Hlavní stránka
Aktuální novinky
Jak být úspěšný při GDPR? Dodržte těchto 7 kroků

Jak být úspěšný při GDPR? Dodržte těchto 7 kroků

21 September 2019

Jak být úspěšný při GDPR? Dodržte těchto 7 kroků

GDPR sem, GDPR tam. A v budoucnu tomu nebude jinak. I po více než roce toto nařízení stále způsobuje paniku na půdě velkých a malých podniků v tom, že jejich podnikání není v souladu s obecným nařízením o ochraně údajů (GDPR). Podniky se bojí obrovských pokut, které by mohly ochromit jejich podnikání, případně je i úplně zničit. Nicméně dodržování tohoto nového zákona není až tak velkou úlohou.

Zákon dává lidem právo prohlížet si údaje o nich samotných, které vy jako podnik uchováváte, a nařizuje, aby byly tyto odstraněny, pokud o to požádají. Zákon poskytuje také pokyny provozovatelům údajů a zpracovatelů dat (pro vás jako podnik, příp. V některých případech i třetí strany), kteří jsou zodpovědní za shromažďování a zpracování dat v rámci organizace.

Pokud ještě stále nejste v souladu s GDPR, je skutečně nejvyšší čas jednat. Sepsali jsme pro vás 7 kroků, které vás povedou ke správnému dodržování pravidel s cílem dosáhnout souladu s nařízením GDPR.

Těchto sedm kroků by vám mělo pomoci vyhnout se porušování zákona:

Krok 1: Zaměřte se na ochranu údajů již od návrhu

Přizpůsobte ochranu údajů všemu, co navrhujete, ať už jde o proces, produkt nebo webovou stránku. Tak předejdete mnohým dalším opatřením na ochranu údajů. Nepředpokládejte, že přesun vašich údajů na třetí stranu je způsob, jak obejít tento požadavek, protože je vaší povinností zajistit jejich soulad.

To znamená, že zavedení vhodných technických a organizačních opatření k zajištění ochrany údajů o lidech je jednou z hlavních funkcí čehokoliv, co vaše organizace dělá interně nebo externě.

Krok 2: Ujistěte se, že jste i nadále zodpovědní

Přijetí obchodních procesů zaměřených na ochranu soukromí je rozhodující, ale nestačí to. Musíte být schopni dokázat, že jste tak učinili, pokud o to budete požádáni. To znamená zdokumentování všech procesů, které přispěly k vaší konečné implementaci. Je to ochrana jak pro vás, tak i pro uklidnění vašich zákazníků, protože vám to umožní prokázat, že dostupné ochranná opatření byly posouzeny a začleněny do vašeho podnikání.

Kromě toho i veškerý personál, který může zpracovávat osobní údaje, musí být přiměřeně vyškolen. Je třeba navrhnout a implementovat důkladnou vnitřní politiku ochrany údajů, která je v souladu se všemi aspekty GDPR.

Krok 3: Vytvořte právní základ pro uchovávání a zpracování dat

Kolem GDPR existuje mylná představa, že hlavním problémem, který je třeba řešit, je souhlas. Určitě to ovlivňuje marketingové firmy a maloobchodníky, kteří se do značné míry spoléhají na lidi, kteří se rozhodnou dostávat informační bulletiny nebo propagační emaily. Ve skutečnosti musíte podle GDPR vytvořit právní základ pro sběr dat a jejich sdílení se zákazníky.

Musíte si zvolit právní základ pro každý případ shromažďování údajů (nebo pravděpodobněji pro každý typ shromažďování údajů). Nejčastějším právním základem je souhlas. Potřebujete výslovný souhlas zákazníka. Nevýhodou je, že tento souhlas může zákazník kdykoliv odvolat. Pokud však používáte souhlas, nezapomeňte jasně zákazníkovi vysvětlit důvod shromažďování jejich údajů.

Krok 4: Informujte své uživatele

Podle GDPR zákazníci mají právo napadnout vaše použití jejich údajů nebo odvolat svůj souhlas, jak jsme zmiňovali výše. Tyto údaje musí být k dispozici i kontrolnímu orgánu každého členského státu. Je to nezávislý orgán, který vyšetřuje stížnosti jménem evropských občanů.

Kromě vašich kontaktních informací budete muset poskytnout jednoznačné vysvětlení způsobu údaje o zákaznících používají, včetně účelu shromažďování údajů, jakýchkoli zájmů, které může mít kontrolor, nákupčí nebo zpracovatel třetí strany, kteří tyto údaje dostanou.

Krok 5: Buďte připraveni odstranit své údaje

GDPR ztělesňuje "právo vymazat". To znamená, že v konkrétních situacích mohou subjekty požadovat úplné odstranění jejich údajů z vaší databáze. Může k tomu dojít, pokud zákazník zruší svůj souhlas s dalším zpracováním svých údajů. Patří sem i případy, kdy byly údaje získány nebo zpracované nezákonně, nebo pokud se již nevyužívají způsobem, na které byly původně shromážděny.

Na zamítnutí takové žádosti existuje omezený soubor platných důvodů. Patří sem cíle veřejného zdraví nebo archivní účely, které musí být ve veřejném zájmu. Je však zřejmé, že ve většině případů budete muset vyhovět požadavkům na vymazání údajů, takže se ujistěte, že vám systémy umožňují snadnou identifikaci a odstranění údajů jednotlivců. Pokud jste údaje zpřístupnili třetí straně, je na vás, abyste se ujistili, že splňují i požadavek na vymazání. Na to, abyste vyhověli právu na vymazání žádosti máte jeden měsíc nebo bez zbytečného odkladu.

Krok 6: Při používání algoritmů buďte opatrní

Mnoho rozhodnutí, zejména online, je nyní automatizovaných. GDPR vyžaduje, aby se rozhodnutí, které má právní účinek založeno na automatizovaném zpracování, pokud není takové zpracování naprosto nezbytné a povolené zákonem. Zákazník musí také dát svůj výslovný souhlas.

To má samozřejmě důsledky pro podniky, které prodávají produkty on-line, ale ty nejsou jediné, které by měly tomuto úkonu věnovat pozornost. Kdykoliv máte v úmyslu použít algoritmus pro analýzu údajů týkajících se jednotlivce, uvědomte si, že tyto údaje nelze použít pro přijímání rozhodnutí s právními důsledky, pokud vám dotyčná osoba výslovně nedala povolení.

Krok 7: Auditujte své údaje

Je nezbytné kontrolovat činnosti sběru a zpracování údajů a v případě potřeby je aktualizovat. Zejména, zda se některý z poskytovatelů třetích stran, na kterých se spoléháte, nenacházel mimo Evropské unie, protože GDPR omezuje přenos informací za hranice, pokud příslušná země nemá dohodu o přiměřenosti údajů.