Co vlastně GDPR znamená?
GDPR si klade za cíl dát lidem více práv k jejich osobním údajům a jeho cílem je lépe regulovat způsob, jakým podniky uchovávají a ukládají tato data.
Je pravděpodobné, že vaše firma má v evidenci nějaký typ osobních údajů o vašich zákaznících. Můžete také pravidelně posílat zákazníkům nebo potenciálním zákazníkům informace emailem o vaší firmě, speciální nabídce, novém produktu nebo službě, kterou můžete nabídnout. Pokud tomu tak je, musíte vědět, jak vás může GDPR ovlivnit.
Co je definováno jako «osobní údaje»?
Jednou z oblastí, která ovlivňuje to, jak se vaše firma musí řídit GDPR, je to, zda zpracováváte osobní údaje, které by v případě ztráty mohly mít za následek „riziko pro práva a svobody subjektů údajů“. Ztráta jakýchkoli údajů týkajících se něčí identity, životního stylu nebo kontaktních informací v podstatě představuje potenciální riziko pro práva a svobody – takže většinu údajů lze v tomto smyslu nazvat „osobními“.
Článek 9 pravidel GDPR také identifikuje zvláště citlivá data, na která musíte být opravdu opatrní. Jedná se o informace, které odhalují „rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech“; nebo „genetické údaje, biometrické údaje za účelem jednoznačné identifikace fyzické osoby, údaje o zdraví nebo údaje o sexuálním životě nebo sexuální orientaci fyzické osoby“.
Jak GDPR zákony o osobních údajích ovlivňují malé podniky?
S největší pravděpodobností budou vaše záznamy o zaměstnancích, podrobnosti o zákaznících a obchodní kontakty nějakým způsobem zahrnovat tento druh informací. Pojďme se tedy podívat na hlavní principy GDPR a na to, jak se s nimi budete muset vypořádat.
Souhlas
Jednou z největších změn pro podniky je požadavek vysvětlit, proč potřebujete něčí data, a pro některá odvětví získat výslovný souhlas se zpracováním citlivých osobních údajů a souhlas s použitím těchto údajů pro marketingové účely. Pokud máte například vy nebo váš prodejní tým ve zvyku přebírat e-mailové adresy z vizitek a přidávat je do e-mailových seznamů nebo na LinkedIn, musíte se nejprve začít ptát. Spotřebitelé mají také právo vznést námitku proti marketingu a také odvolat souhlas.
Ochrana osobních údajů
Jakmile tato data shromáždíte, budete muset mít systémy, které jsou navrženy tak, aby je chránily. Jednoduše řečeno, musíte zajistit, aby data byla dostatečně zabezpečena, takže zvažte šifrování jakékoli databáze, která obsahuje data vašich zákazníků, nejen ochranu heslem.
Přehlédnutí
Kvůli rozdílu mezi správcem/zpracovatelem budete v souvislosti s GDPR také muset být zvlášť ostražití ohledně toho, které aplikace a organizace třetích stran používáte. Pokud si udržujete seznamy adresátů pomocí online zpravodajské služby, jako je například MailChimp, je vaší odpovědností zajistit, aby byly v souladu s GDPR.
Přístup a ovládání
GDPR také vyžaduje, aby si vlastník údajů zachoval kontrolu nad svými informacemi, včetně práva na výmaz osobních údajů, práva získat a znovu použít své údaje nebo bezpečně přesunout, zkopírovat nebo přenést své údaje. Budete tedy potřebovat systém, aby všichni zákazníci, zaměstnanci nebo dodavatelé věděli, na koho se mají obrátit, aby získali přístup ke svým datům, aby si je mohli prohlížet v „běžně používaném a strojově čitelném formátu“, přesunout je z jednoho IT prostředí do jiného bezpečně a sdělte vám, abyste jej odstranili, pokud si to přejí.
Upozornění na porušení
Vlastníci údajů musí být také informováni o každém narušení bezpečnosti. I když to může vyvolat představy o rozsáhlých hackech, zahrnuje to jednoduché chyby, jako je získání přístupu dodavatele k vašim datům nebo ztráta notebooku zaměstnance.
Vztahuje se GDPR na všechny firmy?
Nová pravidla platí pro každý podnik, který má zákazníky, zaměstnance nebo klienty v EU. Vláda Spojeného království také potvrdila, že i zde se bude v mnoha případech řídit stejnými pravidly, i když se to může změnit. Brexit tedy neovlivní vaše požadavky GDPR (ačkoli je třeba si uvědomit, že vláda Spojeného království bude moci svůj postoj později změnit).
