GDPR sem, GDPR tam. A v budúcnosti tomu nebude inak. Aj po vyše roku toto nariadenie stále spôsobuje paniku na pôde veľkých a malých podnikov v tom, že ich podnikanie nie je v súlade so všeobecným nariadením o ochrane údajov (GDPR). Podniky sa boja obrovských pokút, ktoré by mohli ochromiť ich podnikanie, prípadne ich aj úplne zničiť. Avšak dodržiavanie tohto nového zákona nie je až tak veľkou úlohou.
Zákon dáva ľuďom právo prezerať si údaje o nich samotných, ktoré vy ako podnik uchovávate, a nariaďuje, aby boli tieto odstránené, ak o to požiadajú. Zákon poskytuje tiež usmernenia pre prevádzkovateľov údajov a spracovateľov údajov (pre vás ako podnik, príp. v niektorých prípadoch aj tretie strany), ktorí sú zodpovední za zhromažďovanie a spracovanie údajov v rámci organizácie.
Ak ešte stále nie ste v súlade s GDPR, je skutočne najvyšší čas konať. Spísali sme pre vás 7 krokov, ktoré vás povedú k správnemu dodržiavaniu pravidiel s cieľom dosiahnuť súlad s nariadením GDPR.
Týchto sedem krokov by vám malo pomôcť vyhnúť sa porušovaniu zákona:
Krok 1: Zamerajte sa na ochranu údajov už od návrhu
Prispôsobte ochranu údajov všetkému, čo navrhujete, či už ide o proces, produkt alebo webovú stránku. Tak predídete mnohým ďalším opatreniam na ochranu údajov. Nepredpokladajte, že presun vašich údajov na tretiu stranu je spôsob, ako obísť túto požiadavku, pretože je vašou povinnosťou zabezpečiť ich súlad.
To znamená, že zavedenie vhodných technických a organizačných opatrení s cieľom zaistenia ochrany údajov o ľuďoch je jednou z hlavných funkcií čohokoľvek, čo vaša organizácia robí interne alebo externe.
Krok 2: Uistite sa, že ste aj naďalej zodpovední
Prijatie obchodných procesov zameraných na ochranu súkromia je rozhodujúce, ale nestačí to. Musíte byť schopní dokázať, že ste tak urobili, ak o to budete požiadaní. To znamená zdokumentovanie všetkých procesov, ktoré prispeli k vašej konečnej implementácii. Je to ochrana ako pre vás, tak aj pre upokojenie vašich zákazníkov, pretože vám to umožní preukázať, že dostupné ochranné opatrenia boli posúdené a začlenené do vášho podnikania.
Okrem toho aj všetok personál, ktorý môže spracúvať osobné údaje, musí byť primerane vyškolený. Je potrebné navrhnúť a implementovať dôkladnú vnútornú politiku ochrany údajov, ktorá je v súlade so všetkými aspektmi GDPR.
Krok 3: Vytvorte právny základ na uchovávanie a spracovanie údajov
Okolo GDPR existuje mylná predstava, že hlavným problémom, ktorý je potrebné riešiť, je súhlas. Určite to ovplyvňuje marketingové firmy a maloobchodníkov, ktorí sa do značnej miery spoliehajú na ľudí, ktorí sa rozhodnú dostávať informačné bulletiny alebo propagačné emaily. V skutočnosti musíte podľa GDPR vytvoriť právny základ pre zhromažďovanie údajov a ich zdieľanie so zákazníkmi.
Musíte si zvoliť právny základ pre každý prípad zhromažďovania údajov (alebo pravdepodobnejšie pre každý typ zhromažďovania údajov). Najčastejším právnym základom je súhlas. Potrebujete výslovný súhlas zákazníka. Nevýhodou je, že tento súhlas môže zákazník kedykoľvek odvolať. Ak však používate súhlas, nezabudnite jasne zákazníkovi vysvetliť dôvod zhromažďovania ich údajov.
Krok 4: Informujte svojich používateľov
Podľa GDPR zákazníci majú právo napadnúť vaše použitie ich údajov alebo odvolať svoj súhlas, ako sme spomínali vyššie. Tieto údaje musia byť k dispozícii aj dozornému orgánu každého členského štátu. Je to nezávislý orgán, ktorý vyšetruje sťažnosti v mene európskych občanov.
Okrem vašich kontaktných informácií budete musieť poskytnúť jednoznačné vysvetlenie spôsobu, akým sa údaje o zákazníkoch používajú, vrátane účelu zhromažďovania údajov, akýchkoľvek záujmov, ktoré môže mať kontrolór, nákupca alebo spracovateľ tretej strany, ktorí tieto údaje dostanú.
Krok 5: Buďte pripravení odstrániť svoje údaje
GDPR stelesňuje „právo vymazať“. To znamená, že v konkrétnych situáciách môžu subjekty požadovať úplné odstránenie ich údajov z vašej databázy. Môže k tomu dôjsť, ak zákazník zruší svoj súhlas s ďalším spracovaním svojich údajov. Patria sem aj prípady, ak boli údaje získané alebo spracované nezákonne, alebo ak sa už nevyužívajú spôsobom, na ktoré boli pôvodne zhromaždené.
Na zamietnutie takejto žiadosti existuje obmedzený súbor platných dôvodov. Patria sem ciele verejného zdravia alebo archívne účely, ktoré musia byť vo verejnom záujme. Je však zrejmé, že vo väčšine prípadov budete musieť vyhovieť požiadavkám na vymazanie údajov, takže sa ubezpečte, že vám systémy umožňujú jednoduchú identifikáciu a odstránenie údajov jednotlivcov. Ak ste údaje sprístupnili tretej strane, je na vás, aby ste sa uistili, že spĺňajú aj požiadavku na vymazanie. Na to, aby ste vyhoveli právu na vymazanie žiadosti máte jeden mesiac alebo bez zbytočného odkladu.
Krok 6: Pri používaní algoritmov buďte opatrní
Mnoho rozhodnutí, najmä on-line, je teraz automatizovaných. GDPR vyžaduje, aby sa rozhodnutie, ktoré má právny účinok nezakladalo na automatizovanom spracovaní, pokiaľ nie je také spracovanie absolútne nevyhnutné a povolené zákonom. Zákazník musí tiež dať svoj výslovný súhlas.
To má, samozrejme, dôsledky pre podniky, ktoré predávajú produkty on-line, ale tie nie sú jediné, ktoré by mali tomuto úkonu venovať pozornosť. Kedykoľvek máte v úmysle použiť algoritmus na analýzu údajov týkajúcich sa jednotlivca, uvedomte si, že tieto údaje nemôžete použiť na prijímanie rozhodnutí s právnymi dôsledkami, pokiaľ vám dotyčná osoba výslovne nedala povolenie.
Krok 7: Auditujte svoje údaje
Je nevyhnutné kontrolovať činnosti zhromažďovania a spracovania údajov a v prípade potreby ich aktualizovať. Najmä, či sa niektorý z poskytovateľov tretích strán, na ktorých sa spoliehate, nenachádzal mimo Európskej únie, pretože GDPR obmedzuje prenos informácií za hranice, pokiaľ príslušná krajina nemá dohodu o primeranosti údajov.