Strašidlo GDPR a náš byznys

V posledních dnech se na nás obrátilo několik partnerů s dotazy ohledně směrnice EU o ochraně osobních dat (GDPR), která vstoupí v platnost 15.5.2018. Protože se tímto tématem samozřejmě také musíme zabývat, rozhodli jsme se, že vám nabídneme náš pohled na celou věc a pokusíme se snad i trochu pomoci s reálnou implementací pravidel. 

Celé téma je „evropsko-úřednicky“ rozsáhlé a zpracované tak, že jen důvodová zpráva k tématu má 176 paragrafů a samotné Nařízení pak celých 99 článků! Asi už jste četli o nesmyslných pokutách, které za neplnění Nařízení hrozí… Jsme si však téměř jisti, že kontrolováno bude, a to nejspíše jen na udání, právě to, zda máte všechny potřebné „papíry“ ve firmě správně sepsané. V současné době pracujeme s našimi IT a právní kanceláří na jejich precizním sestavení: jakmile budou hotovy, rádi vám je poskytneme – alespoň jako inspiraci. A také se na vás budeme nuceni obrátit, abyste nám potvrdili svůj – kdykoli odvolatelný – souhlas se zpracováním dat, která o vás a vaší firmě vedeme… 

Zatím se zdá, že podstatné budou tři okruhy:

1. použití dat, která máte o vašich zákaznících
Ta se dělí do dvou zásadních okruhů: zaprvé jsou to data, jejichž „zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na Žádost tohoto subjektu údajů“ (citace nařízení). Pro uchování a zpracování takových dat není žádný souhlas druhé strany potřeba. Při běžném zpracování zakázek (výroba razítek, vizitek…) tedy nemusíte nikoho žádat o nic.  
Pokud však takto získaná data chcete použít například pro další nabídky tomuto klientovi („subjekt údajů“), tak už jeho souhlas potřebujete. K nápadům jak to provést, se vrátíme v příští informaci, stejně jako k tomu, co bude potřeba dělat, pokud používáte naši aplikaci na www.razitko.cz.

2. uchování dat, která máte o vašich zákaznících
Tady bude základem úspěchu promyslet si dobře, kde a jak data uchováváte a mít k tomu „správně formulovanou“ firemní směrnici. Tuším, co si o tom myslíte, ale zodpovědností firmy bude, že data o klientech, která máte – ať už s jeho souhlasem nebo bez – neuniknou z vaší firmy a nebudou zneužita. Také musíte být schopni data o klientovi, která s jeho souhlasem uchováváte a zpracováváte, na jeho kdykoli projevené přání sumarizovat a sdělit mu je. Nebo je odstranit. I k tomu se vrátíme příkladem, jak si s tím poradí Megaflex.   

3. zacházení s osobními daty vlastních zaměstnanců
Tato oblast bude zřejmě hlavně otázkou dobrého promyšlení kde a jak nutná data uchovávat. A to jak digitální tak „papírová“. Zdá se, že postačí, mít je digitálně ochráněné dobrým zamezením přístupu nepovolaných osob jak ve firmě, tak hackerů zvenku. Papírové pracovní smlouvy a podobně, pak prostě ukládat do zamčených prostor a opět: mít popsaný rozumný postup, jak s daty zacházet.

Budeme rádi, když se ozvete, zda vás tato informace zaujala. Pokud ano, rádi se vámi podělíme o každý pokrok, který v této oblasti uděláme. Společně to zvládneme, žádný strach!