Shoptet Podpora logo
Shoptet PodporaZačínámeÚvodní nastavení e-shopuGDPR – checklist potřebných opatření
Obsah článku
  1. GDPR checklist
    1. Mají ve firmě k osobním údajům přístup i jiní lidé než já?
    2. Mám zmapovaná všechna riziková místa, kudy by mohla osobní data z naší firmy uniknout?
    3. Mám pracovní počítače zabezpečené proti ztrátě nebo zničení dat (zálohy, antivirový program, šifrování)?
    4. Ukládám osobní údaje na vlastním serveru?
    5. Ukládám osobní údaje v cloudu (poskytovatel cloudu je zpracovatelem osobních údajů)?
    6. Ukládám osobní údaje v listinné podobě (skříně, šanony)?
    7. Předávám osobní údaje jiným subjektům, aby je pro mě zpracovávali (účetní, dopravce)?
    8. Informuji subjekt údajů např. v obchodních podmínkách nebo na webových stránkách o zpracování osobních údajů podle GDPR?
    9. Zpracovávám osobní údaje potenciálních zákazníků pro účely marketingu?
    10. Zpracovávám osobní údaje stávajících zákazníků pro účely marketingu?
    11. Provádím profilování zákazníků?
  2. Upozornění

GDPR – checklist potřebných opatření

V úvodní části jsme popsali základní informace o GDPR. V určení potřebných opatření ve vaší firmě může pomoci následující jednoduchý checklist.

Jde o logický proces, kdy si zmapujete, kudy a jak putují osobní data, která spravujete. Ať už vaše, vašich zaměstnanců, zákazníků nebo návštěvníků. Všechny podklady pro tyto body byste měli mít archivované a doložitelné pro případné kontroly ze strany ÚOOÚ.

GDPR checklist

Mají ve firmě k osobním údajům přístup i jiní lidé než já?

ANO – NE

Pokud ANO, tak pečlivě zmapujte a popište, kdo z vašich zaměstnanců, kde a ke kterým datům přistupuje. Nejde jen o online, ale i o fyzický přístup. Zrevidujte, jestli je opravdu nutné, aby měli tito zaměstnanci ke všem datům přístup ve stejném rozsahu jako teď.

Pro přípravu mapy a vizualizaci toho, kdo z vašich zaměstnanců má přístup ke kterým datům, můžete použít služby na tvorbu tzv. "mind map" (např. Coggle).

Mám zmapovaná všechna riziková místa, kudy by mohla osobní data z naší firmy uniknout?

ANO – NE

Pokud NE, připravte si tabulku, kde zanalyzujete jednotlivé aktivity, které se provádí s osobními daty. Například zpracování faktur účetní, e-mailová komunikace, notebooky, hosting a další. Sepište kategorie subjektů a osobních údajů a účel zpracování osobních dat a odhadněte možná rizika jejich úniku – například jako "nízké", "střední", "vysoké".

Pro přípravu seznamu postačí vytvořit jednoduchý Excel dokument.

Mám pracovní počítače zabezpečené proti ztrátě nebo zničení dat (zálohy, antivirový program, šifrování)?

ANO – NE

Pokud NE, přijměte taková opatření, aby ke ztrátě nebo zničení dat nemohlo dojít. 

Výběr vhodného antiviru, zaktivování firewallu a zavedení procesu pravidelného zálohování dat (na externím uložišti) může pomoct nejen ochránit data vašich klientů, ale navíc i zachránit vaši každodenní práci a zvýšit vaši vlastní bezpečnost. Soubory nebo disky můžete i šifrovat, ale není to povinné.

Ukládám osobní údaje na vlastním serveru?

Mám počítače zabezpečené proti přístupu neoprávněných osob (logy, hesla, uzamykatelné prostory)?

ANO – NE

Pokud NE, přijměte patřičná opatření.

Začněte používat správce hesel, například 1Password, na úschovu hesel. Nepoužívejte jednoduchá nebo stejná hesla. Zajistěte, že k místům, kde máte uložený server, nemají přístup neoprávněné osoby. A že ty, co tam přístup mají mít, jsou poučené o zásadách bezpečnosti. Zajistěte, aby byla tyto místa uzamykatelná.

Ukládám osobní údaje v cloudu (poskytovatel cloudu je zpracovatelem osobních údajů)?

Mám uzavřenou zpracovatelskou smlouvu s poskytovatelem cloudu?

ANO – NE

Pokud NE, uzavřete s poskytovatelem cloudu zpracovatelskou smlouvu (článek 28 GDPR). Velcí poskytovatelé budou mít zpracovatelskou smlouvu zveřejněnou na svém webu.

