Nie som právnik (ani som nikdy nechcel byť 🙂 ). Dátum, kedy začne nariadenie GDPR platiť sa nezadržateľne blíži a preto som sa rozhodol venovať tejto problematike v tomto článku, ktorý má informatívny charakter. Všetkým majiteľom firiem odporúčam kontaktovať právneho zástupcu, ktorý vám dá presnejšie inštrukcie pri zavádzaní nových pravidiel súvisiacich s GDPR.

Čo je GDPR?

GDPR je anglickou skratkou „General Data Protection Regulation“ vo voľnom preklade teda nariadenie na ochranu osobných údajov. Platiť začne od 25. mája 2018.

Čo sa považuje za osobný údaj?

Medzi všeobecné osobné údaje patrí meno, vek, dátum narodenia, osobný stav, ale taktiež IP adresa a fotografia. GDPR sa vzťahuje aj na fyzické osoby, ktoré podnikajú a preto medzi osobné údaje sa radia aj e-mailová adresa, telefónne číslo a ostatné identifikačné údaje, ktoré sú vydané štátom (IČO, DIČ, …).

GDPR venuje pozornosť aj spracovaniu citlivých osobných údajov, ako sú napríklad údaje o rasovom, či etnickom pôvode, politických názoroch, náboženskom vyznaní, zdravotnom stave, sexuálnej orientácii. Okrem toho aj genetické, biometrické údaje a osobné údaje detí. Spracovanie citlivých osobných údajov podlieha prísnejším pravidlám, ako je tomu u všeobecných osobných údajov.

Naopak medzi osobné údaje GDPR nepovažuje anonymizované údaje, údaje o mŕtvych osobách a údaje výhradne osobnej povahy, ktoré nemajú obchodný charakter.

Kde začať?

Poverte niektorého zo zamestnancov, ktorý bude zodpovedný za správu osobných údajov, informácie a taktiež plnenie nariadenia GDPR.

1. Urobte prvotný audit

Zistite aké osobné údaje zhromažďujete, kde ich máte uložené a ako s nimi ďalej pracujete.

2. Všetko dokumentujte

Vytvorte si dokument, kde budete mať podrobne napísané pravidlá a postupy pri spracovávaní osobných údajov. Potrebujete mať plán, ako postupovať v týchto prípadoch:

Žiadosť o prístup k osobným údajom
Osoba vás môže požiadať o prístup, aktualizáciu, alebo vymazanie svojich osobných údajov.

Zabezpečenie osobných údajov
Čo robíte pre ochranu osobných údajov? Kto má k týmto údajom prístup? Sú tieto dáta šifrované?

Porušenie ochrany osobných údajov
Akékoľvek porušenie ochrany osobný údajov musí byť oznámené najneskôr do 72 hodín príslušnému orgánu.

3. Aktualizujte pravidlá ochrany osobných údajov na web stránke/eshope

  1. špecifikujte základné informácie, ktoré zhromažďujete a ukladáte o návštevníkoch webových stránok (meno, e-mail, telefón, adresu, ale napr. aj IP adresu, informácie o prístupe, cookies, sledovanie návštevnosti, sledovanie kurzorov a pod.),
  2. špecifikujte aké aplikácie majú k týmto osobným údajom prístup (Mailchimp, Google, Hotjar, …),
  3. uveďte osobu zodpovednú za ochranu osobných údajov vo vašej spoločnosti tzv. DPO – Data Protection Officer,
  4. špecifikujte ako dlho uchovávate osobné údaje užívateľov.

4. Vopred zaškrtnuté checkboxy

Jedným z konkrétnych nariadení je, že všetky zaškrtávacie políčka tzv. checkboxy nesmú byť vo formulároch automaticky zaškrtnuté. Užívateľ ich musí zaškrtnúť dobrovoľne.

5. Profilovanie

Ak by e-shop pri svojej činnosti využíval profilovanie zákazníkov, ktoré sa bude robiť automatizovanou formou, musí sa v rámci GDPR zamerať aj na nové pravidlá pre profilovanie. Takéto profilovanie, ak je založené len na automatizovanom spracúvaní, je možné len s výslovným súhlasom jednotlivca, ktorý má byť súčasťou profilovania.

6. Zbierajte iba informácie, ktoré naozaj potrebujete

Odstráňte osobné údaje, ktoré už viac nepoužívate. Napríklad e-mailové adresy z newslettera, ktoré nie sú aktívne, ale aj samotné emailové správy s prílohami, ktoré obsahujú osobné údaje jednoducho vymažte.

7. Dajte ľuďom „právo byť zabudnutý“. Vymažte ich osobné údaje, ak o to požiadajú.

Vašim webom a eshopom to nekončí

Ak ste majiteľom web stránky, či eshopu, tak verte, že osobné údaje máte uložené aj na iných miestach, ako napríklad:

Dokumenty – Word, PDF dokumenty uložené vo Vašom PC a pod.
Úložiska a zálohy – počítače, prenosné zariadenia, USB disky, CD/DVD nosiče
Cloud  – Dropbox, Google Drive, Amazon S3
Intranet
Poštový klient spolu s prílohami – Thunderbird, Outlook, …
CRM systém
Nástroje na rozosielanie newsletterov: Mailchimp, Sendinblue, …
Sociálne siete
Komunikačné nástroje – Slack, Facebook Messenger, …
Plánovacie nástroje – Trello, Asana, …
Rezervačné nástroje – Eventbrite, Google Calendar, …

Aké sú sankcie?

Sankcie za porušenie pravidiel sa môžu vyšplhať až na 20 miliónov eur alebo do výšky 4 % z celosvetového obratu za minulú účtovné obdobie, a to podľa toho, ktorá suma je pre daného porušiteľa nariadenia vyššia.

Odporúčame sledovať

Tento článok ma informatívny charakter a odporúčam sledovať aj naďalej informácie, hlavne na týchto stránkach:

Úrad na ochranu osobných údajov

GDPR v online marketingu a e-commerce – veľmi dobrá stránka na Facebooku

GDPR.cz – český zdroj, bohužiaľ lepší slovenský som nenašiel

GDPR v online marketingu s príkladmi

 

GDPR príručky + praktický návod na prežitie pre eshopy

Ako je vaša firma pripravená na GDPR? Overte si to BEZPLATNE