Jak se pravidla GDPR vztahují na vaši firmu, se bude lišit v závislosti na tom, zda:
- Máte 250 nebo více zaměstnanců
- Jste „zpracovatel údajů“ nebo „správce údajů“
- Pokud zaměstnáváte méně než 250 lidí, hlavní rozdíl je v tom, že nemusíte najímat pověřence pro ochranu osobních údajů (DPO), pokud se nezabýváte systematickým sledováním dat nebo zpracováváním citlivých osobních údajů ve velkém měřítku.
- Můžete také zjistit, že úřad Information Commissioner’s Office (ICO), který bude sledovat dodržování předpisů ve Spojeném království, bude méně pravděpodobně ukládat nejvyšší pokuty vaší malé firmě, pokud uklouznete.
Zpracovatel nebo správce údajů?
Jiný způsob, jakým GDPR ovlivní vaše podnikání, bude záviset na tom, zda jste „zpracovatel údajů“ nebo „správce údajů“. Rozdíl mezi správcem údajů a zpracovatelem údajů má podobný dopad na to, jak podrobné musí být vaše plány dodržování předpisů. Správci dat jsou ti, kdo mají na starosti, a určují, jak budou data použita. Zpracovatelé údajů buď shromažďují nebo analyzují údaje jménem správce údajů. Pokud tedy například vaše firma vyplácí zaměstnancům mzdu prostřednictvím společnosti zpracovávající mzdy, vaše firma je správcem údajů a mzdová společnost je zpracovatelem údajů.
Správci musí nejen sami splňovat pravidla GDPR, ale také zajistit, aby totéž dělali i jiní zpracovatelé údajů. Zpracovatelé údajů musí uchovávat záznamy o jejich dodržování při nakládání s jejich údaji, a to i po jejich předání správci.
Na těchto pravidlech záleží, protože společnostem lze za nejzávažnější porušení uložit pokutu až do výše 4 % jejich ročního obratu nebo 20 milionů EUR (podle toho, co je vyšší). To se snižuje na 2 % pro menší selhání, jako je například neexistence pořádku v záznamech nebo upozornění dozorujícího orgánu a subjektu údajů o porušení. Tyto pokuty se však týkají pouze náhodného porušení. Pokud jste podezřelí z úmyslného porušení pravidel, můžete dokonce čelit vězení.
Kontrolní seznam GDPR
- S představením GDPR hned za rohem jsme shromáždili klíčové oblasti, na které by se měl každý majitel malého podniku podívat, aby zjistil, zda již dodržujete a co dělat v těch oblastech, kde tomu tak není.
- Identifikujte svou vedoucí autoritu. Pokud působíte ve více než jedné zemi EU, budete muset pomocí pokynů pracovní skupiny podle článku 29 určit, který orgán bude dohlížet na vaše dodržování.
- Promluvte si se svým týmem. Sdílejte klíčové body GDPR se zaměstnanci a kolegy. Školení jim pomůže získat správné detaily a mohou si všimnout věcí, které vám chybí.
- Auditujte svá data. Rozdělte všechna data, která aktuálně vlastníte, a určete pravidla, která musí splňovat.
- Zkontrolujte zabezpečení úložiště. Zajistěte, aby byly všechny databáze chráněny heslem a šifrovány, a zkontrolujte, kdo k nim má přístup.
- Plánujte sdílení a mazání. Vytvořte potřebné kontaktní formuláře a interní procesy pro sdílení nebo smazání osobních údajů podle potřeby.
- Zkontrolujte si zásady ochrany osobních údajů. Toto musí být nový port pro každého, kdo hledá informace o vašem důvodu shromažďování údajů a způsobu, jakým je použijete. Nezapomeňte zahrnout nová práva o tom, jak žádat o data nebo jejich smazání.
- Vytvořte proces souhlasu. Znovu navštivte svůj systém pro shromažďování údajů, ujistěte se, že jasně žádá o souhlas a má jasnou možnost „přihlášení/odhlášení“ a sdílejte své zásady ochrany osobních údajů, abyste vysvětlili, co s údaji děláte.
- Zvažte ověření věku. Pokud se mezi zákazníky pravděpodobně setkáte s dětmi, budete se muset ujistit, že můžete ověřit jejich věk, protože ke shromažďování a používání jejich údajů budete potřebovat souhlas rodičů.
- Plánujte úniky dat. Mít zavedený systém a odpovědnou osobu pro řešení případů narušení dat. To by mohlo zahrnovat rychlý způsob, jak kontaktovat postižené lidi a říct jim, co se děje.
- Zanechte nám Vaše údaje, abychom se s Vámi mohli spojit a probrat detaily ohledně Vašich požadavků na CCTV a bezpečnostní systémy
Zanechte nám Vaše údaje, abychom se s Vámi mohli spojit a probrat detaily ohledně Vašich požadavků na CCTV a bezpečnostní systémy