GDPR - checklist potrebných opatrení

V úvodnej časti sme popísali základné informácie o GDPR. V určení potrebných opatrení vo vašej firme môže pomôcť nasledujúci jednoduchý checklist.

Ide o logický proces, kedy si zmapujete, kadiaľ a ako putujú osobné dáta, ktoré spravujete. Či už vaše, vašich zamestnancov, zákazníkov alebo návštevníkov. Všetky podklady pre tieto body by ste mali mať archivované a doložiteľné pre prípadné kontroly zo strany ÚOOÚ.

GDPR checklist

Majú vo firme k osobným údajom prístup aj iní ľudia než ja?

ÁNO – NIE

Pokiaľ ÁNO, tak pozorne zmapujte a popíšte, kto z vašich zamestnancov kde a ku ktorým dátam pristupuje. Nejde len o online ale aj o fyzický prístup. Zrevidujte, či je naozaj nutné, aby mali títo zamestnanci ku všetkým dátam prístup v rovnakom rozsahu ako teraz.

Pre prípravu mapy a vizualizáciu toho, kto z vašich zamestnancov má prístup ku ktorým dátam, môžete použiť služby na tvorbu tzv. "mind map" (napr. Coggle).


Mám zmapované všetky rizikové miesta, kadiaľ by mohli osobné dáta z našej firmy uniknúť ?

ÁNO – NIE

Pokiaľ NIE, pripravte si tabuľku, kde zanalyzujete jednotlivé aktivity, ktoré sa vykonávajú s osobnými dátami. Napríklad spracovanie faktúr, e-mailová komunikácia, notebooky, hosting a ďalšie. Spíšte kategórie subjektov a osobných údajov a účel spracovania osobných dát a odhadnite možné riziká ich úniku - napríklad ako "nízke", "stredné", "vysoké".

Pre prípravu zoznamu postačí vytvoriť jednoduchý Excel dokument.


Mám pracovné počítače zabezpečené proti strate alebo zničení dát (zálohy, antivírusový program, šifrovanie)?

ÁNO – NIE

Pokiaľ NIE, prijmite také opatrenia, aby k strate alebo zničení dát nemohlo dôjsť. 

Výber vhodného antivírusu, zaktivovanie firewallu a zavedenie procesu pravidelného zálohovania dát (na externom úložisku) môže pomôcť nielen ochrániť dáta vašich klientov, ale naviac aj zachrániť vašu každodennú prácu a zvýšiť vašu vlastnú bezpečnosť. Súbory alebo disky môžete aj šifrovať, ale nie je to povinné.


Ukladám osobné údaje na vlastnom serveri?

Mám počítače zabezpečené proti prístupu neoprávnených osôb (logy, heslá, uzamykateľné priestory)?

ÁNO – NIE

Pokiaľ NIE, prijmite patričné opatrenia.

Začnite používať správcu hesiel, napríklad 1Password, na úschovu hesiel. Nepoužívajte jednoduché alebo rovnaké heslá. Zaistite, že k miestam, kde máte uložený server, nemajú prístup neoprávnené osoby. A že tí, čo tam prístup majú mať, sú poučený o zásadách bezpečnosti. Zaistite, aby boli tieto miesta uzamykateľné.


Ukladám osobné údaje v cloude (poskytovateľ cloudu je spracovateľom osobných údajov)?

Mám uzavretú spracovateľskú zmluvu s poskytovateľom cloudu?

ÁNO – NIE

Pokiaľ NIE, uzavrite s poskytovateľom cloudu spracovateľskú zmluvu (článok 28 GDPR). Veľký poskytovatelia budú mať spracovateľskú zmluvu zverejnenú na svojom webe.

Spracovateľskú zmluvu medzi Shoptetom a vami si môžete vytlačiť v našej proklamácii Podmienok ochrany osobných údajov (jedná sa o bod II.). Podobnú zmluvu by ste mali mať so všetkými online službami, kam vkladáte osobné dáta svojich zamestnancov, návštevníkov alebo zákazníkov.


Ukladám osobné údaje v listinnej podobe (skrine, šanóny)?

Mám miestnosť/skriňu zabezpečenú proti prístupu neoprávnených osôb (bezpečnostné kľúče, zámky, uzamykateľné priestory)?

ÁNO – NIE

Pokiaľ NIE, prijmite patričné opatrenia.

