GDPR - jste připraveni?

GDPR

Nařízení, které představuje poměrně komplexní změnu v oblasti ochrany osobních údajů. Kdy začne platit je jasné. Jde o datum 25. května 2018. Do této doby by všichni, kteří určitým způsobem zpracovávají osobní údaje, měli mít vše v pořádku a být připraveni na GDPR.

Proč vlastně vzniká nové nařízení?

GDPR má nahradit stávající legislativu z roku 1995. Z pohledu IT technologií, online komunikace a marketingových kanálů se jedná poměrně o středověk. Stávající legislativa tedy nedokáže reagovat na nové trendy a nové možnosti uchování osobních údajů a z toho důvodu je potřeba vše změnit.

Správce/zpracovatel

V souvislosti s GDPR se hojně mluví o dvou důležitých pojmech. Jedná se o správce a zpracovatele osobních údajů. Kdo je ale kdo a jaké má dotyčný povinnosti?

• Správce – jedná se o subjekty, kteří určují, proč se zpracovávají osobní údaje a jaké prostředky jsou k tomu zapotřebí. Vesměs se jedná o podnikatele, kteří provozují třeba e-shop nebo podnikatelský subjekt, který určitým způsobem nakládá s osobními údaji.
• Zpracovatel – je to v podstatě prostředník či ta osoba, která s údaji dále pracuje. Může se jednat např. o e-mailové nástroje, CRM nástroje, apod. Tento subjekt si správce najímá, aby pro něj prováděl zpracovatelské operace s osobními údaji – posílal e-mailové kampaně, staral se o PPC systémy, nastavoval kampaně, které cílí na koncové zákazníky, apod.

Jaký je tedy vztah mezi správcem a zpracovatelem?

Vlastník e-shopu (subjekt A) a agentura, která pro něj připravuje třeba e-mailové kampaně (subjekt B). Subjekt A je tedy správce, ten provádí v rámci své podnikatelské činnosti sběr veškerých údajů o zákaznících např. prostřednictvím uskutečněných objednávek. Tyto informace využívá dále v rámci svých online aktivit. Nicméně tyto aktivity pro něj zpracovává už subjekt B. Subjekt B je v tomto případě zpracovatel, který jen zpracovává tyto údaje a provádí nad nimi operace, které slouží správci k dosažení marketingových a ekonomických cílů.

Pověřenec pro ochranu osobních údajů

Rozdíl mezi správcem a zpracovatelem už víme. Společně s GDPR vstupuje do hry ještě jeden důležitý hráč. Jde o tzv. DPO – Data Protection Officer, neboli Pověřenec pro ochranu osobních údajů. Jeho hlavním úkolem je nezávislá garance, dohlížení a kontrola správného nakládání s osobními údaji uvnitř dané organizace. Kdy takového pověřence jmenovat?

• Pokud zpracování provádí orgán veřejné moci nebo veřejný subjekt.
• Hlavní činnosti spočívající v operacích zpracování, které kvůli své povaze, rozsahu nebo svým účelům vyžadují rozsáhlé a pravidelné monitorování subjektů údajů.

E-shopy jako takové by neměly mít povinnost jmenovat pověřence pro ochranu osobních údajů.  

Co když je mi celé GDPR ukradené?

Pokud se vám zdá celé GDPR jako jeden velký nesmysl a neplánujete ho nijakým způsobem implementovat, tak vás to celé může stát poměrně ranec. Pokuty, které se plánují zavést v rámci nedodržení nařízení mohou být dvojího charakteru:

• maximální výše až 20 mil eur nebo
• 4 % z celkového ročního obratu společnosti.

Při určení, kterou z pokut vybrat se vychází z toho, která je pro podnik vyšší. Na druhou stranu při určení pokuty se bude vycházet z porovnání celé řady faktorů. Bude se jednat např. o počet osob, kterých se porušení GDPR dotklo, jakým způsobem se společnost k neplnění postavila, doba tohoto protiprávního jednání a řada dalších.

Jsme si vědomi toho, že problematika GDPR je poměrně rozsáhlá. Prozatím jsme si tedy ukázali základní informace ohledně tohoto nařízení. Příště se na to podíváme trošku praktičtěji. Zejména, jak pracovat se stávající databází zákazníků a jak přistupovat k novým.