Co všechno musíte dodržet a která opatření se vás naopak netýkají?
Platnost evropského nařízení GDPR se blíží a 25. května se každý majitel webových stránek nebo e-shopu stane z právního hlediska správcem. Úřad pro ochranu osobních údajů zveřejnil na svých stránkách Desatero zpracování pro správce, které v 10 bodech zestručňuje základní pravidla ochrany osobních údajů pro živnostníky a podobné menší podniky. Přinášíme ocitovaný seznam ÚOOÚ s doplněním našich komentářů na vysvětlenou pro každého podnikatele.
Zpracování údajů musí být legitimní
V souladu s právními předpisy musíte jako správce postupovat vždy. Tento bod vás navíc upozorňuje na morální aspekt nařízení – ne vše je v GDPR konkrétně vyjádřeno a o tom, zda byl porušen zákon, se často rozhodne individuálně. Proto nevsázejte na filozofii, že je povolené vše, co není vysloveně zakázané, a věci na hraně si raději vždy nechte projít hlavou a zkonzultujte s právníky.
Základní důvody zpracování
Ke zpracování osobních údajů potřebujete souhlas v případech, kdy vám návštěvník vyplní formulář na webu, který nezakládá pro zpracování údajů jiný důvod (například objednávkový formulář a plnění smlouvy). Stoprocentně prokazatelným souhlasem je pak double opt-in, kdy návštěvník zpracování schválí nejdříve v rámci samotného formuláře a následně v potvrzovacím e-mailu.
Máte už nastavený double opt-in? Je to snadné! Podívejte se na návodné video >>
Jako správce také vždy musíte mít smlouvu se zpracovatelem osobních údajů – tím je typicky třeba webhostingová firma, ale i brigádník vypomáhající s balením zásilek nebo externista spravující sociální sítě.
Pokud jste klientem SmartEmailingu, nemusíte se o zpracovatelskou smlouvu starat. Její znění jsme připravili za vás a najdete je ve svém účtu pod modrým paragrafem.
Záměr zpracování údajů
Lidem si na stránkách vždy říkejte jen o ty informace, které opravdu potřebujete. Takzvaná zásada minimalizace spočívá v tom, nechtít po lidech zbytečně vyplňovat jméno, pokud vám pro daný případ stačí jejich e-mail. Každý osobní údaj, o který si lidem řeknete, musíte být schopni obhájit. Zároveň je potřeba, aby byl zahrnutý v podmínkách zásad o zpracováním osobních údajů.
Uchování osobních údajů
Podobně jako je zbytečné si říkat o informace, které nepotřebujete, je nanejvýš vhodné udržovat veškeré osobní údaje jen tam, kde je to z nějakého důvodu důležité. To znamená maximálně pročistit a zjednodušit databáze a pohlídat, aby veškerá data byla ideálně na jednom místě. Stejně tak se snižuje riziko případného problému s nižším počtem zapojených zpracovatelů.
Důležitá je také doba zpracování, která musí být jasně vymezená. Obecně se doporučují 3 roky, ale vždy záleží na konkrétních okolnostech ve vašem případě.
Víte, že ve SmartEmailingu můžete k jednotlivým kontaktům přiřadit účel zpracování a jeho platnost? Před vypršením platnosti tak můžete odeslat prodlužovací kampaň. Více zde >>
Jasný zákonný podklad
Doporučení samo o sobě platí pro veřejnou správu, my si ale neodpustíme ani apel na všechny podnikatele. Zatímco stávající zákon souhlas se zpracováním osobních údajů preferoval, s nástupem GDPR se naopak stává tou „poslední možností“. Žádat byste o něj měli pouze v případě, že pro zpracování nemůžete využít některý z dalších pěti důvodů.
Podmínky zabezpečení
Správou osobních údajů vám vzniká velká zodpovědnost a v případně nedostatečného zabezpečení se vystavujete hrozbě pokuty. Vzniká vám tak povinnost vybírat pouze takové nástroje zpracování dat, které vám pomohou GDPR vyhovět.
Porušením nařízení může být třeba únik osobních údajů z nezaheslovaného služebního notebooku nebo telefonu. V každém případě je nezbytné ztrátu do 72 hodin ohlásit na dozorový úřad. Jestliže to v této lhůtě nestihnete, jako polehčující okolnost může být bráno včasné přiznání.
Možná vás potěší, že kritéria pro zabezpečení dat splňoval SmartEmailing už dlouho před samotným GDPR. S jeho plánovaným nástupem jsme však bezpečnostní a technická opatření ještě posílili. Zavedli jsme pravidelnější penetrační testy a rozsáhlý monitoring, díky kterému včas odhalíme i sebemenší neoprávněný pokus o přístup k vašim datům.
Férové zpracování
Formulář se souhlasem, který vám návštěvníci stránek vyplňují a potvrzují, musí být na webu jasně k nalezení a doplněný o srozumitelné podmínky zpracování osobních údajů. Nezapomeňte uvést, kolik let chcete informace zpracovávat nebo kterým zpracovatelům je poskytujete.
Zároveň návštěvníky informujte o jejich právech říct si o informace o jejich údajích (kde je schraňujete, o které konkrétní údaje se jedná), požádat o jejich smazání nebo předání jiné společnosti. Souhlas musí být kdykoliv odvolatelný, a to stejně jednoduše, jako byl udělen.
Vzorové formuláře a jejich texty jsme poskytli svým klientům v rámci webináře o GDPR zdarma. Máte je? Pokud ne, podívejte se na záznam a inspirujte se >>
Zásah do soukromí
Osobní údaje se na internetu mohou objevit například ve veřejných rejstřících, kdy je zveřejnění v souladu se zákonem. V online marketingu může důvod ke zveřejnění vzniknout například v případě výherců soutěže. To je pak opět nutné zohlednit v podmínkách a získat k tomu souhlas. Soukromí zákazníků by mělo být vždy na prvním místě, na což je ideální myslet už při nastavování podmínek soutěže.
Likvidace osobních údajů
Pokud si to před úřadem dokážete obhájit, je možné zpracovávat osobní údaje po neomezenou dobu. V opačném případě je nutné informovat v podmínkách souhlasu, kolik let budete data uchovávat. Po uplynutí této doby musíte většinu údajů smazat, nejlépe pomocí automaticky nastavených procesů.
Osobní údaje mimo EU
Předávání dat mimo země Evropské unie může být provedeno jen výjimečně, v právně odůvodněných případech a s povolením úřadu. Data pak musí navíc splňovat další podmínky na zabezpečení. Pro správu dat je možné používat pouze takové nástroje, které využívají servery v rámci Evropské unie. To ovšem nemusí vždy nutně znamenat, že by přímo z EU měly být samotné nástroje.
Osobní údaje ukládáme a zpracováváme výhradně na území Evropské unie. To samé platí pro všechny subdodavatele, které využíváme.
Více napoví záznamy webinářů
Díky desateru převzatému od ÚOOÚ jsme vám přiblížili dopady GDPR na správce – nové nařízení Evropské unie toho ale přináší mnohem víc. Jde vám z toho hlava kolem už teď? Další ověřené informace od advokátů jsme pro vás lidsky a srozumitelně připravili v záznamech webinářů, které si ještě stále můžete zakoupit. Udělejte si o GDPR jasno bez zdlouhavého hledání na internetu.