Citlivé dokumenty ako sú pracovné zmluvy, mzdové výmery, dohody s dodávateľmi alebo zmluvy so zákazníkmi by ste mali mať v uzamykateľnej miestnosti alebo skrini/trezore. Je bezpečnejšie skartovať tie dokumenty, o ktorých 100% viete, že ich už nebudete potrebovať, pokiaľ nemáte podľa právneho predpisu povinnosť tieto dokumenty uchovávať (účtovné, doklady, evidenčné listy apod.).


Predávam osobné údaje iným subjektom, aby ich pre mňa spracovávali (účtovníci, dopravcovia)?

ÁNO – NIE

Pokiaľ ÁNO, mám s nimi uzavretú spracovateľskú zmluvu?

ÁNO – NIE

Pokiaľ NIE, uzavrite s nimi spracovateľskú zmluvu (článok 28 GDPR). Veľkí poskytovatelia budú mať pre vás zmluvu pripravenú. Vyžiadajte si ju a prejdite, či vyhovuje vašim potrebám. Pokiaľ nie, mali by ste požiadať u úpravy zmluvy.


Informujem subjekt údajov napr. v obchodných podmienkach alebo na webových stránkach o spracovaní osobných údajov podľa GDPR?

ÁNO – NIE

Pokiaľ NIE, dajte vedieť zákazníkovi informácie podľa článku 13 alebo článku 14 GDPR.

Nechajte si vaše Všeobecné obchodné podmienky skontrolovať alebo doplniť právnikom, aby ste mali istotu, že je všetko v poriadku. Môžete použiť aj náš vzor na podmienky ochrany osobných údajov, ale aj tak je potrebné doplniť ich podľa vašej situácie a nechať skontrolovať.


Spracovávam osobné údaje potenciálnych zákazníkov pre účely marketingu?

ÁNO – NIE

Pokiaľ ÁNO, je súhlas s marketingom v súlade s GDPR?

Pokiaľ NIE, vložte do svojich Pravidiel ochrany osobných údajov súhlas zákazníka s marketingom podľa GDPR (článok 4 bod 11 a článok 7 GDPR) a zaistite súhlas zákazníka s týmito podmienkami. U objednávky budete mať zaškrtávacie políčko pre všeobecné obchodné podmienky a vedľa toho zaškrtávacie políčko pre pravidlá ochrany osobných údajov.

Pamätajte na to, že osobné údaje slúžiace pre predávanie marketingových oznámení, by mali byť predané vždy dobrovoľne a vedome. Nenakupujte rozosielky alebo kontaktné údaje od predajcov, u ktorých 100% neviete, že tak činia so súhlasom svojich zákazníkov.


Spracovávam osobné údaje aktuálnych zákazníkov pre účely marketingu?

Zasielam aktuálnym zákazníkom newslettery?

ÁNO – NIE

Pokiaľ ÁNO, dávam zákazníkom možnosť odhlásenia odberu v každom e-maile?

ÁNO – NIE

Pokiaľ NIE, vložte do každého e-mailu možnosť odhlásiť sa z odberu. Je to v predvolenom stave v pätičke každej väčšej -mailingovej služby, napríklad Mailchimpu.

Pamätajte na to, že odhlásenie z newsletteru by nemalo byť podmienené žiadnym zložitým úkonom. Malo by to byť možné na jedno kliknutie s okamžitou platnosťou.


Vykonávam profilovanie zákazníkov?

ÁNO – NIE

Pokiaľ ÁNO, je súhlas s profilovaným v súlade s GDPR?

ÁNO – NIE

Pokiaľ NIE, vložte do svojich Pravidiel ochrany osobných údajov súhlas zákazníka s profilovaním podľa GDPR (článok 4 bod 11 a článok 7 GDPR) a zaistite súhlas zákazníka s týmito podmienkami. U objednávky budete mať zaškrtávacie políčko pre všeobecné obchodné podmienky a vedľa toho zaškrtávacie políčko pre pravidlá ochrany osobných údajov.

Profilovaným zákazníkom sa myslí marketingové selektovanie celej skupiny zákazníkov na jednotlivé segmenty, napríklad podľa určitého chovania na webe alebo pri nákupe.

Upozornenie

Tento checklist je orientačný a jeho cieľom je načrtnúť vám spektrum vecí, ktoré by ste mali mať pod kontrolou. Nezaručuje 100% pokrytie a riešenie všetkých potrebných krokov k ochrane osobných dát pre všetkých e-shoparov. Ak máte ďalšie otázky, kontaktujte napríklad špecialistu na ochranu osobných údajov.