, tak bezpečnosti nakládání s osobními údaji.
Sledujte nás blog, Facebook nebo LinkedIn a my se brzy ozveme s další várkou praktických informací a vychytávek.
