V úvodní části jsme popsali základní informace o GDPR. V určení potřebných opatření ve vaší firmě může pomoci následující jednoduchý checklist.
Jde o logický proces, kdy si zmapujete, kudy a jak putují osobní data, která spravujete. Ať už vaše, vašich zaměstnanců, zákazníků nebo návštěvníků. Všechny podklady pro tyto body byste měli mít archivované a doložitelné pro případné kontroly ze strany ÚOOÚ.
Obsah:
GDPR checklist
Mají ve firmě k osobním údajům přístup i jiní lidé než já?
ANO – NE
Pokud ANO, tak pečlivě zmapujte a popište, kdo z vašich zaměstnanců kde a ke kterým datům přistupuje. Nejde jen o online, ale i o fyzický přístup. Zrevidujte, jestli je opravdu nutné, aby měli tito zaměstnanci ke všem datům přístup ve stejném rozsahu jako teď.
| Pro přípravu mapy a vizualizaci toho, kdo z vašich zaměstnanců má přístup ke kterým datům, můžete použít služby na tvorbu tzv. "mind map" (např. Coggle). |
Mám zmapovaná všechna riziková místa, kudy by mohla osobní data z naší firmy uniknout?
ANO – NE
Pokud NE, připravte si tabulku, kde zanalyzujete jednotlivé aktivity, které se provádí s osobními daty. Například zpracování faktur účetní, e-mailová komunikace, notebooky, hosting a další. Sepište kategorie subjektů a osobních údajů a účel zpracování osobních dat a odhadněte možná rizika jejich úniku – například jako "nízké", "střední", "vysoké".
| Pro přípravu seznamu postačí vytvořit jednoduchý Excel dokument. |
Mám pracovní počítače zabezpečené proti ztrátě nebo zničení dat (zálohy, antivirový program, šifrování)?
ANO – NE
Pokud NE, přijměte taková opatření, aby ke ztrátě nebo zničení dat nemohlo dojít.
| Výběr vhodného antiviru, zaktivování firewallu a zavedení procesu pravidelného zálohování dat (na externím uložišti) může pomoct nejen ochránit data vašich klientů, ale navíc i zachránit vaši každodenní práci a zvýšit vaši vlastní bezpečnost. Soubory nebo disky můžete i šifrovat, ale není to povinné. |
Ukládám osobní údaje na vlastním serveru?
Mám počítače zabezpečené proti přístupu neoprávněných osob (logy, hesla, uzamykatelné prostory)?
ANO – NE
Pokud NE, přijměte patřičná opatření.
| Začněte používat správce hesel, například LastPass, na úschovu hesel. Nepoužívejte jednoduchá nebo stejná hesla. Zajistěte, že k místům, kde máte uložený server, nemají přístup neoprávněné osoby. A že ty, co tam přístup mají mít, jsou poučené o zásadách bezpečnosti. Zajistěte, aby byla tyto místa uzamykatelná. |
Ukládám osobní údaje v cloudu (poskytovatel cloudu je zpracovatelem osobních údajů)?
Mám uzavřenou zpracovatelskou smlouvu s poskytovatelem cloudu?
ANO – NE
Pokud NE, uzavřete s poskytovatelem cloudu zpracovatelskou smlouvu (článek 28 GDPR). Velcí poskytovatelé budou mít zpracovatelskou smlouvu zveřejněnou na svém webu.
| Zpracovatelskou smlouvu mezi Shoptetem a vámi si můžete vytisknout v naší proklamaci Podmínek ochrany osobních údajů (jedná se o bod II.). Podobnou smlouvu byste měli mít se všemi online službami, kam vkládáte osobní data svých zaměstnanců, návštěvníků nebo zákazníků. |
Ukládám osobní údaje v listinné podobě (skříně, šanony)?
Mám místnost/skříň zabezpečenou proti přístupu neoprávněných osob (bezpečnostní klíče, zámky, uzamykatelné prostory)?
