GDPR – General Data Protection Regulation je novým nariadením, ktoré bolo schválené Európskou komisiou a vstúpi do platnosti presne 25. mája 2018. Novela je zameraná na ochranu osobných údajov a týka sa teda každého podniku či sprostredkovateľa, ktorý osobné údaje spracúva, uchováva alebo s nimi manipuluje. Prinášame vám 7 jednoduchých krokov, ktoré vám so zavádzaním GDPR môžu pomôcť.
Ešte predtým, ako začnete so zavádzaním opatrení GDPR, jedným z hlavných bodov je, poveriť osobu, ktorá bude za správu osobných dát zodpovedná, tzv. DPO – Data Protection Officer.
- Začnite auditom
Zistiť v akom stave sú už získané osobné dáta je kľúčovým aspektom, aby ste vedeli ako s nimi ďalej pracovať. Skontrolujte tak všetky aplikácia, programy alebo dokumenty, kde osobné údaje uchovávate (PDF, Word, Excel, Google Drive, Facebook, Mailchimp, Outlook, CD, DVD, USB…).
- Vedenie agendy
Dokumentovať si spracovateľské procesy, uchovávanie osobných údajov a neustále aktualizovanie je jednou z podmienok nového nariadenia. Tieto údaje sú praktické hneď z niekoľkých dôvodov:
- Pri aktualizácii či výmaze osobných údajov máte vytvorenú databázu.
- Osobné dáta môžete kvalitne zabezpečiť a určiť tak, kto bude mať k osobným dátam povolený prístup.
- Pri porušení ochrany je nutné oznámiť toto pochybenie do 72 hodín od jeho vzniku. Vďaka agende budete mať k dispozícii riadnu dokumentáciu.
- Aktualizácia webu
Ochrana osobných údajov sa dotýka i webových stránok alebo aplikácií. Potrebné je špecifikovať zbierané informácie (meno, mobil, adresa, IP adresa, rok narodenia, cookies…).
Nutné je takisto jasne špecifikovať, že v prípade súhlasu s podmienkami spracovania osobných údajov k nim získajú prístup i iné aplikácie. Na webe takisto musí byť uvedená osoba, ktorá za ochranu osobných údajov zodpovedá.
- Pozor na checkboxy
Špecifickým bodom je práve checkbox, ktorý nesmie byť zaškrtnutý automaticky. Užívateľ musí políčko potvrdiť sám.
- Potrebné osobné údaje
Spracúvajte iba osobné dáta, ktoré využívate. Osobné údaje, ktoré váš podnik nevyužíva odstráňte. Príkladom môžu byť neaktívne mailové adresy alebo neexistujúce telefóne čísla.
- Jednoznačný súhlas – profilovanie
Profilovanie alebo automatizované spracúvanie osobných údajov musí byť jednoznačne, jasne a preukázateľné potvrdené súhlasom jednotlivca. V rámci GDPR je tak nutné brať na vedomie, že bez súhlasu dotknutej osoby nemôžete s osobnými údajmi pracovať.
- Výmaz osobných údajov
Dotknutá osoba môže požiadať o výmaz osobných údajov. V prípade, že podnik vyhodnotí adekvátnosť tejto žiadosti, je povinný osobné dáta úplne odstrániť.