V úvodní části jsme popsali základní informace o GDPR. V určení potřebných opatření ve vaší firmě může pomoci následující jednoduchý checklist.
Jde o logický proces, kdy si zmapujete, kudy a jak putují osobní data, která spravujete. Ať už vaše, vašich zaměstnanců, zákazníků nebo návštěvníků. Všechny podklady pro tyto body byste měli mít archivované a doložitelné pro případné kontroly ze strany ÚOOÚ.
ANO – NE
Pokud ANO, tak pečlivě zmapujte a popište, kdo z vašich zaměstnanců, kde a ke kterým datům přistupuje. Nejde jen o online, ale i o fyzický přístup. Zrevidujte, jestli je opravdu nutné, aby měli tito zaměstnanci ke všem datům přístup ve stejném rozsahu jako teď.
Pro přípravu mapy a vizualizaci toho, kdo z vašich zaměstnanců má přístup ke kterým datům, můžete použít služby na tvorbu tzv. "mind map" (např. Coggle).
ANO – NE
Pokud NE, připravte si tabulku, kde zanalyzujete jednotlivé aktivity, které se provádí s osobními daty. Například zpracování faktur účetní, e-mailová komunikace, notebooky, hosting a další. Sepište kategorie subjektů a osobních údajů a účel zpracování osobních dat a odhadněte možná rizika jejich úniku – například jako "nízké", "střední", "vysoké".
Pro přípravu seznamu postačí vytvořit jednoduchý Excel dokument.
ANO – NE
Pokud NE, přijměte taková opatření, aby ke ztrátě nebo zničení dat nemohlo dojít.
Výběr vhodného antiviru, zaktivování firewallu a zavedení procesu pravidelného zálohování dat (na externím uložišti) může pomoct nejen ochránit data vašich klientů, ale navíc i zachránit vaši každodenní práci a zvýšit vaši vlastní bezpečnost. Soubory nebo disky můžete i šifrovat, ale není to povinné.
Mám počítače zabezpečené proti přístupu neoprávněných osob (logy, hesla, uzamykatelné prostory)?
ANO – NE
Pokud NE, přijměte patřičná opatření.
Začněte používat správce hesel, například 1Password, na úschovu hesel. Nepoužívejte jednoduchá nebo stejná hesla. Zajistěte, že k místům, kde máte uložený server, nemají přístup neoprávněné osoby. A že ty, co tam přístup mají mít, jsou poučené o zásadách bezpečnosti. Zajistěte, aby byla tyto místa uzamykatelná.
Mám uzavřenou zpracovatelskou smlouvu s poskytovatelem cloudu?
ANO – NE
Pokud NE, uzavřete s poskytovatelem cloudu zpracovatelskou smlouvu (článek 28 GDPR). Velcí poskytovatelé budou mít zpracovatelskou smlouvu zveřejněnou na svém webu.
Zpracovatelskou smlouvu mezi Shoptetem a vámi si můžete vytisknout v naší proklamaci Podmínek ochrany osobních údajů (jedná se o bod II.). Podobnou smlouvu byste měli mít se všemi online službami, kam vkládáte osobní data svých zaměstnanců, návštěvníků nebo zákazníků.
Mám místnost/skříň zabezpečenou proti přístupu neoprávněných osob (bezpečnostní klíče, zámky, uzamykatelné prostory)?
ANO – NE
Pokud NE, přijměte patřičná opatření.
Citlivé dokumenty jako jsou pracovní smlouvy, mzdové výměry, dohody s kontraktory nebo smlouvy se zákazníky byste měli mít v uzamykatelné místnosti nebo skříni/trezoru. Je bezpečnější skartovat ty dokumenty, o kterých 100% víte, že je už nebudete potřebovat, pokud nemáte podle právního předpisu povinnost tyto dokumenty uchovávat (účetní doklady, evidenční listy apod.).
ANO – NE
Pokud ANO, mám s nimi uzavřenou zpracovatelskou smlouvu?
ANO – NE
Pokud NE, uzavřete s nimi zpracovatelskou smlouvu (článek 28 GDPR). Velcí poskytovatelé budou mít pro vás smlouvu připravenou. Vyžádejte si ji a projděte, jestli vyhovuje vašim potřebám. Pokud ne, měli byste požádat o úpravy smlouvy.
ANO – NE
Pokud NE, sdělte zákazníkovi informace podle článku 13 nebo článku 14 GDPR.
Nechte si vaše Všeobecné obchodní podmínky zkontrolovat nebo doplnit právníkem, abyste měli jistotu, že je všechno v pořádku. Můžete použít i náš vzor na podmínky ochrany osobních údajů, ale i tak je třeba doplnit je podle vaší situace a nechat zkontrolovat. Vzor najdete v Shoptet Univerzitě v sekci E-shop a právo (jedná se o ikonku čapky v horní liště vašeho e-shopu).
ANO – NE
Pokud ANO, je souhlas s marketingem v souladu s GDPR?
Pokud NE, vložte do svých Pravidel ochrany osobních údajů souhlas zákazníka s marketingem podle GDPR (článek 4 bod 11 a článek 7 GDPR) a zajistěte souhlas zákazníka s těmito podmínkami. U objednávky budete mít zaškrtávací políčko pro všeobecné obchodní podmínky a vedle toho zaškrtávací políčko pro pravidla ochrany osobních údajů.
Pamatujte na to, že osobní údaje sloužící pro předávání marketingových sdělení, by měly být předané vždy dobrovolně a vědomě. Nenakupujte rozesílky nebo kontaktní údaje od prodejců, u kterých 100% nevíte, že tak činí se souhlasem svých zákazníků.
Zasílám stávajícím zákazníkům newslettery?
ANO – NE
Pokud ANO, dávám zákazníkům možnost odhlášení odběru v každém e-mailu?
ANO – NE
Pokud NE, vložte do každého e-mailu možnost odhlásit se z odběru. Je to ve výchozím stavu v patičce každé větší e-mailingové služby, například Mailchimpu.
Pamatujte na to, že odhlášení z newsletteru by nemělo být podmíněné žádným složitým úkonem. Mělo by to být možné na jedno kliknutí s okamžitou platností.
ANO – NE
Pokud ANO, je souhlas s profilováním v souladu s GDPR?
ANO – NE
Pokud NE, vložte do svých Pravidel ochrany osobních údajů souhlas zákazníka s profilováním podle GDPR (článek 4 bod 11 a článek 7 GDPR) a zajistěte souhlas zákazníka s těmito podmínkami. U objednávky budete mít zaškrtávací políčko pro všeobecné obchodní podmínky a vedle toho zaškrtávací políčko pro pravidla ochrany osobních údajů.
Profilováním zákazníků se myslí marketingové selektování celé skupiny zákazníků na jednotlivé segmenty, například podle určitého chování na webu nebo při nákupu.
Tento checklist je orientační a jeho cílem je nastínit vám spektrum věcí, které byste měli mít pod kontrolou. Nezaručuje 100% pokrytí a řešení všech potřebných kroků k ochraně osobních dat pro všechny e-shopaře. Máte-li další otázky, kontaktujte například specialistu na ochranu osobních údajů.