Vyhněte se pokutám a ujistěte se, že dodržujte nařízení GDPR

GDPR je zákon, který už tu s námi pár let je, jste si ale jistí, že o něm víte všechno, co byste měli a že ho stoprocentně a za všech okolností dodržujete? Pokud ne, hrozí vám pokuta ve výši až závratných 25 milionů eur. A jistě, vaše databáze e-mailů a telefonních čísel zákazníků je pro vás velmi cenná, ale stojí vám špatné zacházení s ní za takovou pokutu? Tím nechceme říct, ať e-maily neshromažďujete, ale ať to děláte přesně podle práva. Proto vám představíme, na co si v souvislosti s GDPRnařízením dát pozor.


Co říká zákon o ochraně osobních údajů

Na základě GDPR máte jako firma povinnost předcházet únikům a zneužití osobních údajů svých zákazníků i zaměstnanců. Ačkoliv bylo svého času nařízení GDPR velkým strašákem, je zcela nezbytným opatřením, které je z uživatelského hlediska velmi výhodně. Vás, jakožto firmu, která za ochranu osobních údajů zodpovídá, možná trochu rozčiluje (protože vám přidělává starosti).

Ale berte to tak, že i vy jste někde uživatelem a nechtěli byste, aby vaše osobní údaje byly zneužívané. Dnes jste možná řidič a přecházení chodců vám může být lhostejné, zítra ale třeba budete chodec, který chce, aby mu auto zastavilo. Dodržování nařízení o GDPR je tak postavené na vzájemnosti, která je ve finále prospěšná pro všechny zúčastněné.


Jaké údaje vlastně nařízení GDPR chrání?

Abychom se mohli bavit o ochraně osobních údajů, musíme si nejdřív udělat pořádek v tom, co jsou osobní údaje. Jedná se v první řadě o obecné údaje, tedy takové, podle kterých lze identifikovat určitou osobu. Jsou to zejména věk, pohlaví, jméno, datum narození, osobní stav, IP adresa, fotografie, adresa a e-mailová adresa, telefonní číslo atd.

Kromě osobních údajů rozlišujeme v rámci nařízení GDPR ještě tzv. „citlivé údaje“ (ty jsou podkategorií těch osobních), jako jsou: rasa či etnický původ, politická přesvědčení, náboženská vyznání, členství v odborech, informace o zdravotním stavu, sexuální orientaci a trestních deliktech atp. Tyto údaje samy o sobě nemůžou vést k identifikaci osoby, ale ve spojení s jinými osobními údaji mohou snadno vést k její diskreditaci a poškození. Z těchto důvodů jsou mnohem přísněji střeženy než obecné osobní údaje.


Na co si dát pozor při sběru uživatelských dat?

Konec teorie, jdeme se podívat na praxi, ta je totiž to, co vás určitě nejvíce zajímá. Pokud sbíráte uživatelská data (tedy osobní údaje) o vašich zákaznících, měli byste si dát pozor na následující oblasti:

Pozor na odpovědnost

Vaše společnost musí vždycky jasně specifikovat, kdo nese odpovědnost za zajištění nakládání s osobními údaji v souladu s nařízením GDPR. Proto by měl být stanovený tzv. pověřenec pro ochranu osobních údajů (což může být jednotlivec, ale klidně i externí firma).

V případě, že s osobními údaji, které ve firmě uchováváte, nakládá i třetí strana, musíte uzavřít smlouvu o zpracování dat. V té jsou podrobně specifikována práva a povinnosti každé ze smluvních stran a měla by zaručit, že nikam neuniknou.

Pozor na transparentnost

Pokud má vaše společnost více než 250 zaměstnanců, musíte si vést záznam o činnostech spojených se zpracováním osobních údajů, kontrola ho po vás totiž může chtít. I v případě, že jste menší firma byste ale měli mít přehled o:

  • typu dat, která zpracováváte,
  • k čemu tato data slouží,
  • kdo k nim má přístup,
  • jak jsou zabezpečená
  • a jak dlouho je uchováváte.

Pozor na bezpečnost

Ochrana osobních údajů je hlavně o jejich bezpečnosti. Zaveďte tedy opatření, které zamezí jejich úniku. Mělo by se jednat o procesní opatření typu, kdo má k takovým datům přístup; o jejich bezpečné uchování na zabezpečením (a ideálně šifrovaném) serveru či cloudu; o opatření zajišťující, že je nikdo z firmy žádným způsobem nevynese (ať už na flashce nebo třeba po e-mailu); a jak je nakonec mažete.

Pokud by data, která uchováváte přeci jen náhodou někde unikla, máte povinnost to do 72 hodin nahlásit na Úřadu na ochranu osobních údajů.

Tip: Podívejte se, jak postupovat při GDPR auditu.

Pozor na informovanost

Svým zákazníkům nic netajte a nesnažte se je obelstít. Každý, s jehož osobními údaji nakládáte, by měl jasně vědět, jaké údaje o něm evidujete, co s nimi děláte a jak dlouho je plánujete uchovávat. Pochopitelně je na místě zákazníky uklidnit sděleném, že jejich data budou použitá například jen k uskutečnění a doručení internetového nákupu.


Co se děje, když ochranu osobních údajů porušíte

Jako reálný příklad, který ilustruje možný scénář úniku osobních údajů, je třeba kauza s mezinárodním řetězcem hotelů Marriot. Pokuta za nedostatečné zabezpečení a následný únik citlivých údajů 300 milionů hostů (z toho 30 mil. občanů EU) se vyšplhala až na 110,3 milionů eur. Řetězec byl v roce 2018 terčem kybernetických útoků, které vedly k odcizení detailů platebních karet, čísel osobních dokladů nebo například dat narození. Na vině bylo tedy nedostatečné zabezpečení dat, ale i fakt, že řetězec nedokázal své zákazníky na tento únik včas upozornit.

Pokud si nejste jisti, že máte ve firmě všechna opatření v souladu se zákonem o ochraně osobních údajů, nechte si je raději překontrolovat odborníky. Ti zjistí, kde máte mezery, které by se vám nemusely vyplatit, a dokonce proškolí vaše zaměstnance, aby o bezpečném zacházení s citlivými údaji věděli co nejvíce. Nejlepší ochranou je totiž prevence.