GDPR je nariadenie EÚ o ochrane osobných údajov. Ukladá osobám spracovávajúcim osobné údaje (správca a spracovateľ), ktoré pôsobia na území EÚ, prijať vhodné technické a organizačné opatrenia proti rizikám pri spracúvaní osobných údajov.
Ak podnikáte na trhu EÚ a ukladáte osobné údaje, tak áno. Nie je potrebné sa ale desiť žiadny drastických opatrení alebo nákladov.
Nemusíte. V prípade objednávky alebo rezervácie ubytovania máte zákonný dôvod na uchovanie nevyhnutných osobných údajov zákazníka aj bez súhlasu. Osobné údaje potrebujete na plnenie zmluvy medzi vami a hosťom a tiež k z dôvodu naplnenia zákonných povinností vyplývajúcich zo zákona o miestnych poplatkoch a zákona o pobyte cudzincov na území SR. Mali by ste ale hostí informovať o zásadách spracovania osobných údajov.
V Trevlixe môžete zásady vložiť tu:
Pokiaľ chcete „pre svoj dobrý pocit“ vyžadovať súhlas, môžete zaškrtnúť tlačidlo „vyžadovať súhlas“. Ale z hľadiska GDPR to potrebné nie je.
Nie. Môžete ukladať predovšetkým osobné dáta, ktoré potrebujete zo zákonných dôvodov (vrátane napr. dátumu narodenia, kontaktných údajov, adresy). Odporúčame ale vyhnúť sa citlivým osobným údajom typu náboženstvo, rasa, sexuálna orientácia alebo zdravotný stav.
Neexistuje žiadny jednotný postup pre zavedenie požiadaviek GDPR do praxe, ale uvádzame niekoľko bodov, ktorým by každá firma mala v súvislosti s naplnením nariadenia GDPR venovať pozornosť:
Pokiaľ chcete byť dobre pripravení na prípadnú (aj keď vzhľadom na počet inšpektorov na celú SR veľmi nepravdepodobnú) kontrolu, všetky kroky vykonané nižšie si jednoduchým spôsobom v bodoch stručne spíšte a vytvorte si svoju „GDPR zložku“. V nej budete mať záznamy o všetkých vykonaných opatreniach pre prípadnú kontrolu. Kontrolným orgánom v SR je Úrad na ochranu osobných údajov Slovenskej republiky.
Toto je najviditeľnejší bod zo všetkých. Hovorí hosťom aj prípadným kontrolným orgánom, že ochranu údajov beriete vážne. Pokiaľ ešte Zásady spracovania osobných údajov na webe nemáte, doplňte ich. Vzor zásad a spôsob vloženia do Trevlixu (a tým aj do svojho webu) nájdete vyššie v tomto texte. Overte, že zásady skutočne zodpovedajú vašej situácii. Nie je to zbytočná práca, ak budete spúšťať platobnú bránu, budú od vás zverejnenie zásad pravdepodobne rovnako požadovať pred aktiváciou platobnej brány.
Spíšte zoznam všetkých miest, kde v rámci firmy dochádza k uchovávaniu osobných údajov (počítače, notebooky, servery, chytré telefóny, šanóny, skrine, …).
Ak nie, zaveďte vhodné opatrenia, napr. inštalácia antivírusov a pravidelné zálohovanie na externé disky alebo na vzdialené úložisko.
Zvážte všetky miesta, kde by osobné dáta mohli najpravdepodobnejšie uniknúť.
Napríklad: Máte dostatočne silné heslá na prihlasovanie k počítačom? Ukladáte heslá bezpečným spôsobom (napr. pomocou bezpečných aplikácií na správu hesiel)? Sú písomné osobné údaje bezpečne uschované v uzamykateľnej skrini? Sú počítače s osobnými údajmi umiestnené v uzamknutej miestnosti alebo sú vždy zabezpečené prístupovým heslom? Likvidujete nosiče osobných dát (disky, médiá, listiny) takým spôsobom, aby nemohlo dôjsť k obnoveniu a úniku dát? Ak nie, zaveďte vhodné opatrenia.
Spíšte, kto vo firme má prístup k akým osobným údajom (elektronickým aj listinným). Overte, či je prístup osoby k daným údajom nevyhnutný. Ak nie, zaistite prístup iba pre oprávnené osoby. Ak áno, poučte osobu o zásadách nakladania s osobnými údajmi.
Jedným z hlavných príčin vzniku GDPR bolo zamedzenie obchodovania s osobnými údajmi. Nikdy nepredávajte osobné údaje nikomu, kto ich nepotrebuje. Odovzdávate osobné dáta napr. účtovnej firme, prepravnej službe, prevádzkovateľovi online služieb, webhostingovej firme, cloudovej službe atď.? Ak áno, EÚ nariadenie GDPR vám ukladá povinnosť uzavrieť so všetkými subjektmi spracovateľskú zmluvu. Tu našu nájdete nižšie pod týmto článkom na stiahnutie.
Rozosielate napríklad newslettery? Názory na výklad tejto oblasti sa líšia snáď najviac. Ideálne je, ak máte ku každému adresátovi zaistený dobrovoľný preukázateľný súhlas so zasielaním newsletterov. Uistite sa tiež, že každý newsletter v sebe obsahuje odkaz na odhlásenie z odberu newsletterov a že odhlásenie prebehne okamžite a má trvalý účinok (napr. tohto adresáta už nebude možné následne vložiť omylom do databázy).
Viete vo firme zaistiť výmaz osobných údajov v prípade, že už nie sú potrebné alebo na základe odvolania súhlasu osoby, pokiaľ nie je na uchovanie dát zákonný dôvod? (Napr. v prípade objednávky máte zákonný dôvod na uchovanie nevyhnutných osobných údajov zákazníka aj bez súhlasu.) Viete osobné údaje zmazať vo všetkých elektronických i listinných formách? Viete zaistiť úpravu osobných údajov? Ak nie, vykonajte potrebné opatrenia.
Osobné údaje, na ktorých uchovávanie nemáte zákonný dôvod alebo overiteľný súhlas osoby, vymažte.
Uvedené informácie zhŕňajú naše názory na implementáciu GDPR získané štúdiom zákonov a rôznych informačných zdrojov. Možno vám niektoré z opatrení pripadajú trochu prehnané. Prax ukazuje, že sa nekoná žiadny veľký hon na malé firmy, ktoré spracovávajú osobné údaje svojich zákazníkov. Keď budete zaobchádzať s osobnými údajmi bezpečne, nikomu ich nepredáte a nebudete opakovane obťažovať niekoho, kto nemá o služby záujem, nie je dôvod na zbytočné obavy 😉