Zpracovatelskou smlouvu mezi Shoptetem a vámi si můžete vytisknout v naší proklamaci Podmínek ochrany osobních údajů (jedná se o bod II.). Podobnou smlouvu byste měli mít se všemi online službami, kam vkládáte osobní data svých zaměstnanců, návštěvníků nebo zákazníků.

Ukládám osobní údaje v listinné podobě (skříně, šanony)?

Mám místnost/skříň zabezpečenou proti přístupu neoprávněných osob (bezpečnostní klíče, zámky, uzamykatelné prostory)?

ANO – NE

Pokud NE, přijměte patřičná opatření.

Citlivé dokumenty jako jsou pracovní smlouvy, mzdové výměry, dohody s kontraktory nebo smlouvy se zákazníky byste měli mít v uzamykatelné místnosti nebo skříni/trezoru. Je bezpečnější skartovat ty dokumenty, o kterých 100% víte, že je už nebudete potřebovat, pokud nemáte podle právního předpisu povinnost tyto dokumenty uchovávat (účetní doklady, evidenční listy apod.).

Předávám osobní údaje jiným subjektům, aby je pro mě zpracovávali (účetní, dopravce)?

ANO – NE

Pokud ANO, mám s nimi uzavřenou zpracovatelskou smlouvu?

ANO – NE

Pokud NE, uzavřete s nimi zpracovatelskou smlouvu (článek 28 GDPR). Velcí poskytovatelé budou mít pro vás smlouvu připravenou. Vyžádejte si ji a projděte, jestli vyhovuje vašim potřebám. Pokud ne, měli byste požádat o úpravy smlouvy.

Informuji subjekt údajů např. v obchodních podmínkách nebo na webových stránkách o zpracování osobních údajů podle GDPR?

ANO – NE

Pokud NE, sdělte zákazníkovi informace podle článku 13 nebo článku 14 GDPR.

Nechte si vaše Všeobecné obchodní podmínky zkontrolovat nebo doplnit právníkem, abyste měli jistotu, že je všechno v pořádku. Můžete použít i náš vzor na podmínky ochrany osobních údajů, ale i tak je třeba doplnit je podle vaší situace a nechat zkontrolovat. Vzor najdete v Shoptet Univerzitě v sekci E-shop a právo (jedná se o ikonku čapky v horní liště vašeho e-shopu). 

Zpracovávám osobní údaje potenciálních zákazníků pro účely marketingu?

ANO – NE

Pokud ANO, je souhlas s marketingem v souladu s GDPR?

Pokud NE, vložte do svých Pravidel ochrany osobních údajů souhlas zákazníka s marketingem podle GDPR (článek 4 bod 11 a článek 7 GDPR) a zajistěte souhlas zákazníka s těmito podmínkami. U objednávky budete mít zaškrtávací políčko pro všeobecné obchodní podmínky a vedle toho zaškrtávací políčko pro pravidla ochrany osobních údajů.

Pamatujte na to, že osobní údaje sloužící pro předávání marketingových sdělení, by měly být předané vždy dobrovolně a vědomě. Nenakupujte rozesílky nebo kontaktní údaje od prodejců, u kterých 100% nevíte, že tak činí se souhlasem svých zákazníků.

Zpracovávám osobní údaje stávajících zákazníků pro účely marketingu?

Zasílám stávajícím zákazníkům newslettery?

ANO – NE

Pokud ANO, dávám zákazníkům možnost odhlášení odběru v každém e-mailu?

ANO – NE

Pokud NE, vložte do každého e-mailu možnost odhlásit se z odběru. Je to ve výchozím stavu v patičce každé větší e-mailingové služby, například Mailchimpu.

Pamatujte na to, že odhlášení z newsletteru by nemělo být podmíněné žádným složitým úkonem. Mělo by to být možné na jedno kliknutí s okamžitou platností.

Provádím profilování zákazníků?

ANO – NE

Pokud ANO, je souhlas s profilováním v souladu s GDPR?

ANO – NE

Pokud NE, vložte do svých Pravidel ochrany osobních údajů souhlas zákazníka s profilováním podle GDPR (článek 4 bod 11 a článek 7 GDPR) a zajistěte souhlas zákazníka s těmito podmínkami. U objednávky budete mít zaškrtávací políčko pro všeobecné obchodní podmínky a vedle toho zaškrtávací políčko pro pravidla ochrany osobních údajů.

Profilováním zákazníků se myslí marketingové selektování celé skupiny zákazníků na jednotlivé segmenty, například podle určitého chování na webu nebo při nákupu.

Upozornění

Tento checklist je orientační a jeho cílem je nastínit vám spektrum věcí, které byste měli mít pod kontrolou. Nezaručuje 100% pokrytí a řešení všech potřebných kroků k ochraně osobních dat pro všechny e-shopaře. Máte-li další otázky, kontaktujte například specialistu na ochranu osobních údajů.

Další články z kategorie