Nařízení o ochraně osobních údajů neboli GDPR vstoupí v účinnost 25. 5. 2018. Rozhodně ale doporučujeme připravit se na něj včas a nehonit to až na poslední chvíli. Že si s ním nevíte rady? Máme pro vás odpovědi na vaše nejčastější otázky.
O GDPR koluje spousta dezinformací, i proto připravujeme spoustu materiálů, které vám pomůžou. Ve spolupráci s advokátní kanceláří Next Legal jsme dali dohromady odpovědi na nejčastější dotazy a teď tu máme další sérii otázek. Na našem Facebooku jsme vás vyzvali, abyste nám je položili vy a zodpověděli jsme ty nejčastější.
Pokud sbírám údaje pro e-shop jen pro účely objednávky, jak dlouho je můžu uchovávat?
Musíte je uchovávat po dobu existence smlouvy a po jejím ukončení to může být až na dobu dalších 15 let, což je doba opřená o zákonnou promlčecí lhůtu pro náhradu škody.
Jak uchovávat tištěné doklady? Stačí skříň, nebo musí být nějaký trezor?
Máme opatření standardní a nadstandardní. Mezi ty standardní patří například zámek, jak na kanceláři, tak zamykatelné skříňky, kam skutečně doporučuji listinné věci ukládat. Šanony s odběrateli, dodavateli, smlouvy… U těch se očekává, že budou pod zámkem. Co se týká nadstandardních opatření, k těm patří věci typu alarm v budově, kódy na vstupních dveřích a tak dále, ale to už se týká větších správců.
Budu muset ukončit spolupráci s Mailchimpem kvůli jejich serverům mimo EU?
To určitě nemusíte. Co je ale důležité – abyste v pravidlech ochrany osobních údajů uváděli skutečnost, že posíláte osobní údaje do třetích zemí, tedy mimo EU.
Jak velkou firmu musím mít, abych měl povinnost mít pověřenou osobu.
Tahle povinnost se neodvíjí od velikosti firmy, ale od toho, co firma dělá. Tzv. pověřence musí mít firma, která provádí rozsáhlé systematické zpracování osobních údajů. Dále je to firma, která provádí rozsáhlé zpracování citlivých údajů. A třetím případem je firma, kde je správcem osobních údajů veřejný orgán. Ani do jedné z těchto kategorií běžné malé e-shopy nespadají, takže nemusejí mít pověřence pro ochranu osobních údajů, čímž odpadá velké sousto povinností.
Jak se zachovat k už registrovaným zákazníkům, kteří vyjádřili souhlas se zpracováním osobních údajů a zasíláním obchodních sdělení?
V první řadě je potřeba se podívat na svá stávající pravidla ochrany osobních údajů a zkontrolovat, jestli odpovídají textaci nového GDPR. U souhlasových agend GDPR stanovuje větší nároky na souhlas, který musí být bezpodmínečný a jasně vyjádřený, takže je skutečně potřeba zrevidovat, jestli je to v aktuální podobě splněno. Samozřejmě s tím souvisí i kontrola toho, jestli mám v pravidlech uvedena všechna práva, která mají jednotliví koncoví zákazníci.
Bude v rámci GDPR pomáhat smlouva o mlčenlivosti?
Ano, bude pomáhat u zaměstnaneckých vztahů jako tzv. nástavba nad pracovní smlouvu. A bude pomáhat i v rámci dodavatelských vztahů, kde základem je zpracovatelská smlouva mezi e-shopem a Shoptetem. Shoptet taky musí smlouvami o mlčenlivosti zavázat své lidi, že nebudou vynášet osobní údaje, které se v rámci plnění své práce dozví.
Co je základem pro zpracování GDPR v nějaké menší firmě? Co všechno je potřeba z pohledu eshopaře udělat?
Se Shoptetem jsme připravili přehledný checklist pro malé e-shopy. Je to takový rozcestník, který vám řekne, co je potřeba udělat a na co musíte dohlédnout. Doporučuji každé menší firmě, aby si tento checklist prošla, protože jí to může výrazně pomoct.
Pokud vás zajímají další odpovědi, pusťte si speciální díl Shoptet.TV k GDPR. Ve videorozhovoru s Lucií Radkovičovou z Next Legal se dozvíte i to, jak si udělat interní analýzu nebo co upravit v e-shopu.
Napsat komentář