ANO – NE
Pokud NE, přijměte patřičná opatření.
| Citlivé dokumenty jako jsou pracovní smlouvy, mzdové výměry, dohody s kontraktory nebo smlouvy se zákazníky byste měli mít v uzamykatelné místnosti nebo skříni/trezoru. Je bezpečnější skartovat ty dokumenty, o kterých 100% víte, že je už nebudete potřebovat, pokud nemáte podle právního předpisu povinnost tyto dokumenty uchovávat (účetní doklady, evidenční listy apod.). |
Předávám osobní údaje jiným subjektům, aby je pro mě zpracovávali (účetní, dopravce)?
ANO – NE
Pokud ANO, mám s nimi uzavřenou zpracovatelskou smlouvu?
ANO – NE
Pokud NE, uzavřete s nimi zpracovatelskou smlouvu (článek 28 GDPR). Velcí poskytovatelé budou mít pro vás smlouvu připravenou. Vyžádejte si ji a projděte, jestli vyhovuje vašim potřebám. Pokud ne, měli byste požádat o úpravy smlouvy.
Informuji subjekt údajů např. v obchodních podmínkách nebo na webových stránkách o zpracování osobních údajů podle GDPR?
ANO – NE
Pokud NE, sdělte zákazníkovi informace podle článku 13 nebo článku 14 GDPR.
| Nechte si vaše Všeobecné obchodní podmínky zkontrolovat nebo doplnit právníkem, abyste měli jistotu, že je všechno v pořádku. Můžete použít i náš vzor na podmínky ochrany osobních údajů, ale i tak je třeba doplnit je podle vaší situace a nechat zkontrolovat. |
Zpracovávám osobní údaje potenciálních zákazníků pro účely marketingu?
ANO – NE
Pokud ANO, je souhlas s marketingem v souladu s GDPR?
Pokud NE, vložte do svých Pravidel ochrany osobních údajů souhlas zákazníka s marketingem podle GDPR (článek 4 bod 11 a článek 7 GDPR) a zajistěte souhlas zákazníka s těmito podmínkami. U objednávky budete mít zaškrtávací políčko pro všeobecné obchodní podmínky a vedle toho zaškrtávací políčko pro pravidla ochrany osobních údajů.
| Pamatujte na to, že osobní údaje sloužící pro předávání marketingových sdělení, by měly být předané vždy dobrovolně a vědomě. Nenakupujte rozesílky nebo kontaktní údaje od prodejců, u kterých 100% nevíte, že tak činí se souhlasem svých zákazníků. |
Zpracovávám osobní údaje stávajících zákazníků pro účely marketingu?
Zasílám stávajícím zákazníkům newslettery?
ANO – NE
Pokud ANO, dávám zákazníkům možnost odhlášení odběru v každém e-mailu?
ANO – NE
Pokud NE, vložte do každého e-mailu možnost odhlásit se z odběru. Je to ve výchozím stavu v patičce každé větší e-mailingové služby, například Mailchimpu.
| Pamatujte na to, že odhlášení z newsletteru by nemělo být podmíněné žádným složitým úkonem. Mělo by to být možné na jedno kliknutí s okamžitou platností. |
Provádím profilování zákazníků?
ANO – NE
Pokud ANO, je souhlas s profilováním v souladu s GDPR?
ANO – NE
Pokud NE, vložte do svých Pravidel ochrany osobních údajů souhlas zákazníka s profilováním podle GDPR (článek 4 bod 11 a článek 7 GDPR) a zajistěte souhlas zákazníka s těmito podmínkami. U objednávky budete mít zaškrtávací políčko pro všeobecné obchodní podmínky a vedle toho zaškrtávací políčko pro pravidla ochrany osobních údajů.
| Profilováním zákazníků se myslí marketingové selektování celé skupiny zákazníků na jednotlivé segmenty, například podle určitého chování na webu nebo při nákupu. |
Upozornění
Tento checklist je orientační a jeho cílem je nastínit vám spektrum věcí, které byste měli mít pod kontrolou. Nezaručuje 100% pokrytí a řešení všech potřebných kroků k ochraně osobních dat pro všechny e-shopaře. Máte-li další otázky, kontaktujte například specialistu na ochranu osobních údajů.