GDPR a osobní údaje: 10 bodů pro správce podle ÚOOÚ

Platnost evropského nařízení GDPR se blíží. Už 25. května se každý majitel webových stránek nebo e-shopu stane z právního hlediska správcem. Často se nás ptáte, jaké povinnosti mu tím pádem vznikají.

SmartEmailing pro vás připravil 10 tipů z oblasti ochrany osobních údajů.

Úřad pro ochranu osobních údajů zveřejnil na svých stránkách Desatero zpracování pro správce, které v 10 bodech zestručňuje základní pravidla ochrany osobních údajů pro živnostníky a podobné menší podniky. Přinášíme ocitovaný seznam ÚOOÚ s doplněním našich komentářů na vysvětlenou pro každého podnikatele.

Co všechno musíte dodržet a která opatření se vás naopak netýkají?

Zpracování údajů musí být legitimní

Zpracování údajů musí být legitimní.

V souladu s právními předpisy musíte jako správce postupovat vždy. Tento bod vás navíc upozorňuje na morální aspekt nařízení – ne vše je v GDPR konkrétně vyjádřeno a o tom, zda byl porušen zákon, se často rozhodne individuálně. Proto nevsázejte na filozofii, že je povolené vše, co není vysloveně zakázané, a věci na hraně si raději vždy nechte projít hlavou a zkonzultujte s právníky.

Základní důvody zpracování

Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování).

Ke zpracování osobních údajů potřebujete souhlas v případech, kdy vám návštěvník vyplní formulář na webu, který nezakládá pro zpracování údajů jiný důvod (například objednávkový formulář a plnění smlouvy). Stoprocentně prokazatelným souhlasem je pak double opt-in, kdy návštěvník zpracování schválí nejdříve v rámci samotného formuláře a následně v potvrzovacím e-mailu.

Máte už nastavený double opt-in? Je to snadné! Podívejte se na návodné video >>

Jako správce také vždy musíte mít smlouvu se zpracovatelem osobních údajů – tím je typicky třeba webhostingová firma, ale i brigádník vypomáhající s balením zásilek nebo externista spravující sociální sítě.

Pokud jste klientem SmartEmailingu, nemusíte se o zpracovatelskou smlouvu starat. Její znění jsme připravili za vás a najdete je ve svém účtu pod modrým paragrafem.

Záměr zpracování údajů

Každý, kdo uchovává osobní údaje, musí jasně vymezit sledovaný záměr.

Lidem si na stránkách vždy říkejte jen o ty informace, které opravdu potřebujete. Takzvaná zásada minimalizace spočívá v tom, nechtít po lidech zbytečně vyplňovat jméno, pokud vám pro daný případ stačí jejich e-mail. Každý osobní údaj, o který si lidem řeknete, musíte být schopni obhájit. Zároveň je potřeba, aby byl zahrnutý v podmínkách zásad o zpracováním osobních údajů.

Uchování osobních údajů

Všechny formy zpracování osobních údajů musí být vždy přiměřené účelu zpracování.

Podobně jako je zbytečné si říkat o informace, které nepotřebujete, je nanejvýš vhodné udržovat veškeré osobní údaje jen tam, kde je to z nějakého důvodu důležité. To znamená maximálně pročistit a zjednodušit databáze a pohlídat, aby veškerá data byla ideálně na jednom místě. Stejně tak se snižuje riziko případného problému s nižším počtem zapojených zpracovatelů.

Důležitá je také doba zpracování, která musí být jasně vymezená. Obecně se doporučují 3 roky, ale vždy záleží na konkrétních okolnostech ve vašem případě.

Víte, že ve SmartEmailingu můžete k jednotlivým kontaktům přiřadit účel zpracování a jeho platnost? Před vypršením platnosti tak můžete odeslat prodlužovací kampaň. Více zde >>

Jasný zákonný podklad

Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad.

Doporučení samo o sobě platí pro veřejnou správu, my si ale neodpustíme ani apel na všechny podnikatele. Zatímco stávající zákon souhlas se zpracováním osobních údajů preferoval, s nástupem GDPR se naopak stává tou „poslední možností“. Žádat byste o něj měli pouze v případě, že pro zpracování nemůžete využít některý z dalších pěti důvodů.

Podmínky zabezpečení

Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit

Správou osobních údajů vám vzniká velká zodpovědnost a v případně nedostatečného zabezpečení se vystavujete hrozbě pokuty. Vzniká vám tak povinnost vybírat pouze takové nástroje zpracování dat, které vám pomohou GDPR vyhovět.

