GDPR pro samouky III: jak na to krok za krokem

Dne 24. 1. 2018

Ve třetím dílu naší série o GDPR vám přinášíme několik tipů na to, jak co nejjednodušeji přizpůsobit své interní procesy novému evropskému nařízení. Také shrneme to nejdůležitější jak z prvního, tak z druhého dílu naší minisérie.

 

Začněte včas a postupujte systematicky

Povinností a informací týkajících se GDPR rozhodně není málo. Proto při implementaci požadavků tohoto nařízení do vašich interních procesů doporučujeme následující postup:

• Proveďte revizi všech procesů ve firmě, smluv, dokumentů a již existujících souhlasů a citlivých informací. Ideální na to je třeba dotazník mezi zaměstnanci, díky kterému zjistíte, komu všemu pod rukama osobní údaje procházejí. Nezapomeňte v něm ale uvést konkrétní příklady toho, co všechno osobní údaj podle GDPR je – dotyčného mnohdy nemusí vůbec napadnout, že s nimi vlastně také pracuje.

• Dostatečně zabezpečte ukládání osobních údajů (šifrujte elektronickou komunikaci, fyzické dokumenty zamkněte do skříňky).

• Vypracujte  si vlastní směrnice a pravidla ohledně interních procesů ke zpracování osobních údajů a veďte si záznamy o činnostech týkajících se zpracování. Evidujte si, pro koho údaje spravujete, s jakým oprávněním, z jakého důvodu a na jak dlouho.

• To samozřejmě znamená také proškolení všech zaměstnanců a vedení dokumentace o proběhlých školeních.

• Minimalizujte množství osobních údajů a omezte jejich předávání i přístup k nim – tzn. neshromažďujte informace, které nejsou bezpodmínečně nutné. To se týká například smluv, ve kterých stačí mít uvedené pouze jméno, příjmení, datum narození, adresu, pojišťovnu a číslo OP. Stejně tak doporučujeme ponechat přístup k osobním údajům pouze těm zaměstnancům, kteří jej skutečně potřebují.

• A v neposlední řadě také umožněte subjektům údajů právo „být zapomenut“, což znamená zajištění smazání osobních údajů. Zde je ale potřeba být na pozoru a vždy brát ohled i na další platnou legislativu, jako je zákon o archivaci nebo zákoník práce. Proto před smazáním údajů raději vše dvakrát překontrolujte.

 

GDPR_3.jpg

Pokud budete postupovat systematicky krok za krokem, nemáte se čeho bát.

Zdroj: unsplash.com

Opakování matka moudrosti

Co se týče ochrany osobních údajů, česká legislativa ve své stávající podobě patří mezi nejpřísnější v Evropě. Pokud se tedy (stejně jako my) plně řídíte současným zněním zákona o ochraně osobních údajů, bude pro vás úprava vaší práce na základě podmínek stanovených v GDPR o poznání snazší. Přesto je zde ale řada novinek, a tak není radno nic podcenit. Proto si ještě jednou shrňme nejdůležitější informace doposud zmíněné v naší sérii o GDPR:

• V první řadě si musíte uvědomit, co všechno jsou osobní údaje (například, že to je i IP adresa nebo soubory cookies).

• Dále si musíte být vědomi, jaká je vaše role (zda jste správce, nebo zpracovatel) a jaké právní závazky pro vás z toho vyplývají.

• Musíte také mít kompletní přehled o tom, kde všude osobní údaje máte. Nezapomínejte na smlouvy, faktury, Mailchimp, Google Analytics nebo Google disk. Může ale také jít o váš interní software nebo paměť telefonů.

• Je také potřeba mít odůvodnění, kvůli kterým tyto osobní údaje zpracováváte. To znamená roztřídit si osobní údaje podle právních titulů – informace o svých zaměstnancích totiž shromažďujete ze zcela jiných důvodů než informace o odběratelích newsletterů. Stejně tak potřebujete vědět, kde a jak jste osobní údaje získali.

• Důležitá je i evidence toho, na jak dlouho osobní údaje shromažďujete, jakým způsobem je aktualizujete a následně likvidujete – žádné osobní údaje nemůžete uchovávat navěky.

• Rozhodně je také potřeba mít vypracovanou evidenci souhlasů a informací o jejich zpracování. Stejně tak potřebujete mít přehledný seznam všech lidí a společností, které vám se zpracováním dat pomáhají = musíte tedy mít přehled o zpracovatelských smlouvách.

Věříme, že jste díky našemu stručnému shrnutí celé problematiky získali povědomí o největších úskalích i hlavních povinnostech spojených s GDPR. Téma jsme však ani zdaleka nevyčerpali, a proto se v budoucnu podíváme podrobněji na konkrétní aplikace této nové regulace v jednotlivých oblastech digitálního marketingu, jako je e-mailing, správa e-shopů, datová analytika nebo cílení reklamy na sociálních sítích.

Jak vidíte, s GDPR je hromada mravenčí práce. Pokud jste čemukoli v našem článku nerozuměli, ozvěte se, vysvětlíme vám to.  A můžeme třeba rovnou začít pracovat i na vašem marketingu online.

 

Tým In creative

ZPĚT NA VÝPIS BLOGU

Naše kompetence