V květnu v Česku začalo platit nové evropské nařízení známé pod zkratkou GDPR a firmy se na něj stále dostatečně neadaptovaly. A i když jsou zatím úřady schovívavé, je jen otázkou času, kdy přiletí první pokuty. Úřad pro ochranu osobních údajů přitom může udělit pokutu až do výše 500 milionů korun.
Co je GDPR?
Udělejme si nejdříve malou rekapitulaci. Všichni dnes sdílíme obrovské množství osobních dat a často ani netušíme, kde, kdo, jak a proč s nimi pracuje. Do příchodu GDPR nařízení jste se například mohli ocitnout v situaci, kdy jste nakoupili zboží v internetovém obchodě, a ten následně uchovával po neomezenou dobu vaše osobní údaje, jako jsou bydliště, jméno a třeba i číslo platební karty. Často ani samotní prodejci netušili, proč, kde a jaké osobní údaje uchovávají.
Česká republika měla velkou výhodu, že měla v platnosti Zákon o ochraně osobních údajů (zákon č. 101/2000 Sb., o ochraně osobních údajů). Ten již upravoval řadu věcí a chránil tak celkem obstojně práva občanů na ochranu osobních údajů a také byl nástrojem, jak zabránit firmám zasílat velké množství nevyžádaných nabídek (spamovat). Směrnice EU (General Data Protection Regulation), kterou všichni označujeme jako GDPR, tento zákon nahradila a podstatně tím zjednodušila situaci nejen v celém evropském prostoru.
Nařízení je tak podrobné, že jej za své přijali i internetoví giganti, jako jsou Google či Facebook, a začali podle něj pracovat i v dalších zemích, jako například USA.
Co GDPR nařízení znamená pro firmy?
Pojďme se teď přenést do praxe. Pro firmy to znamená 5 následujících bodů, které souvisí s ochranou osobních údajů. Pokud si na ně zodpovíte a zpracujete pro vaše zaměstnance manuál či směrnici, měli byste mít z půlky vyhráno.
- Jak nakládám s osobními údaji zaměstnanců
- Jak nakládám s údaji zákazníků
- Jak a po jakou dobu údaje uchovávám
- Jak reaguji na požadavky úřadů a zákazníků k ochraně osobních údajů
- Jak získávám souhlas ke zpracování OÚ
První bod do jisté míry upravují další zákony, které například nařizují po jak dlouhou dobu máte ukládat údaje o mzdách. Neměli byste však tyto údaje uchovávat déle, než vám ukládá zákonná povinnost. Dále nemůžete bez písemného souhlasu zaměstnanců například zveřejňovat jejich osobní údaje (včetně fotografií) na firemní webové stránky a sociální sítě.
V druhém bodě se zaměřte především na to, kde a proč osobní údaje uchováváte. Vyhněte se (pokud to jen trochu jde) písemným seznamům s osobními údaji – s kterými je největší práce z důvodů bezpečného uchovávání a nutného doložení informace o skartování.
Dále osobní údaje anonymizujte a šifrujte. Například jméno “Petr Novák” není samo o sobě citlivým osobní údajem, stejně jako e-mailová adresa. Ani v jednom případě totiž nelze určit nositel či vlastník. V každé firmě by již mělo být samozřejmostí šifrování posílaných dat a bezpečná správa serverů a úložišt.
Třetí bod je zřejmě nejdiskutovanější. GDPR totiž přesně nespecifikuje termíny, po jak dlouhou dobu můžete data uchovávat. V každé zemi i firmě se toto totiž může lišit. Proto je zde uvedeno po dobu nezbytně nutnou. V případě využití OÚ v marketingu doporučujeme navázat délku uchování kontaktu na zákaznický cyklus. Pokud od vás zákazník nakoupil autorádio, těžko u úřadu obstojíte v situaci, kdy osobní údaj budete uchovávat ještě za 20 let.
Nezapomeňte také stanovit, jak reagujete na požadavky zákazníků i úřadů, protože dle GDPR nařízení máte povinnost umožnit zákazníkům zjistit, jaké údaje o něm právě teď uchováváte a z jakých důvodů (zákonné účely, reklamní a obchodní účely atd.).
Stanovte si, jak získáváte souhlas s uchováním a zpracováním osobních údajů, a toto striktně dodržujte. Jakmile si na výše zmíněné body zvyknete, je po starostech. Navíc existují technická a softwarová řešení, která vám s tím pomohou.
Navažte GDPR na váš interní systém
Pokud nejste opravdu malá firma, které stačí pro správu osobních údajů šuplík na účetnictví, druhý šuplík na vizitky a jedna excelová tabulka, doporučujeme vše provázat s vaším interním systémem. Příkladem může být navázání osobních údajů přímo do vašich ERP systémů a CRM systémů.
Ve vašem ERP systému lze správně a v souladu spravovat údaje vašich obchodních partnerů a zaměstnanců. Ve správně zvoleném CRM systému pak můžete uchovávat údaje zákazníků podle požadavků GDPR nařízení.
Ověřte si výběr správného software
Ne každý CRM či ERP software v současnosti splňuje podmínky GDPR nařízení. I proto Asociace za zlepšení ICT řešení přišla s ucelenými přehledy softwarových programů, které si tak můžete porovnat na jednom místě. Tyto informace naleznete na webové stránce této obecně prospěšné společnosti – www.lepsi-reseni.cz