Pamatujete rok 2018? Před COVIDem přišla ještě jedna pohroma. Nařízení o ochraně osobních údajů GDPR. A s ním přišel divoký západ. Objevily se společnosti, které si za implementaci směrnic říkaly firmám vysoké částky. A ty jim je ochotně platily, protože se všichni báli toho, co s zavedením GDPR přijde.

Máme skoro 6 let poté. Máte pocit, že se změnilo něco podstatného? Pomineme-li otravné cookie lišty, kterým už také brzy odzvoní… Pravidla GDPR si běží tiše na pozadí a zdá se, že i úřední šiml si v nich konečně udělal jasno a sjednotil výklad.

Jakou postupujeme při nastavení GDPR

Uklidnění situace neznamená, že je už není potřeba GDPR tak pečlivě řešit. Ochrana osobních údajů už z našich povinností nezmizí. Proto je důležité k nim jako podnikatel od začátku přistupovat zodpovědně. Nedá se však říct, že by existoval jeden mustr, podle kterého by mohli všichni jet. Proto rozhodně doporučujeme tuto problematiku konzultovat.

Nastavení GDPR s námi je vždy za zcela individuálních podmínek podle potřeby zpracování osobních údajů klienta. Parametry jsou:

  • jaké údaje zpracovává,
  • v jakém objemu,
  • jakým způsobem,
  • kdo konkrétně se v podmínkách klienta na zpracování podílí,
  • komu a kam jsou údaje při zpracování předávány,
  • v jaké formě jsou uchovávány,

To vše s důrazem na podmínky zajištění fyzické i kybernetické bezpečnosti zpracovávaných údajů.

Tyto podmínky zjišťujeme ideálně při osobní návštěvě sídla / provozovny klienta nebo prostřednictvím dotazníku. Následně navrhneme rozsah a podobu veškeré potřebné dokumentace, která je následně projednána s klientem.

Po projednání dokumentaci finalizujeme a nastavíme systematiku kontrol dodržování pravidel ze strany zpracovatelů osobních údajů, plán vyhodnocování účinnosti přijatých opatření a jejich případné aktualizace a obsah a plán školení všech dotčených osob.

Tato školení, jakož i řešení veškerých „GDPR incidentů“ si pak bereme na starosti my anebo pro klienta proškolíme osobu, která bude mít tuto problematiku u klienta v gesci interně a s námi konzultuje pouze komplikovanější otázky.

Jakou podobu může mít služba GDPR

  • nastavení GDPR na míru potřebám firmy
  • audit stávajících GDPR dokumentů
  • školení zaměstnanců
  • reakce na stížnosti zákazníků
  • asistence při kontrole z Úřadu pro ochranu osobních údajů (ÚOOÚ)

 

Pro koho je služba určena

  • pro všechny firmy a podnikatele, kteří pracují s osobními údaji zákazníků

 

Co všechno zákon chápe jako osobní údaj

Evropská komise uvádí: „Osobní údaje jsou jakékoli informace, které se týkají identifikované nebo identifikovatelné žijící osoby. K osobním údajům patří i různé jednotlivé informace, které společně jako celek mohou vést k identifikaci určité osoby.“

To v praxi znamená zejména:

  • jméno a příjmení
  • kontaktní údaje (adresa, telefon, e-mailová adresa, IP adresa)
    identifikační údaje (identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu)
  • transakční historie
  • pohlaví, věk
  • datum a místo narození, rodné číslo
  • osobní stav, sexuální preference, kulturní profil
  • zdravotní znevýhodnění

 

Možná by vás nenapadlo, že se jedná i o:

  • fotografický záznam (např. z pořádané akce)
  • video záznam (např. z bezpečnostní kamery)
  • audio záznam (např. monitorovaný hovor)

 

Tento výčet není úplný. Vybrali jsme pouze ty údaje, které běžně mohou zpracovávat podnikatelé. Mnohem širší je definice osobních údajů například ve zdravotnictví.