Pamatujete rok 2018? Před COVIDem přišla ještě jedna pohroma. Nařízení o ochraně osobních údajů GDPR. A s ním přišel divoký západ. Objevily se společnosti, které si za implementaci směrnic říkaly firmám vysoké částky. A ty jim je ochotně platily, protože se všichni báli toho, co s zavedením GDPR přijde.
Máme skoro 6 let poté. Máte pocit, že se změnilo něco podstatného? Pomineme-li otravné cookie lišty, kterým už také brzy odzvoní… Pravidla GDPR si běží tiše na pozadí a zdá se, že i úřední šiml si v nich konečně udělal jasno a sjednotil výklad.
Jakou postupujeme při nastavení GDPR
Uklidnění situace neznamená, že je už není potřeba GDPR tak pečlivě řešit. Ochrana osobních údajů už z našich povinností nezmizí. Proto je důležité k nim jako podnikatel od začátku přistupovat zodpovědně. Nedá se však říct, že by existoval jeden mustr, podle kterého by mohli všichni jet. Proto rozhodně doporučujeme tuto problematiku konzultovat.
Nastavení GDPR s námi je vždy za zcela individuálních podmínek podle potřeby zpracování osobních údajů klienta. Parametry jsou:
- jaké údaje zpracovává,
- v jakém objemu,
- jakým způsobem,
- kdo konkrétně se v podmínkách klienta na zpracování podílí,
- komu a kam jsou údaje při zpracování předávány,
- v jaké formě jsou uchovávány,
To vše s důrazem na podmínky zajištění fyzické i kybernetické bezpečnosti zpracovávaných údajů.
Tyto podmínky zjišťujeme ideálně při osobní návštěvě sídla / provozovny klienta nebo prostřednictvím dotazníku. Následně navrhneme rozsah a podobu veškeré potřebné dokumentace, která je následně projednána s klientem.
Po projednání dokumentaci finalizujeme a nastavíme systematiku kontrol dodržování pravidel ze strany zpracovatelů osobních údajů, plán vyhodnocování účinnosti přijatých opatření a jejich případné aktualizace a obsah a plán školení všech dotčených osob.
Tato školení, jakož i řešení veškerých „GDPR incidentů“ si pak bereme na starosti my anebo pro klienta proškolíme osobu, která bude mít tuto problematiku u klienta v gesci interně a s námi konzultuje pouze komplikovanější otázky.
Jakou podobu může mít služba GDPR
- nastavení GDPR na míru potřebám firmy
- audit stávajících GDPR dokumentů
- školení zaměstnanců
- reakce na stížnosti zákazníků
- asistence při kontrole z Úřadu pro ochranu osobních údajů (ÚOOÚ)
Pro koho je služba určena
- pro všechny firmy a podnikatele, kteří pracují s osobními údaji zákazníků
Co všechno zákon chápe jako osobní údaj
Evropská komise uvádí: „Osobní údaje jsou jakékoli informace, které se týkají identifikované nebo identifikovatelné žijící osoby. K osobním údajům patří i různé jednotlivé informace, které společně jako celek mohou vést k identifikaci určité osoby.“
To v praxi znamená zejména:
- jméno a příjmení
- kontaktní údaje (adresa, telefon, e-mailová adresa, IP adresa)
identifikační údaje (identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu) - transakční historie
- pohlaví, věk
- datum a místo narození, rodné číslo
- osobní stav, sexuální preference, kulturní profil
- zdravotní znevýhodnění
Možná by vás nenapadlo, že se jedná i o:
- fotografický záznam (např. z pořádané akce)
- video záznam (např. z bezpečnostní kamery)
- audio záznam (např. monitorovaný hovor)
Tento výčet není úplný. Vybrali jsme pouze ty údaje, které běžně mohou zpracovávat podnikatelé. Mnohem širší je definice osobních údajů například ve zdravotnictví.