Podnikání

GDPR: Co nás v podnikání čeká a nemine

Rozhovor popisuje evropskou legislativu související s GPDR a popisuje kroky, které firmy musí podniknout, aby této směrnici vyhověly. 

 

Na téma GDPR jsme si popovídali s Markem Chlupem, odborníkem, který nám pomohl implementovat GDPR do naší firmy a našeho produktu, softwaru eWay-CRM. Tedy s člověkem nadmíru povolaným!

Marek Chlup je auditor s dvacetiletou praxí v oblasti informační bezpečnosti a Data Protection Officer.
Získal certifikace ISMS a ITIL a absolvoval více než sto interních nebo certifikačních auditů v mnoha společnostech (pojišťovny, státní správa, společnosti poskytující veřejné služby, společnosti poskytující služby, výrobní společnosti).

 

Co nařízení GDPR znamená pro firmy a podnikatele?

GDPR – General Data Protection regulation – tedy Obecné nařízení na ochranu osobních údajů je nový nástroj na ochranu osobních dat fyzických osob – subjektu údajů. Platnost nařízení je od 25. lvětna 2018 pro všechny členské státy Evropské unie. Nařízení má za cíl výrazně zvýšit ochranu osobních údajů občanů Evropské unie. Přináší ale také řadu povinností a případných problémů pro podnikatele a firmy, protože v rámci České republiky nařízení GDPR nahrazuje zákon 101/2000 Sb.

 

Co musí každá firma konkrétně udělat, aby fungovala v souladu s GDPR?

Samozřejmě splnit požadavky Nařízení GDPR (směje se). Ale vážně. V první etapě bych všem doporučil, aby si ve firmě udělali „procesně-datovou“ inventuru. Tedy pokusit se popsat všechny činnosti ve firmě, při kterých mohou být dotčeny osobní údaje. Typicky má každá firma minimálně 3 kategorie subjektu údajů – zaměstnanec – dodavatel – zákazník. Okolo těchto tří kategorií je potřeba provést zmapování procesů a identifikovat například, jaké osobní údaje zpracováváme, jak dlouho je udržujeme, kdo k nim má přístup a na základě čeho je shromažďujeme (zákonnost zpracování). Osobním údajem rozumíme cokoliv, co vede k identifikaci konkrétní osoby. Například jméno, adresa, biometrické údaje, zdravotní údaje apod.

Ve druhé etapě doporučuji již zcela konkrétně vypracovat:

  • Politiku ochrany osobních údajů – kterou vystavíte například na svoje www stránky
  • Politiku práv subjektu údajů – ve které definujete postupy pro případ, kdy subjekt údajů chce uplatnit svoje práva (například právo na informace, právo na výmaz apod.).
  • Politika ohlašování porušení ochrany osobních údajů – v povinnost informovat subjekt údajů a ÚOOÚ, že došlo k porušení ochrany
  • Pokud zpracováváte osobní údaje ve velkém množství, musíte vypracovat tzv. dokument „Záznamy o zpracování“
  • Pokud zpracováváte navíc citlivé osobní údaje (typicky zdravotní dokumentaci, genetickou dokumentaci apod.) musíte ještě jmenovat tzv. pověřence pro ochranu osobních údajů – DPO.
  • Doplnit do smluv se zpracovateli osobních údajů nové požadavky na zpracovatele (např. povinnost, že Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez zapracování výše uvedeného),
  • Vyškolit klíčové zaměstnance firmy a připravit šablony odpovědních dokumentů pro subjekty údajů
  • Zrevidovat stav ochrany IT prostředků (například řízení přístupů k datům)

Na první pohled se zdá, že vás čeká velké množství práce, nicméně ve většině firem alespoň část výše uvedených požadavků je zavedena. Na druhou stranu je dobře tuto problematiku nepodceňovat, protože za porušení hrozí vysoké postihy. Pokud si nebudete vědět rady, doporučuji požádat o poradenství, případně najít informace na stránkách Úřadu pro ochranu osobních údajů.

lock

Jaký vliv má GDPR na firmy, které používají CRM systém?

Vliv nařízení GDPR na používání CRM je zásadní. Nařízení GDPR ukládá firmám, že osobní údaje může spravovat pouze za jasně daným účelem a musí být dodržena tzv. proporcionalita, tedy takové informace, které nezbytně nutně potřebuji k účelu zpracování například k obchodnímu vztahu. Jako příklad lze uvést, že v CRM lze mít jméno, příjmení, firemní email, telefon a adresu zákazníka, nelze však shromažďovat informace o rodinných příslušnících, nebo data narození zákazníka.

 

Co musí firmy udělat?

Každá firma, která využívá CRM musí provést revizi informací, které jsou shromažďovány a stanovit, zda jsou proporcionální k účelu zpracování. Pokud nalezne informace, které nepotřebuje, musí je odstranit. Proto by v neposlední řadě měli podnikatelé a firmy při výběru dodavatele CRM dbát na to, zda jeho produkt splňuje požadavky GDPR. Například, zda se může prokázat certifikací souladu s požadavky GDPR, zda a jak vám dodavatel umožní seznámit se se stavem připravenosti k GDPR.

Co firmy mimo Evropskou unii, třeba ve Spojených státech, týká se jich to v něčem také?

Pokud firma mimo Evropskou unii zpracovává data občanů EU, musí plnit požadavky nařízení GDPR. Z pohledu subjektu údajů máte povinnost vždy informovat o tom, že data jsou uložena mimo evropské území, a jak je tato situace ošetřena.

 

Děkujeme moc za pomoc při implementaci GDPR i za rozhovor!

 

Podrobnějším informacím a detailům o plně funkční GDPR verzi eWay-CRM se věnujeme jak v následujícím článku, tak v našem GDPR eWay-Book.

Důležitá poznámka za eWay-CRM

Platnost nařízení GDPR je od 25. května  2018 pro všechny členské státy Evropské unie.
A protože máme opravdu velké množství klientů z celé Evropské unie a také ze Spojených států, kterých se ale zákon může dotknout, uvádíme novou specifickou eWay-CRM GDPR verzi 5.2 již  12. dubna 2018.

-eway-
11.04.2018
Sdílet: