V tomto článku sa dozviete, aké sú vaše práva a povinnosti, aby vaše podnikanie bolo v súlade s nariadením o ochrane osobných údajov GDPR. Prečítajte si najskôr 1. časť článku, pokiaľ ste našu príručku ešte nečítali. Link: https://www.osobnyudaj.sk/novinka/426-gdpr-pre-male-a-stredne-podniky-navod-12
1. Ochrana pri uchovávaní dát
Skontrolujte a vyhodnoťte, ako vaše podnikanie uchováva údaje. Osobné údaje sa môžu nachádzať na mnohých miestach – v emailových schránkach, zákazníckych databázach, mobilných telefónoch i v cloudových službách (Dropbox a Microsoft Office 365).
Vytvorte si systém spracovania a ukladania údajov. To by malo určiť, kde sú údaje o zákazníkoch zabezpečené, kto k nim má prístup a ako sú chránené, napríklad šifrovanie údajov a zabezpečenie vašich webových stránok pomocou protokolu SSL.
Spracovatelia údajov môžu potrebovať prístup k prvkom, ako sú telefónne čísla alebo poštové adresy, takže budete musieť definovať postup, ako sa k týmto údajom pristupuje a za akých okolností.
Mali by ste si tiež vytvoriť plán prenosu údajov. Údaje sú najzraniteľnejšie, keď sa presúvajú, napríklad medzi oddeleniami alebo sa zdieľajú s poskytovateľmi tretích strán (zákaznícky servis). Stanovte obmedzenia týkajúce sa spôsobu, akým sa údaje odstraňujú z podnikania. Napríklad na prenosných počítačoch alebo na USB jednotkách.
Šifrovanie údajov môže výrazne znížiť pokutu, ktorej by vaše podnikanie čelilo v prípade porušenia údajov.
2. Zvoľte si zodpovednú osobu
Veľké podniky sú povinné vytvoriť špecializovanú funkciu úradníka pre ochranu údajov a niekoho vymenovať na toto miesto. Malé podniky s menej ako 250 zamestnancami sú vyňaté z tejto požiadavky, pokiaľ nespracúvajú osobitné kategórie údajov nad rámec ich možností.
Aj keď má vaša firma iba niekoľko zamestnancov, má zmysel vymenovať jednu osobu, ktorá bude zodpovedná za údaje. To znamená, že niekto prevezme funkciu dodržiavania pravidiel GDPR a zabezpečí, aby vaše podnikanie spĺňalo požadované predpisy.
3. Zaškoľte váš personál v oblasti GDPR
V očiach zákona nie je neznalosť ospravedlnením. Neúmyselné narušenie údajov, napríklad strata USB kľúča so zákazníckymi údajmi mimo kancelárie, môže mať za následok vysokú pokutu. Zaviesť celofiremné školenie v oblasti GDPR a politiky správneho zaobchádzania s údajmi bude vašou prioritou.
Naučte zamestnancov rozpoznať porušenie údajov. Každé porušenie údajov musí byť nahlásené komisárovi ICO do 72 hodín od jeho vzniku. Správa musí obsahovať podrobné informácie o tom, ako k porušeniu došlo, o tom, ako sa pracuje na tom, aby sa toto porušenie odstránilo a o ďalších krokoch podnikateľských plánov.
4. Dotknuté osoby si môžu overiť, aké údaje o nich zbierate
Každý občan EÚ môže požiadať o prístup ku všetkým údajom, ktoré o ňom uchovávate v celom rozsahu. Môže to byť čokoľvek od odkazu v emailových správach až po záznamy zákazníkov a elektronické poznámky. Majú tiež právo opraviť akékoľvek nepresné údaje, ktoré vlastníte a požadovať úplné odstránenie údajov.
5. Zabezpečte, aby dodávatelia spĺňali požiadavky GDPR
Malé podniky sa často spoliehajú na sieť dodávateľov. Aj keď je vaša firma v súlade s GDPR, musíte zaistiť, aby aj dodávatelia spĺňali GDPR. Malé podniky sú oslobodené od dane, pokiaľ nepracujú s väčšou firmou, ktorá má viac ako 250 zamestnancov.
Najrýchlejším spôsobom je požiadať dodávateľov, aby vyplnili formulár o zhode GDPR, v ktorom sa podrobne uvedie, ako spracúvajú údaje, postupy zabezpečenia a uchovávania údajov a aký typ údajov spracúvajú.
Môžete im poslať kontrolný zoznam súladu s normami GDPR pre malé podniky, aby ho mohli vyplniť. Zaistite, aby sa zmluvy špecificky týkali dodávateľa, ktorý je v súlade s GDPR.
6. Vytvorte oznámenia o spracovaní údajov
Zaobchádzanie s údajmi musí byť spravodlivé a transparentné, takže budete musieť vytvoriť dokument vysvetľujúci, ako vaše podnikanie nakladá s údajmi. Tieto dokumenty, známe ako oznámenia o spravodlivom spracovaní (FPN), by sa mali zobrazovať na poprednom mieste, napríklad na vašich webových stránkach.
Mali by podrobne opisovať, ako zaznamenávate údaje, ako ich spracúvate a ukladáte a ako môže jednotlivec požiadať o prístup k nim. Mali by ste sa tiež ubezpečiť, že vždy, keď zbierate údaje, poskytnete odkaz alebo uvediete podrobnosti o FPN, aby jednotlivec vedel, ako vaše podnikanie použije ich údaje.