Co je to GDPR?
Osobní údaje jsou jedinečnými informacemi o každém z nás a proto je důležité zabránit jejich zneužití a zacházet s nimi opatrně. Zejména kvůli velkému technologickému pokroku a snaze sjednotit právní úpravu ochrany osobních údajů ve všech členských státech Evropské unie 25.května 2018 nabyde účinnosti nové nařízení Evropského parlamentu a Rady č.2016/679 (angl. General Data Protection Regulation neboli GDPR). Toto nařízení se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.
Nařízení s sebou přinese rovnocennou vymahatelnost práva v celé EU, stejné sankce a mnohem těsnější spolupráci dozorových orgánů. GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Lidem, jejichž osobní údaje jsou zpracovávány také přibudou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody, nebo o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu. Občan by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být ideálně přímý a online. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování. V případě porušení GDPR firmám hrozí velmi vysoké pokuty.
Jak uchovávat osobní údaje uživatelů?
„Poté, co došlo k odsouhlasení směrnice GDPR jsem čekal, že se někde objeví jasné a srozumitelné pokyny pro malé podnikatele, jak s tímto nařízením naložit. Bohužel, nařízení je napsáno tak obecně, že si jej každý vykládá úplně jinak. Jako jednatel firmy mám ale odpovědnost za to, že budeme k GDPR přistupovat správně, a že budeme s osobními daty nakládat tak, jak se má.
Nebudeme se zde věnovat celé problematice ochrany osobních údajů, která zahrnuje zabezpečení dat, smluvní zavázání dalších zpracovatelů u uživatelů a podobně. Zaměříme se na samotné zpracovávání dat. Našli jsme několik oblastí zpracování osobních údajů, která se zdají být základem, na kterém jde dále stavět.“
První oblastí je zjištění, jaká data vůbec o uživatelích zpracováváme a jaké jsou zdroje, kde data získáváme. Ač se to nezdá, tak i malá firma má překvapivě hodně zdrojů dat. Může jít o vlastní web nebo e-shop, e-maily, telefony, sms, sociální sítě, livechat na webu, data z osobní a písemné komunikace s klienty i zaměstnanci, smlouvy, účetní doklady...
Druhou oblastí je důvod, proč který údaj zpracováváme a jak dlouho jej potřebujeme. Důvody mohou být dány ze zákona nebo ze smluvního vztahu, kde je doba nutná pro uchovávání dost individuální a mnohdy ji řeší i více zákonů najednou. Některé údaje potřebujete několik let, jiné třeba i třicet. Všichni zpravováváme i data, která ze zákona zpracovávat nemusíme. Slouží k našemu podnikání, k vytváření obchodních nabídek, hledání dodavatelů nebo třeba k věrnostním programům či prostě uživatelům našeho webu. U těchto dat bychom měli mít souhlas uživatele k jejich zpracování a umožnit mu se jednak dozvědět, že tato data zpracováváme, a pak i tento souhlas odvolat.
Třetí oblastí je pak samotné zpracovávání dat. Každý správce údajů by měl být schopen identifikovat všechna data, která o uživateli shromažďuje, na základě jakého důvodu nebo souhlasu, umožnit mu se o důvodech zpracovávání dozvědět, souhlasy odvolat a nashromážděná data obdržet ve strojově čitelné podobě.
Položme si otázku:
Jsme schopni konkrétnímu člověku nebo firmě říct, jaká data o nich zpracováváme?
Pokud pracujeme s více zdroji dat, tak s vysokou pravděpodobností je neuchováváme centrálně, ale na mnoha místech. Část dat máme v databázi webu, část v účetním programu, něco v e-mailech, v souborech v počítači nebo kdekoliv jinde. Pokud se nás uživatel na svá data zeptá, znamená to projít mnoho míst a ke každému údaji ještě dohledávat důvod na základě kterého jsme oprávněni data zpracovávat. V praxi je takový přístup hodně časově náročný a to je jedním z důvodů, proč mají podnikatelé z GDPR obavy.
