Menu
Menu
Zavolejte mi Vyzkoušet
Radíme
Na RAYNET nikdy
nejste sami
RayTube
Nápověda
Webináře a školení
Zeptejte se podpory
Kde se potkáme
Blog
Co je CRM
Oborová řešení
Mrkněte, kde všude se dá RAYNET využít
Malé firmy
Velké firmy
Fotovoltaiky
Finanční poradenství
Realitní makléři
Vzdělávací firmy
Servis

GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání

15. 01. 2018 | RAYNET tým

GDPR v praxi II.: na co se připravit a jak změny dopadnou na online podnikání
GDPR alespoň trochu ovlivní každého podnikatele, který uchovává data o svých klientech a zaměstnancích. Zákon začne platit už na konci května a tak pro vás máme další várku GDPR informací.

Minule jsme psali o tom, co to GDPR je a jak se vás dotkne. A jak jsme slíbili, potápíme se hlouběji a na hladinu vynášíme praktické informace o zákonnosti a bezpečnosti zpracování osobních údajů, právech subjektů údajů i dopadech na online byznys.

A pro uklidnění – s RAYNETem to zvládnete. Ukázky toho, jak si s GDPR poradit, vám přineseme v dalším článku.

Malé vysvětlení právničtiny na začátek

Subjekt údajů je fyzická nebo právnická osoba, o které zpracováváte nebo uchováváte osobní údaje. Je to tedy prakticky kdokoliv, koho máte ve svém CRM, tabulce s kontakty nebo ve složce se zaslanými životopisy.

GDPR a zákonnost

Nikdo kvůli GDPR nepřestane zpracovávat osobní údaje. Nově si ale musíte krýt záda jedním ze zákonných důvodů:

  • Souhlas: subjekt údajů vám vědomě povolí osobní údaje zpracovat. Tento způsob má největší váhu.
  • Smlouva: ve smlouvě jasně uvedete skutečnost, že osobní data zpracujete. Ale žádné kamuflování, o tom si hned povíme níže.
  • Právní povinnost: například na zpracování mzdové agendy.
  • Životně důležitý zájem: zpracování údajů je nezbytné pro ochranu životně důležitých zájmů. Tady ale už zabíháme do extrémních scénářů.
  • Veřejný zájem: zpracování je nezbytné pro splnění úkolu ve veřejném zájmu. Pokud ale nejste James Bond, spoléhejte raději na snadněji obhajitelné důvody.

A v neposlední řadě důvod dává i oprávněný zájem správce.

Kouzelná formulka, že? Přijde vhod ve chvíli, kdy mezi správcem a subjektem údajů existuje relevantní vztah – typicky například přímý marketing. Proti vztahu může ale subjekt údajů vznést námitku a na jeho žádost musí správce osobní údaje smazat.

Malé smluvní okénko

Aby souhlas byl souhlasem, tak nesmí být pouze ve smlouvě. Podle ÚOOÚ jsou totiž položky smlouvy navázané na nějaké protiplnění a není je snadné odvolat či zrušit (což by ale u souhlasu se zpracováním osobní údajů mělo být umožněno). Na souhlas tak raději vždy používejte samostatnou listinu.

A ještě jedna perlička – pokud už k některým informacím souhlas se zpracováním máte, nedávejte souhlas znovu do smlouvy. Subjektu údajů tím totiž uvádíte v omyl, že může souhlas odvolat. Což sice udělat může, ale údaje se o něm budou zpracovávat i nadále.

Teď určitě přemýšlíte, co to pro vás bude znamenat v praxi.

Jeden by si řekl, že zkrátka získá souhlas. Stačí jej zamaskovat do smlouvy nebo obchodních podmínek a je hotovo. Chyba lávka – souhlas musí být:

  1. pro konkrétní účel a na určitou dobu,
  2. informovaný,
  3. výslovný a jednoznačný,
  4. svobodný
  5. a odlišný od jiných záležitostí.

Zamaskování do jiného dokumentu tedy nepřipadá v úvahu.

A tato „svatá pětka“ neplatí jen pro nové souhlasy, ale aktualizovat musíte i ty stávající.

Trocha práce tedy čeká všechny. Jen si představte, kde všude budete muset potvrdit, že se zpracováním souhlasíte. E-shopy, newsletterové seznamy, věrnostní kluby. A mnoho dalších.

Mít souhlas je sice hezká věc, ale jak vlastně dokážete, že ho máte? Jako správci údajů musíte být schopní doložit, že souhlas:

  • souvisí s konkrétním zájmem,
  • udělila příslušná osoba a to
  • na příslušnou dobu, ve které údaje zpracováváte.

A nejdůležitější – osoba, která souhlas udělila, ví, jak budete s osobními údaji nakládat.

GDPR a bezpečnost

Čeká na vás také splnění požadavků na zabezpečení. Jak přesně je splnit Zákon o ochraně osobních údajů neporadí, trochu ale napoví registrační formulář ÚOOÚ.

A svoje k tomu říká i GDPR v článku 32.

Ve zkratce řečeno:

Nejen správce, ale i zpracovatel, musí přijmout vhodná opatření, ať už technická nebo organizační, aby zajistili ochranu úměrnou riziku.

