GDPR: Co nás v podnikání čeká a nemine

GDPR: Co nás v podnikání čeká a nemine.

Život firmy a legislativa, kterou se musíme řídit

Co vůbec je GDPR a co její nařízení znamená pro firmy a podnikatele

GDPR – General Data Protection regulation – tedy Obecné nařízení na ochranu osobních údajů je nový nástroj na ochranu osobních dat fyzických osob – subjektu údajů. Platnost nařízení je od 25.5. 2018 pro všechny členské státy Evropské unie.
Nařízení má za cíl výrazně zvýšit ochranu osobních údajů občanů Evropské unie.

GDPR

Jenomže také znamená řadu povinností a případných problémů pro podnikatele a firmy, protože v rámci České republiky Nařízení GDPR nahrazuje zákon 101/2000 Sb.

Popovídali jsme si o nich s panem Markem Chlupem, odborníkem a člověkem, který nám pomohl implementovat GDPR do naší firmy a našeho produktu: softwaru eWay-CRM. Tedy s člověkem nadmíru povolaným.

Co musí každá firma konkrétně udělat, aby fungovala v souladu s GDPR?

Samozřejmě splnit požadavky Nařízení GDPR (směje se).
Ale vážně.
V první etapě bych všem doporučil, aby si ve firmě udělali „procesně-datovou“ inventuru. Tedy pokusit se popsat všechny činnosti ve firmě, při kterých mohou být dotčeny osobní údaje.
Typicky má každá firma minimálně 3 kategorie subjektu údajů – zaměstnanec – dodavatel – zákazník. Okolo těchto tří kategorií je potřeba provést zmapování procesů a identifikovat například, jaké osobní údaje zpracováváme, jak dlouho je udržujeme, kdo k nim má přístup a na základě čeho je shromažďujeme (zákonnost zpracování). Osobním údajem rozumíme cokoliv, co vede k identifikaci konkrétní osoby. Například jméno, adresa, biometrické údaje, zdravotní údaje apod.

Ve druhé etapě doporučuji již zcela konkrétně vypracovat:

  • Politiku ochrany osobních údajů – kterou vystavíte například na svoje www stránky
  • Politiku práv subjektu údajů – ve které definujete postupy pro případ, kdy subjekt údajů chce uplatnit svoje práva (například právo na informace, právo na výmaz apod.).
  • Politika ohlašování porušení ochrany osobních údajů – v povinnost informovat subjekt údajů a ÚOOÚ, že došlo k porušení ochrany
  • Pokud zpracováváte osobní údaje ve velkém množství, musíte vypracovat tzv. dokument „Záznamy o zpracování“
  • Pokud zpracováváte navíc citlivé osobní údaje (typicky zdravotní dokumentaci, genetickou dokumentaci apod.) musíte ještě jmenovat tzv. pověřence pro ochranu osobních údajů – DPO.
  • Doplnit do smluv se zpracovateli osobních údajů nové požadavky na zpracovatele (např. povinnost, že Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez zapracování výše uvedeného),
  • Vyškolit klíčové zaměstnance firmy a připravit šablony odpovědních dokumentů pro subjekty údajů
  • Zrevidovat stav ochrany IT prostředků (například řízení přístupů k datům)

Na první pohled se zdá, že Vás čeká velké množství práce, nicméně ve většině firem alespoň část výše uvedených požadavků je zavedena. Na druhou stranu je dobře tuto problematiku nepodceňovat, protože za porušení hrozí vysoké postihy.

Pokud si nebudete vědět rady, doporučuji požádat o poradenství, případně najít informace na www stránkách ÚOOÚ.

lock

Jaký vliv má GDPR na firmy, které používají CRM systém?

Vliv na Nařízení GDPR na používání CRM je zásadní.
Nařízení GDPR ukládá firmám, že osobní údaje může spravovat pouze za jasně daným účelem a musí být dodržena tzv. proporcionalita, tedy takové informace, které nezbytně nutně potřebuji k účelu zpracování například k obchodnímu vztahu. Jako příklad lze uvést, že v CRM lze mít jméno, příjmení, firemní email, telefon a adresu zákazníka, nelze však shromažďovat informace o rodinných příslušnících, nebo datumu narozenin zákazníka.

Tedy každá firma, která využívá CRM musí provést revizi informací, které jsou shromažďovány a stanovit, zda jsou proporcionální k účelu zpracování. Pokud nalezne informace, které nepotřebuje, musí je odstranit.

Proto by v neposlední řadě měli podnikatelé a firmy při výběru dodavatele CRM dbát na to, zda jeho produkt splňuje požadavky GDPR. Například, zda se může prokázat certifikací souladu s požadavky GDPR, zda a jak vám dodavatel umožní seznámit se se stavem připravenosti k GDPR.

Co firmy mimo Evropskou unii, třeba ve Spojených státech, týká se jich to v něčem také?

Pokud firma mimo EU zpracovává data občanů EU, musí plnit požadavky Nařízení GDPR. Z pohledu subjektu údajů máte povinnost vždy informovat o tom, že data jsou uložena mimo EU a jak je tato situace ošetřena.

Děkujeme moc za pomoc při implementaci GDPR i za rozhovor.

Důležitá poznámka za eWay-CRM:
Platnost nařízení GDPR je od 25.5.  2018 pro všechny členské státy Evropské unie.
A protože máme opravdu velké množství klientů z celé Evropské unie, či např. ze Spojených států, kterých se ale zákon může dotknout,
uvádíme novou specifickou eWay-CRM GDPR verzi 5.2 již  12.4. 2018.

Takže každý náš klient nebo budoucí uživatel má pak více než měsíc na implementaci do softwaru i firmy.

Podrobnějším informacím a detailům o plně funkční GDPR verzi eWay-CRM se budeme věnovat jak v následujícím článku, tak v našem GDPR eWay-Book.

Hovořili jsme s Markem Chlupem.
Marek Chlup je auditor s 20 lety praxe v oblasti informační bezpečnosti a Data Protection Officer.
Má certifikace ISMS a ITIL a za sebou více než 100 interních nebo certifikačních auditů v mnoha společnostech (pojišťovny, státní správa, společnosti poskytující veřejné služby, společnosti poskytující služby, výrobní společnosti).

 

Zdroje obrázků: http://fistro.cz/general-data-protection-regulation/, https://zpravy.idnes.cz/pojistovne-uniqa-unikla-osobni-data-tisicu-klientu-fhe-/domaci.aspx?c=A090903_103434_domaci_pje