Modul GDPR v aplikaci Kontakty
První rozhodnutí, které jsme udělali, je centralizace všech údajů, které uchováváme. Tím, že vyvíjíme platformu digimadi, jsme se logicky rozhodli jako základ použít tu, respektive aplikaci kontakty. V kontaktech již nyní máme část dat, jsou na ně navázány objednávky, faktury a další údaje, které v rámci našich webů získáváme. Protože zdrojů je více a samotné kontakty na uchovávání všeho potřebného nestačily, tak jsme je upravili a rozšířili o možnost příloh, textových atributů a souhlasů. Prošli jsme všechny zdroje, které máme a vše co uchováváme jsme rozdělili na tři skupiny:
• Data, která již nyní máme v kontaktech jsme opatřili patřičnými důvody, které nás opravňují k jejich shromažďování.
• Data, která máme z různých zdrojů a nejsme schopni k nim dohledat zákonný důvod, nebo to jsou data již nerelevantní a dále je nepotřebujeme jsme smazali.
• Zbývající data jsme doplnili do našich kontaktů a doplnili k nim důvody za jakým účelem je shromažďujeme.
V kontaktech se nám tímto způsobem vyselektovala data, která zpracovávat chceme, protože jsou pro nás důležitá, nicméně k nim nemáme zákonný důvod pro jejich využití, a ani nemáme výslovný souhlas s jejich uchováváním. U nich pak podle jejich povahy a zdroje odkud jsme je získali stačilo doplnit konkrétní souhlasy se zpracováním a požádat uživatele prostřednictvím e-mailu o jejich potvrzení. Protože toto rozšíření kontaktů pomohlo nám, rozhodli jsme se jej nabídnout i našim zákazníkům, pro které může být užitečným nástrojem pro řešení GDPR.
Rozširující modul GDPR u aplikace Kontakty nevyřeší celé GDPR tak, jak slibují jiné nástroje. Příprava samotných podmínek užití, potřebné smlouvy i pořádek v datech si musíte udělat sami. Umožní Vám nicméně data a souhlasy k nim přehledně evidovat a vyžádat si potřebný souhlas, který bude průkazně evidovaný a odvolatelný. Souhlas může být opatřen konkrétní délkou platnosti a po jejím ukončení se automaticky souhlas zruší. V případě zákonné povinnosti evidovat údaje můžete rovněž souhlas uzamknout a tím neumožnit uživateli jej zrušit dříve než uplyne doba jeho platnosti, nebo zákonný důvod. Každý uživatel pak dostane nástroj, přes který si bude moci ověřit, s jakými podmínkami souhasí, bude moci souhlas odvolat, nebo naopak souhlas přidat. Součástí je i formulář na vyžádání si exportu všech dat, případně na žádost o komplentí vymazání. Po odeslání formuláře obdržíte e-mail s textem od Vašeho zákazníka a s předpřipravenými daty, které pro Vás vygenerujeme na základě dat uložených ve Vaší databázi digimadi. Samotné odeslání dat uživateli bude čistě na Vás. Budete mít možnost si exportovaná data prohlédnout, doplnit o ta, která nemáte v kontaktech navedena, nebo naopak odmazat z nich to, co se do nich dostalo nedopatřením.
V kontaktech jsme také přidali možnost filtrovat data dle typu souhlasu, či nesouhlasu, export dat, či možnost hromadného mazání dat bez patřičného souhlasu.
Jak s novými daty?
GDPR modul umožňuje nejen pracovat se stávajícími daty, ale obsahuje i rozšíření, které bude pracovat s Vašimi digimadi weby. Nové formuláře sjednocují stávající formuláře, registraci a sběr e-mailů pro rozesílky do jednoho celku. Umožňují přímo přidávat jednotlivé souhlasy a integraci s e-mailingem. Můžete tak mít jeden formulář, přes který získáte kontakt, data k němu, souhlas, nebo souhlasy se zpracováním osobních údajů a ověřenou e-mailovou schránku pro e-mailing. Každý formulář je směrovaný do kontaktů, čili všechny údaje které získáváte se směrují do jednoho místa. Další možností je propojit souhlasy se zpracováním údajů do košíku, nebo třeba s fakturami. Pokud tedy uživateli vystavíte fakturu, automaticky se mu nastaví, nebo prodlouží vybraný souhlas pro tento účel. V tomto případě se souhlas uzamkne a nepůjde uživatelem přímo zrušit.