Porušením nařízení může být třeba únik osobních údajů z nezaheslovaného služebního notebooku nebo telefonu. V každém případě je nezbytné ztrátu do 72 hodin ohlásit na dozorový úřad. Jestliže to v této lhůtě nestihnete, jako polehčující okolnost může být bráno včasné přiznání.

Možná vás potěší, že kritéria pro zabezpečení dat splňoval SmartEmailing už dlouho před samotným GDPR. S jeho plánovaným nástupem jsme však bezpečnostní a technická opatření ještě posílili. Zavedli jsme pravidelnější penetrační testy a rozsáhlý monitoring, díky kterému včas odhalíme i sebemenší neoprávněný pokus o přístup k vašim datům.

Férové zpracování

Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově.

Formulář se souhlasem, který vám návštěvníci stránek vyplňují a potvrzují, musí být na webu jasně k nalezení a doplněný o srozumitelné podmínky zpracování osobních údajů. Nezapomeňte uvést, kolik let chcete informace zpracovávat nebo kterým zpracovatelům je poskytujete.

Zároveň návštěvníky informujte o jejich právech říct si o informace o jejich údajích (kde je schraňujete, o které konkrétní údaje se jedná), požádat o jejich smazání nebo předání jiné společnosti. Souhlas musí být kdykoliv odvolatelný, a to stejně jednoduše, jako byl udělen.

Vzorové formuláře a jejich texty jsme poskytli svým klientům v rámci webináře o GDPR zdarma. Máte je? Pokud ne, podívejte se na záznam a inspirujte se >>

Zásah do soukromí

Zpracování nesmí nadměrně zasahovat do soukromí.

Osobní údaje se na internetu mohou objevit například ve veřejných rejstřících, kdy je zveřejnění v souladu se zákonem. V online marketingu může důvod ke zveřejnění vzniknout například v případě výherců soutěže. To je pak opět nutné zohlednit v podmínkách a získat k tomu souhlas. Soukromí zákazníků by mělo být vždy na prvním místě, na což je ideální myslet už při nastavování podmínek soutěže.

Likvidace osobních údajů

Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat.

Pokud si to před úřadem dokážete obhájit, je možné zpracovávat osobní údaje po neomezenou dobu. V opačném případě je nutné informovat v podmínkách souhlasu, kolik let budete data uchovávat. Po uplynutí této doby musíte většinu údajů smazat, nejlépe pomocí automaticky nastavených procesů.

Osobní údaje mimo EU

V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů

Předávání dat mimo země Evropské unie může být provedeno jen výjimečně, v právně odůvodněných případech a s povolením úřadu. Data pak musí navíc splňovat další podmínky na zabezpečení. Pro správu dat je možné používat pouze takové nástroje, které využívají servery v rámci Evropské unie. To ovšem nemusí vždy nutně znamenat, že by přímo z EU měly být samotné nástroje.

Osobní údaje ukládáme a zpracováváme výhradně na území Evropské unie. To samé platí pro všechny subdodavatele, které využíváme.

Více napoví záznamy webinářů

Díky desateru převzatému od ÚOOÚ jsme vám přiblížili dopady GDPR na správce – nové nařízení Evropské unie toho ale přináší mnohem víc. Jde vám z toho hlava kolem už teď? Další ověřené informace od advokátů jsme pro vás lidsky a srozumitelně připravili v záznamech webinářů, které si ještě stále můžete zakoupit. Udělejte si o GDPR jasno bez zdlouhavého hledání na internetu.

Kateřina Fišerová

Pomáhala rozjet email marketingové strategie desítkám českých firem. Dnes je manažerkou a lídrem značky SmartEmailing, která je jedničkou na českém a slovenském trhu. Propaguje myšlenky efektivního email marketingu jako nástroje pro budování vztahu se zákazníky. Nesnáší SPAM a jako lektorku a spíkra ji můžete potkat na konferencích. Více se dozvíte na www.katkafiserova.cz.

Chcete podobné články najít přímo ve svém emailu?


Přidejte se k našim 32 808 odběratelům, kteří chtějí dělat email marketing chytře, více prodávat a mít více spokojených zákazníků.

Komentáře
  1. Cheapviagra napsal:

    Thanksa lot for the article post.Much thanks again. Fantastic.

  2. Cialischeap napsal:

    Hehe 😀Moc ti d ěkuji 🙂

  3. hotmail sign up napsal:

    I feel it interesting, your post gave me a new perspective! I have read many other articles about the same topic, but your article convinced me! I hope you continue to have high quality articles like this to share with veryone!

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů