Každá firma zpracovávající osobní údaje by měla mít interní směrnice pro GDPR

Pokud hledáte na internetu vzorové interní směrnice pro GDPR, těžko najdete takovou, která bude odpovídat přesně vašim potřebám. Každá firma je jiná a jinak nakládá s osobními údaji.

 

Základem je udělat si jasno (nejlépe sepsat), jaká data jsou shromažďována, jak jsou chráněna a kdo k nim má přístup a kdo odpovídá za veškeré související procesy. Až budete směrnici sepisovat, nezapomeňte uvést: Podle jakého zákona (nařízení) je tvořena, od kdy je směrnice platná, jak se nakládá s daty s osobními údaji ve vaší firmě (jak jsou data pořizována, zpracovávána a ukládána). Důležité je uvést způsob ochrany a zabezpečení dat jak elektronických, tak tištěných. Směrnice by také měla obsahovat zásady bezpečnostních principů pro práci s daty. Určitě nesmíte zapomenout určit odpovědné osoby, osoby, které s daty nakládají a zpracovávají je včetně osob i firem externích, které na základě smlouvy pro vás data s osobními údaji zpracovávají. Každá směrnice také musí obsahovat ustanovení, kdo směrnici vydává a schvaluje.

Je pochopitelné, že pro mnohé menší a středně velké firmy je časově náročné podrobně studovat veškeré náležitosti související s GDPR. Takovýmto firmám se určitě vyplatí poradit se s odborníky a vyřešit otázku GDPR bez zbytečných starostí. Mezi společnosti, které nabízej pomoc nejen s vytvořením vnitrofiremních směrnic, ale i s kompletním zavedením GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

http://dataosobni.cz/2018/08/16/kazda-firma-zpracovavajici-osobni-udaje-by-mela-mit-interni-smernice-pro-gdpr/

GDPR nařízení je již několik měsíců v platnosti

Ptáte se, co je GDPR směrnice a na koho se vztahuje? Jedná se o výsledek jednání orgánů Evropské unie, proto se dotýká firem po celé EU. Vztahuje se však rovněž na společnosti, které v unii pouze působí a zpracovávají data jejích obyvatel. O osobní informace tady totiž jde. GDPR nařízení je určené všem firmám, které nějakým způsobem pracují s citlivými daty zákazníků, zaměstnanců, dodavatelů apod. A to dělají téměř všechny korporace. Samozřejmě existují výjimky. Od pravidel jsou oproštěny drobné firmy do 250 zaměstnanců, jestliže není zpracování osobních údajů jejich hlavní činností a splňují další předpisy. Kdo si není jistý, zda pod takovou výjimku spadá, nebo musí naopak začít GDPR řešit, měl by se co nejdříve obrátit na profesionály. Odborný GDPR audit napoví.

A co když firma GDPR směrnici nedodrží?

EU hrozí vysokými pokutami až do výše 20 000 000 eur či 4 % z ročního obratu společnosti. Vše však závisí na závažnosti i délce porušení, počtu poškozených občanů a dalších kritériích. Sankce určitě nebudou tak vysoké, pokud se firma aspoň nějakým způsobem vynasnaží nařízení dodržovat. Po pravdě řečeno to vypadá, že se výší pokut ohání pouze GDPR konzultanti, kteří chtějí lidi vystrašit, a získat si tím zákazníky. Z GDPR nařízení mít strach nemusíte. Nenechte se vystrašit, vždyť s nařízením se potýká spousta firem. Na internetu také najdete mnoho článků. Může vám také pomoci GDPR audit vzor, který vás jednotlivými základními kroky auditu provede.

Co je GDPR?

O GDPR (General Data Protection Regulation – obecné nařízení o ochraně osobních údajů) se mluví dlouho. Jedná se o novou legislativu EU, která si klade za cíl zvýšit ochranu osobních dat. Schválena byla už v dubnu roku 2016 a vešla v platnost přesně 25. 5. 2018. Jste na GDPR nařízení již připraveni?

Co je potřeba změnit?

Nenechte se vyděsit, spoustu věcí, o nichž GDPR nařízení mluví, už nejspíš děláte. Mnoho jich je ale nových. Asi nejdůležitější změnou je, že lidé musí mít přístup k informacím, které o nich uchováváte, a mohou kdykoliv požádat, abyste je uchovávat přestali, když už k tomu není žádný důvod. Zajímavostí je nutnost nahlásit každé odcizení údajů nejpozději do 72 hodin, a to jak Úřadu pro ochranu osobních údajů, tak majitelům těchto informací. Díky tomu už se nebude stávat, že se o odcizení dat dozvíme s několika ročním zpožděním, jako tomu bylo například u Yahoo.

Využijte GDPR auditu od certifikované osoby

Ne každý má po ruce nebo ve své firmě specializovaného právníka na tuto problematiku, aby mu pomohl popasovat se s nařízením GDPR. Pakliže k takovým lidem patříte i vy sami, nezoufejte, protože máte příležitost upotřebit odborných konzultací s externími specialisty. Ti vám mohou nabídnout široké portfolio služeb:

  • GDPR datový audit,
  • audit kodexu,
  • kompletní GDPR audit.

Dozvíte se vše potřebné a naučíte se pracovat s osobními údaji jako s celkem. K tomu lze samozřejmě využít i speciálních IT systému, jejichž pořízení a zavádění vás pravděpodobně nemine.

Nepodceňujte důležitost GDPR nařízení, protože jakékoliv vyhýbání se této povinnosti po 25. květnu 2018 bude spojeno se sankčními pokutami. Ba co více, nedodržování a zanedbání ochrany osobních údajů se může stát dokonce i trestným činem. Připravte se na nařízení Evropského parlamentu a Rady o ochraně fyzických osob.

Jak získat e-mail na zasílání newsletterů podle GDPR?

Abychom mohli zasílat prostřednictvím e-mailu newslettery, potřebujeme mít právní důvod ke zpracování e-mailu jako osobního údaje.

 

Jestliže zasíláme newsletter našemu zákazníkovi, se kterým máme obchodní vztah, a nabízíme mu související produkty, jedná se o zákonný důvod k zasílání newsletterů. Pokud ale jiný zákonný důvod nemáme, musíme mít souhlas.

Je důležité si uvědomit, že souhlas musí být dobrovolný a musí obsahovat informace, které osobní údaje jsou shromažďovány, kdo je zpracovává a za jakým účelem a po jak dlouhou dobu. Subjekt údajů (člověk, jehož osobní údaje jsou zpracovávány) musí být také informován o svých právech.

Dobrovolný souhlas znamená, že poskytnutí služby nesmí být podmíněno souhlasem se zasíláním newsletterů. Stejně platí, že za neposkytnutí souhlasu nesmí být subjekt údajů trestán. Ale platí, že za poskytnutí souhlasu může být subjekt údajů odměněn. Právě toho lze v marketingové praxi využít. Například: nabízím e-book za peníze, ale při poskytnutí e-mailu pro zasílání newsletterů je e-book zdarma. Nebo: nabízím slevu na příští nákup, pokud bude poskytnut e-mail pro zasílání newsletterů. Způsobů, jak získat dobrovolný souhlas za odměnu, je určitě mnoho. Pozor ale na tenkou hranici mezi odměnou a podmíněním souhlasu.

Pokud si nevíte rady, jakým způsobem získat souhlas k zasílání newsletterů, poraďte ve společnosti ANERI s.r.o. Marketingoví odborníci agentury ANERI jsou proškoleni v otázkách GDPR, a tak i vám určitě pomohou najít zákonný způsob, jak získat souhlas k zasílání newsletterů.

http://dataosobni.cz/povinnosti/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/2018/07/18/jak-ziskat-e-mail-na-zasilani-newsletteru-podle-gdpr/