Designový web

Levně · Rychle · S administrací

GDPR - seznam opatření

Pokud nevíte, co je GDPR a jestli se vás to týká, podívejte se prosím nejdříve zde.

 

Jaká opatření by měla udělat každá firma pro naplnění EU požadavků GDPR?

Přestože neexistuje žádný jednotný postup pro pro zavedení požadavků GDPR do praxe, uvádíme několik bodů, kterým by každá firma měla v souvislosti s naplněním nařízení GDPR věnovat pozornost. Není to v žádném případě úplný a stoprocentní výčet potřebných opatření. Pokud máte pochybnosti, poraďte se v konkrétních bodech raději s právníky, kteří se specializují na GDPR.

 

1. Protokol provedených činností

Všechny kroky provedené níže si sepište a vytvořte si svou „GDPR složku“. V ní budete mít záznamy o všech provedených opatřeních pro případnou kontrolu. Kontrolním orgánem v ČR je Úřad pro ochranu osobních údajů.

2. Kde v rámci firmy uchováváme osobní údaje (elektronické i listinné)?

Sepište seznam všech míst, kde v rámci firmy dochází k uchovávání osobních údajů (počítače, notebooky, servery, chytré telefony, šanony, skříně, …).

3. Jsou osobní údaje dostatečně zabezpečeny proti ztrátě nebo zničení?

Pokud ne, zaveďte vhodná opatření, např. instalace antivirů a pravidelné zálohování na externí disky nebo na vzdálené úložiště.

4. Jsou osobní údaje dostatečně zabezpečeny proti úniku dat?

Analyzujte všechna místa, kde by osobní data mohla nejpravděpodobněji uniknout. Udělejte si seznam s vyhodnocením pravděpodobnosti úniku dat v daném místě (vysoké, střední, nízké). 

Například: Máte dostatečně silná hesla pro přihlašování k počítačům? Ukládáte hesla bezpečným způsobem (např. pomocí bezpečných aplikací na správu hesel)? Jsou písemné osobní údaje bezpečně uschovány v uzamykatelné skříni nebo v trezoru? Pokud máte vlastní servery, jsou umístěny v uzamčené místnosti s kontrolovaným přístupem? Likvidujete nosiče osobních dat (disky, média, listiny) takovým způsobem, aby nemohlo dojít k obnovení a úniku dat? Pokud ne, zaveďte vhodná opatření.


EU nařízení GDPR ukládá každému správci dat povinnost nahlásit únik nebo ohrožení zabezpečení osobních údajů příslušnému kontrolnímu orgánu ÚOOÚ nejpozději do 72 hodin od okamžiku zjištění incidentu.

5. Kdo má ve firmě přístup k osobním údajům?

Sepište, kdo ve firmě má přístup k jakým osobním údajům (elektronickým i listinným). Ověřte, zda je přístup osoby k daným údajům nezbytný. Pokud ne, zajistěte přístup pouze pro oprávněné osoby. Pokud ano, poučte osobu o zásadách nakládání s osobními údaji.

6. Předávám osobní údaje jiným subjektům, aby je pro mě zpracovávali?

Předáváte osobní data např. účetní firmě, přepravní službě, provozovateli online služeb, webhostingové firmě, cloudové službě atd.? Pokud ano, EU nařízení GDPR vám ukládá povinnost uzavřít se všemi subjekty zpracovatelskou smlouvu.

7. Informuji o Zásadách zpracování osobních údajů na svém webu?

Pokud ne, doplňte na web text Zásad zpracování osobních údajů. Vzor najdete např. zde. Ověřte, že zásady skutečně odpovídají vaší situaci.

8. Využívám osobní údaje zákazníků pro marketingové účely?

Rozesíláte například newslettery? Pokud ano, ujistěte se, že máte ke každému adresátovi zajištěn dobrovolný prokazatelný souhlas se zasíláním newsletterů. Ujistěte se také, že každý newsletter v sobě obsahuje odkaz pro odhlášení z odběru newsletterů a že odhlášení proběhne okamžitě a má trvalý účinek (např. tohoto adresáta již nebude možné následně vložit omylem do databáze).

9. Pravidla pro výmaz a opravu osobních údajů

Umíte ve firmě zajistit výmaz osobních údajů v případě, že již nejsou potřebné nebo na základě odvolání souhlasu osoby, pokud není k uchování dat zákonný důvod? (Např. v případě objednávky máte zákonný důvod pro uchování nezbytných osobních údajů zákazníka i bez souhlasu.) Umíte osobní údaje smazat ve všech elektronických i listinných formách včetně záloh? Umíte zajistit úpravu osobních údajů? Pokud ne, proveďte potřebná opatření.

10. Uchovávám osobních údaje, ke kterým nemám souhlas nebo zákonný důvod?

Osobní údaje, k jejichž uchovávání nemáte zákonný důvod nebo ověřitelný souhlas osoby vymažte nejpozději k datu účinnosti nařízení GDPR, tedy k 25.5.2018. 

 

Závěr

Výše uvedené body nejsou samozřejmě úplným shrnutím problematiky GDPR. Jen samotný text nařízení má 99 článků a 173 bodů odůvodnění. Odpovědi na uvedené body by vám ale měly pomoci se zorientovat, jestli ve firmě splňujete EU nařízení GDPR a naznačit možné kroky ke zvýšení zabezpečení osobních údajů na úroveň požadovanou GDPR.


prohlédněte si design webů

Podporovaná řešení