Jak už asi každý stihl zaregistrovat, odbytím včerejší půlnoci nám odstartovala platnost Evropského nařízení o ochraně dat. Nevím, jestli se aktuální kampaň nejmenovaného modrého operátora neminula s názvem, vzhledem k výhodnosti nabídky se doba datová hodí spíš jako označení nástupu GDPR než reklama na tarif, který je desetkrát dražší než třeba v Polsku.
Přes masivní mediální masáž, roztrpčené komentáře všech možných osob od politiků přes novináře až po uklízečky, lepší i horší vtipy (z nejznámějších GDPR parte nebo GDPR školní výlet) a už jen povinnou kritiku byrokracie valící se z Bruselu se ale ve skutečnosti až tak nic zásadního neděje. Slunce ráno vyšlo, pekaři rozvezli rohlíky a Andrej se na nás dál usmívá z billboardů.
Co je u nás nového
Rozšířili jsme už počátkem dubna naše Zásady ochrany osobních údajů, které se týkájí Vás jako našich zákazníků. Zde si můžete lidskou formou přečíst, jakým způsobem je nakládáno s Vašimi údaji, komu jsou a komu nejsou předávány dál a jak je zajištěna jejich bezpečnost.
Pokud Vám zasíláme newsletter, děje se tak proto, že jste u nás ne déle jak před třemi lety nakoupili nebo jste si objednali naše služby. Přesto, i když nás to bude mrzet, stejně jako kdykoli předtím, můžete přestat sdělení od nás odebírat kliknutím na Unsubscribe.
Veškeré další potřebné změny už byly provedeny jen u nás, jednalo se zejména o doplnění smluvní dokumentace, abychom se Vám mohli zaručit, že i všichni naši dodavatelé dbají na Vaše práva, aktualizace interní Směrnice o nakládání s daty a s tím související zabezpečení dokumentace a aktualizace všech přístupových práv, abyste jste nemohli být ohroženi ani našimi zaměstnanci.
Modelové situace
Mnohokrát jsme byli dotazováni na mnohé situace s dotazem na řešení. Proto popíšeme některé typové situace a jak je alespoň provizorně a jednoduše dát do prozatímního souladu s GDPR.
E-shop
- Nejdřív vyhodnotím, která data sbírám.
- Pokud to lze, přestanu dělat vše, co není nutné (například odeberu nic nepřinášející pluginy, odpojím nevyužívané služby nebo třeba zruším možnost registrace).
- Vytvořím dokument Privacy Policy neboli česky Zásady ochrany osobních údajů, kde jednoduchou a lidskou formou popsat jaká data sbírám, proč je sbírám, na koho se lze obrátit a upozornit zákazníka na jeho práva.
- Zkontroluji, zda eshop využívá zabezpečenou šifrovanou komunikaci prostřednictvím protokolu https (ikonka zámečku v prohlížeči) a pokud ne tak, ji dodělám.
- Upozorním návštěvníka informační lištou na používání cookies.
Web
- Pododně jako u e-shopu, nejprve si projdu, co se na webu děje, jestli mám možnost registrací, sběru e-mailů nebo napojení na sociální sítě.
- Pokud zjistím, že někde něco sbírám nebo alespoň používám cookies, vytvořím také dokument Zásad ochrany dat a umístím na web informační lištu. V případě, že ani k tomuto nedochází, nemusím se webem vůbec zabývat.
- Stejně jako u e-shopu si zajistím šifrovanou komunikace https.
Kamery
- Nejdřív se zamyslím, jestli jsou nezbytně nutné, nestačí je nahradit maketami, nebo vynechat záznam.
- Pokud se bez nich neobejdu zajistím, aby nesnímali ani kousek veřejného prostoru.
- Umístím u nich (ideálně ještě před vstupem do monitorovaného prostoru) upozornění nasledování a kontakt na Správce (číslo a e-mail, kam se obrátit v případě dotazů).
- Aktivně informuji zaměstnance o používání monitoringu, ideálně ve smlouvě.
- Zajistím, aby k záznamu měli přístup jen oprávněné osoby (a tím se nemyslí externího ajťáka, se kterým nemám ani smlouvu) a záznam se neuchovával déle než 7 dnů.
Účetní nebo ajťák
- Pokud je interní, řeším ji jen jako dalšího zaměstnance, který je citlivější z hlediska množství dat, se kterými pracuje.
- Pokud je externí (takže jinak řečeno pokud s ní nemám Pracovní smlouvu, eventuálně Dohodu o provedení práce nebo pracovní činnosti) uzavřu s ní Zpracovatelskou smlouvu, kde mi zaručí důvěrnost informací a dá mi kontrolu nad dalším předáváním třetím stranám (účetnímu softwaru, svým brigádnicím...).
Zaměstnanci
- Doplním jejich pracovní smlouvy o NDA neboli dohody o mlčenlivosti. Opět zde vymezím, co jsou povinni chránit a na co dbát.
- Také je potřeba je pravidelně proškolovat, podobně jako se to dělá o bezpečnosti práce (BOZP).
Dokumenty
- Všechny dokumenty ať už elektronické nebo písemné je důležité chránit (nejen před odcizením, ale například i před ztrátou, třeba odejitím pevného disku u PC, vyhoření skříně...). Nemusím ale hned kupovat trezor nebo šifrovací software, lze na to jít selským rozumem. Co je na papíře, se uzamyká do skříně, do místnosti nebo alespoň do budovy. Klíče mám já a lidi, co s těmi papíry pracují. Když přijde zákazník, dodavatel nebo návštěva, mám vše uklizené na stole a neválí se mi to všude po gauči a podlaze.
- Elektronické soubory umístím jen tam, kam mám přístup já nebo lidi, kteří s nimi mohou pracovat (takže odeberu loginy bývalým zaměstnancům a lidem, kteří to nepotřebují).
- K souborům (a pokud jsem chytrý, tak nejen s osobní daty ale hlavně i ekonomickým) si dělám pravidelně nebo automaticky zálohu (ať už do cloudu nebo na externí pevný disk apod.).
- Soubory si zašifruji nebo alespoň zkomprimuji do šifrovaného archivu, není k tomu potřeba ani žádný placený program.
Zařízení
- Nezapomenu ani na ochranu zařízení, úplný základ je používání antiviru (a nejen na PC, ale i tabletu a mobilu, protože odtud mám přístup třeba k mailům).
- Nepůjčuji zařízení nikomu (hlavně ne dětem), pokud ano, zřídím jim samostatný účet a heslo.
- Nepřipojuji se k veřejným nezabezpečeným sítím, nepoužívám všude stejné heslo, prostě dodržuji správné bezpečností zásady (já vím, je to otrava, ale nikdo neříkal, že se lze chovat bezpečně a zároveň pohodlně).
Směrnice
- Pokud se mě týkají alespoň 2-3 předcházející body nebo pokud to uznám za vhodné vypracuji Směrnici o nákladní s osobními údaji, kde podobně jako na webu v Privacy Policy, popíšu své činnosti (co, kdo, proč, jak) a seznámím s ní své zaměstnance (ideálně podpisem :-).
Na závěr
Na první pohled to všechno vypadá, jako obrovská halda úkolů, ale jak se říká i slon se dá sníst po kouskách. Druhá stránka věci je to, že veškerá výše popsaná opatření dávají smysl sama o sobě i bez GDPR, už jen kvůli prostému fungování firmy, ochraně svého podnikání a minimalizaci rizik. Pokud byste potřebovali pomoci nebo se chtěl na něco zeptat, neváhejte nás kontaktovat, rádi Vám poradíme.
Team Noxidar