GDPR startuje za 8 týdnů (1. část)

Za 8 týdnů (25.5.18) vstoupí v platnost nařízení Evropské Unie týkající se ochrany osobních údajů označované jako GDPR. Jde o tak velké a aktuální téma, že jsem se rozhodl mu věnovat několik následujících článků. Každý týden budu na konkrétní téma, které zároveň prakticky řeším při implementaci GDPR v ADOLu, sdílet své názory, zjištění, zkušenosti a tipy, které snad pomohou i vám.

Nejsem právník, ale jsem podnikatel jako většina z vás a proto beru tuto otázku velice vážně a osobně. Už mě nebavilo číst dokola na internetu a v médiích prázdné články o tom, jaké má nařízení číslo, jak velké sankce hrozí a jak naše vláda zaspala se zákony upravujícími jednotlivá odvětví atd. Potřeboval jsem znát konkrétní dílčí kroky, které musím udělat, na co se zaměřit, co nepřehlédnout atd.

V sérii článků budu čerpat z informací, které získávám v diskuzích s odborníky, právníky a dalšími podnikateli na konferencích, různých sezeních a webinářích. Určitě se nedostane na všechna témata, která řeší třeba specializované obory podnikání. Budu se věnovat mému blízkému oboru a to podnikání v realitách, zadlužených nemovitostech, internetovému marketingu s tím souvisejícím a obecně osobními údaji a jejich zpracování.

Rychlá pomoc

Pokud jste z realitní branže a s přípravami jste zaspali nebo nemáte s kým danou věc řešit, můžete přijít na kurz, který jsme s právníky právě pro vás připravili. V rámci jednodenního intenzivního semináře "GDPR v praxi nejen pro realitní kanceláře" se dozvíte vše, co potřebujete vědět a navíc si odnesete spoustu praktických materiálů a návodů. Následně už bude implementace snazší.

A teď už začínáme...

Co je GDPR

Obecně řečeno se jedná o nařízení, které v rámci celé Evropské Unie určuje a sjednocuje pravidla pro nakládání s osobními údaji. Dozorovým orgánem je v České republice Úřad na ochranu osobních údajů (www.uoou.cz), na jehož stránkách už dnes najdete spoustu informací a zajímavých článků. Je ovšem nutné podotknout, že dle odborníků GDPR jen rozšiřuje o cca 20% již platné zákony, které bychom měli dávno všichni dodržovat. Mluvím o zákonu č. 101/2000 Sb., o ochraně osobních údajů.

Tip: Čtením celého obecného nařízení se nezdržujte, ale přesto pro “masochisty” přikládám ke stažení: Nařízení (EU) 2016/679 (GDPR).

 

Koho se GDPR týká

Toto nařízení se týká všech podnikatelů a firem, které při své činnosti přicházejí do styku s osobními údaji. Když se zamyslíte nad tím, co vše je dnes bráno jako osobní údaj zjistíte, že se týká skutečně všech. GDPR se dotkne i státních institucí a úřadů, obcí, škol, médií atd.

Co všechno jsou osobní údaje

Abychom se mohli pustit do práce s přípravami, je trocha teorie pro začátek nutná. Osobně mě překvapilo, že si lidé vůbec neuvědomují, co vše je a bude považováno za osobní údaj.

Laicky - osobními údaji jsou informace, které samostatně nebo v určité kombinaci umožňují identifikovat konkrétní osobu. Jak jsem se dozvěděl, tak např: “Pavel Tomek” není osobním údajem, protože lidí s tímto jménem je v republice více. Ale např. “Pavel z ADOLu” již osobním údajem je, právě proto, že jsem ve firmě jediný. Jiným příkladem jsou emailové adresy. Email info@mojefirma.cz není osobní údaj, protože se za ním může skrývat více lidí. Ale např. kockazdevitky@mail.cz je i přes “obecné” označení již osobním údajem, protože se k ní váže pouze jedna osoba, která email užívá.

Obecné osobní údaje

Mezi obecné osobní údaje patří: jméno a příjmení, pohlaví, věk, email, telefon, adresa trvalého pobytu, rodné číslo, IP adresa, fotografie

Citlivé osobní údaje

Citlivé údaje mají mnohem přísnější pravidla pro sběr a uchovávání, protože jak už z názvu vyplývá, jedná se o citlivé informace o lidech. Sem patří údaje o zdravotním stavu, politické vyznání, sexuální orientace, rasový či etnický původ, údaje o dětech, biometrické údaje. Typickými biometrickým údaji jsou snímek obličeje, otisk prstu, ale podle stanoviska ÚOOÚ i podpis

Úkol 1 - Bezpečnostní audit

Možná je to klišé, ale i my jsme si v rámci firmy uvědomili, že pro nás bude mít GDPR jeden velký přínos. A tím je jakýsi “jarní úklid”. Zkrátka, že nás to donutí udělat si ve firmě pořádek v datech.

Roky tvrdě pracujeme, vymýšlíme nové postupy, sbíráme informace, zaměstnáváme a propouštíme lidi, hledáme nové spolupracovníky a partnery, zkoušíme různé druhy marketingu apod. To asi mají všichni podnikatelé podobně. A teď ruku na srdce… jste si jistí, že máte svá draze získaná data správně ochráněna? Že nemají bývalí zaměstnanci stále přístup do nějaké vaší aplikace nebo k tabulkám sdíleným v cloudu, bývalý “markeťák” nemá ještě stále přístup do vaší mailingové služby apod.?

Co konkrétně sledovat

Prvním krokem, než začnete shánět vzorová a krabicová řešení GDPR na internetu (nevěřte jednotnému řešení pro všechny), je analýza zpracovávaných dat a procesů ve firmě. Je to hodně důležité a věřte mi, že se budete divit, na co všechno přijdete viz předchozí odstavec.

Vezměte si tužku a papír a začněte si na jedno místo sepisovat vše co vás napadne o následujících bodech:

  • jaké osobní údaje zpracováváte (konkrétně)
  • sbíráte citlivé údaje
  • ukládáte si informace o minulých nákupech zákazníků
  • pracujete s daty z webu o procházení stránek apod.
  • k jakým datům mají přístup zaměstnanci
  • kde a jak data zpracováváte (počítač, mobil, tablet, cloud, firemní server, on-line služby)
  • mají k datům přístup i lidé mimo firmu (účetní, služba na rozesílání newsletterů, IT společnost, spolupracovníci, marketingová agentura apod.)
  • oslovujete aktivně zákazníky - emailem, telefonicky, poštou, lístečky
  • platíte si on-line reklamy (Facebook, Adwords, Sklik)
  • zpracováváte údaje automatizovaně (například po vyplnění údajů na internetu se automaticky systém rozhodne zda návštěvník dostane půjčku apod.)
  • monitorujete lidi nebo zaměstnance (kamery, GPS, zvukové záznamy)

Už vám z toho jde hlava kolem? Nebojte se, bude hůř! Ba ne. Myslím, že už teď jste objevili několik bezpečnostních děr, které ani vám nejsou příjemné a cítíte, že bude lepší si tyto věci dát do pořádku.

V příštím článku se zaměřím na to, jaká data za jakým účelem a z jakého právního důvodu můžete zpracovávat. Kdo je správce a kdo zpracovatel osobních údajů a proč je to tak důležité rozlišovat...

Pokračování série je zde: GDPR – jaká data a proč můžete sbírat – 2. část

Sdílejte článek na sociálních sítích
  •  
  •  
  •  
  •  
  •  

Comments are closed.

Menu
ADOL
Přihlášení