15. 8. 2017

Jak se připravit na GDPR

Rubrika: Aktuality

O GDPR jste asi už slyšeli, protože hlavní pozornost na sebe strhlo letos na jaře. Ale možná pořád nevíte, o co přesně jde, tak by se vám mohlo hodit několik základních informací.

Proč GDPR

GDPR (General Data Protection Regulation) je obecné nařízení o ochraně osobních údajů. Jeho cílem je vyšší ochrana osobních dat občanů.

Ti budou mít nad svými daty lepší kontrolu. Nově budou mít právo požádat o smazání nebo tzv. zapomenutí osobních údajů (když pro jejich zpracování nebude existovat právní důvod).

Koho se GDPR týká? 

Možná vás napadlo, že se to týká jen velkých společností a není to vaše záležitost. Bohužel, není to tak. Nařízení se vztahuje na všechny, protože každá firma, ať je jakkoli velká, pracuje s nějakými osobními údaji. Minimálně s údaji svých zaměstnanců, ale samozřejmě také zákazníků.

Nařízení se týká všech evropských firem, institucí a online služeb, ale také těch neevropských, které působí na evropském trhu.

Co jsou osobní údaje

Do osobních údajů se zahrnuje všechno, podle čeho je možné někoho identifikovat. Patří sem jméno, adresa, e-mailová adresa, telefonní číslo, rodné číslo, místo narození a státní příslušnost. Dále to jsou informace o bankovních účtech, platebních kartách, zdravotní dokumentace a z onlinu například IP adresy a soubory cookies.

Odkdy GDPR platí

GDPR zákonodárci odklepli 27. dubna 2016 a bude platit od příštího roku, konkrétně od 25. května 2018. Možná se vám to zdá ještě daleko, ale čas běží a vás čeká nějaká ta práce, tak ji moc neodkládejte.

Co se pro vás mění 

Budete muset dokumentovat, že zpracováváte jen ty údaje, které jsou nezbytně nutné. V případě eshopů to je jméno, příjmení, e-mail a adresa pro doručení.

Když by došlo k úniku dat, máte povinnost nejpozději do 72 hodin informovat Úřad pro ochranu osobních dat.

Pozor na newslettery

Některé eshopy mají objednávku zboží automaticky podmíněnou přihlášením k newsletterům. S tím je konec. Nově bude moct každý nakoupit i bez souhlasu se zasíláním obchodních sdělení.

Co je nutné udělat

  • zaveďte nezbytnou ochranu dat do chodu své firmy
  • jmenujte osobu, která bude za ochranu osobních údajů oficiálně zodpovědná - tzv. Data Protection Officer
  • vypracujte posouzení vlivu na ochranu osobních údajů - tzv. Data Protection Impact Assessment
  • zajistěte tzv. pseudonymizaci osobních údajů, aby byla skryta identita osoby, o které můžete evidovat další údaje i bez znalosti její totožnosti
  • průběžně dokumentujte údaje o zpracovávání jednotlivých osobních dat a jejich zpracování konzultujte s dozorovým orgánem

Sankce

Pokud byste nové zařízení porušili nebo dokonce ani nezavedli, hrozí vám pokuta až 20 000 000 eur nebo 4 % z ročního obratu, což je pro většinu firem likvidační, tak se radši připravte.

Jedná se o opatření, kterému se bude po zavedení věnovat opravdu velká pozornost, tak přípravu nepodceňte. A sledujte náš blog, připravíme pro vás konkrétní tipy pro váš eshop.