 

A teď zase trochu méně právnicky a více lidsky. V praxi se požadavky na zabezpečení projeví například jako:

  • pravidelné testování a vyhodnocování míry zabezpečení,
  • pseudonymizace a šifrování,
  • obnova dostupnosti údajů a přístupu k nim v případě výpadku,
  • a další požadavky.

Zvýšenou pozornost budete muset nově věnovat i chybám v systému. Bezpečnostní incidenty týkající se osobních údajů musíte nahlásit do 72 hodin na ÚOOÚ a také všem vašim klientům nebo zaměstnancům, o jejichž data by mohlo jít.

GDPR a práva subjektů údajů

S GDPR přichází i pozitivní změna pro uživatele. Portfolio jejich práv se značně rozšíří a všechny kroky ochrany osobních údajů by od května 2018 měly být transparentnější pro podnikatele i uživatele.

1. Právo na přístup

Kdo?, Co?, Kde?, Proč? a Na jak dlouho? Jako správce i zpracovatel musíte subjektu údajů poskytnou odpovědi na všechny tyto otázky o zpracování jejich osobních údajů.

2. Právo na opravu a přenos

Bez řečí a zbytečných průtahů musíte opravit nepřesné (subjektivně i objektivně) osobní údaje, poskytnout jejich kopii nebo potvrzení o jejich zpracování.

3. Právo na výmaz a právo být zapomenut

Subjekt údajů může požadovat vymazání osobních údajů hned z několika důvodů.

  • Údaje splnily svůj účel a už je nepotřebujete.
  • Subjekt se odvolá proti použití údajů nebo vznese námitku.
  • Došlo k protiprávnímu zpracování údajů.
  • Vyplývá to z právní povinnost EU.
  • Nemáte rodičovský souhlas.

Vymazání ovšem nestačí, musíte o něm subjekt informovat.

4. Právo vznést námitku

Pokud subjekt údajů zjistí, že o něm zpracováváte data i bez jeho souhlasu, má právo vznést námitku. Vy jako správci dat v tu chvíli musíte přenést osobní údaje tohoto subjektu do jiné databáze.

Údaje máte povinnost držet odděleně od ostatních údajů subjektů než se rozhodne o zamítnutí nebo uznání námitky.

A co děti, mají si kde... Souhlasit?

Když máte e-shop s cool obaly na telefon, určitě u vás nenakupují jen plnoletí zákazníci. A jak jde o souhlas nezletilých, je potřeba do hry pozvat ještě rodiče.

  1. <13 let : nákup pouze se souhlasem rodiče
  2. 13-15 let : nákup pouze se souhlasem rodiče, a nebo jinak podle vnitrostátní úpravy
  3. 16 let> : nákup bez souhlasu rodiče

A jak to všechno ovlivní svět e-commerce?

GDPR a dopady na online byznys

Už víte, co všechno jsou osobní údaje. V online světě k nim ale přihoďte ještě:

  • lokační údaje,
  • síťové identifikátory jako je IP adresa, cookies, MAC adresy,
  • nebo identifikátory pro reklamní sítě.

Online nomádi si musí dát především pozor na to, jakým způsobem získají souhlas uživatele se zpracováním osobních údajů.

Své k tomu řekne především ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích, které doplní GDPR a ustanoví, jak ho vlastně používat v internetových vodách.

Zatím z něho vyplývá, jak souhlas na webu získat a co už je daleko za zákonnou GDPR hranou.

 Co ANO?  Co NE?
 • zaškrnutí políčka  • předem zaškrtnutá políčka
 • jiné prohlášení, jednání nebo souhlas  • mlčení znamená souhlas
   • formulka „Používáním software souhlasíte s…“

Suma sumárum, do firemního kamene vytesejte 3 zlatá pravidla:

  1. Souhlas musí být udělený aktivně, samostatně a srozumitelně.
  2. Naopak nesmí být závislý nebo propojený s jiným souhlasem.
  3. Jak lehké je souhlas udělit, tak lehké je ho zase vzít zpět.

Doufáme, že z nových informací nemáte příliš velkou hlavu. Jak už jsme předesílali, příští článek shrne řešení GDPR v RAYNET CRM.

Mohlo by se vám také dobře číst

[SalesMajstr MeetUp]: Cenotvorba aneb o kolik si říct?
[SalesMajstr MeetUp]: Cenotvorba aneb o kolik si říct?

4. 11. 2024, 15:26

V září jsme po krátké brněnské epizodě přivezli SalesMajstr MeetUp zpět domů do Ostravy. A zaměřili jsme se na ožehavé téma – nastavení a komunikaci cen.
Dobré vyjednávání je takové, které vytváří hodnotu. Jak na to?
Dobré vyjednávání je takové, které vytváří hodnotu. Jak na to?

31. 10. 2024, 20:44

Dobré vyjednávání končí dohodou, která je přínosná pro obě strany. Přečtěte si, jak na to.
Investigativní vyjednávání: zjišťujte potřeby, ne požadavky
Investigativní vyjednávání: zjišťujte potřeby, ne požadavky

3. 10. 2024, 13:15

Vyjednavač by měl být zvěd, ne válečník. Vybavený dobře mířenými otázkami, kterými zjistí nejen požadavky, ale hlavně potřeby a zájmy druhé strany.