Nařízení vstoupilo v účinnost dne 25.5.2018. Od té doby by každá firma/eshop měla vědět, zda a jak se jí týkají paragrafy GDPR zákona a mít zavedené odpovídající procesy, popř. směrnice a opatření.
Vzhledem k neexistenci prováděcího předpisu v ČR po lhůtě účinnosti Nařízení spousta firem s implementací GDPR otálela či začala implementovat těsně před koncem lhůty pro zavedení. Důvodem byla neexistence best practice v ecommerce sféře, nedostatek informací ze strany inzertních systémů, zbožových vyhledávačů či mailingových nástrojů, jakým způsobem budou k ochraně osobních údajů přistupovat.
Typicky pro ecommerce sféru je třeba řešit úložiště dat a jeho zabezpečení, náležitosti spojené s existující a budoucí databází zákazníků či kontaktů získaných jinou marketingovou aktivitou, včetně e-mailingu. Politiku cookies, používání sledovacích nástrojů na webu a jejich soulad s GDPR atd.
Co je GDPR
Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation) se dotýká všech, kteří působí na evropském trhu a zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů. GDPR chrání i digitální práva občanů EU, proto zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, nebo při používání mobilních aplikací.
GDPR začalo v celé EU platit jednotně od 25. května 2018. V Česku tak nahradilo právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Do té doby museli všichni, kterých se toto nařízení týká, upravit způsob zpracování osobních údajů.
V České republice je v oblasti ochrany údajů hlavním regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ). Nyní mu přibyly další pravomoce, ale zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.
Proč je dobré začít
I když nařízení již nabylo účinnosti a zdá se, že po zavedení GDPR do praxe se pro firmy pracující s OU nic nezměnilo, nepodceňujte (byť) dodatečnou přípravu. Lepší je zavést dataprotektivitu pozdě, než vůbec. Protože:
- za změny týkající se GDPR je zodpovědný vlastník firmy, nikoliv zaměstnanci či jiná třetí strana,
- hrozí pokuta až do výše 20 milionů Eur nebo 4 % celosvětového ročního obratu (ne zisku), což může být pro mnoho firem likvidační,
- první pokuty v oblasti ochrany osobních údajů již padly,
- v čase se bude postup UOOU sjednocovat, auditoři budou mít best practise a po prvních oťukávacích kontrolách se činnost UOOU rozběhne naplno.
Cílem kontrol ve firmách by však nemělo být plošné uvalení pokut na všechny organizace, které nesplní kritéria GDPR, ale upozornit na nedostatky a vyžádat nápravu.
Dozorový úřad (v ČR je GDPR dozorováno ÚOOÚ) má možnost sahat k těmto institutům:
Proč je dobré začít s námi
- Budeme proces zavedení GDPR ve vaší firmě řešit postupně a s rozvahou, takže náklady na GDPR budou nižší měsíční částky, nikoliv jednorázový vysoký náklad.
- Veškerou komunikaci (od zavádění směrnic až po souhlasy s rozesíláním newsletterů) řešíte pouze s námi, na jediném kontaktním místě. My za vás naháníme vaše právníky, účetní a programátory a směřujeme je ke společnému cíli.
- Máme vlastní subdodavatele z renomovaných právních kanceláří, kteří jsou v případě potřeby ochotni ihned řešit veškeré nesrovnalosti právního charakteru a zabezpečit právní posouzení vašich aktiv pro analýzu rizik.
- Jsme odborníci na GDPR. Vlastníme certifikáty autorizované dle European e-Competence Framework ve shodě s ISO/IEC 17024. Jsme Pověřenci pro ochranu osobních údajů, dle článku 37 Nařízení Evropského parlamentu a Rady, včetně příslušných dalších právních předpisů a e-CF.
- Klademe důraz na školení. Běhěm/po implementaci GDPR proškolíme vás i vaše zaměstnance, kteří přichází do kontaktu s osobními údaji.
- Aktivně se vzděláváme v problematice GDPR a předáváme naše znalosti dál. Po ukončení implementace vám budeme i nadále k dispozici a pomůžeme vám vyřešit soulad s GDPR i v budoucnosti, např. při přechodu na nové softwary.
Kroky pro zajištění souladu s GDPR
Sestavení programu a týmu | Během úvodního rozhovoru zmapujeme situaci ve firmě. Vytipujeme osoby, které přichází do kontaktu s daty a sestavíme interní tým na vaší straně, se kterým budeme GDPR řešit. Dle vašich potřeb dáme dohromady tým odborníků na naší straně a zpracujeme plán implementace. |
Audit GDPR | Jedná se o workshop, kde budeme v součinnosti s vaším interním týmem zjišťovat vyspělost stávajícího systému zpracování a ochrany osobních údajů. Povedeme pohovory pro právní a bezpečnostní posouzení. |
Dodání výstupu auditu a návrhu na změny | Na základě workshopu si od vás vyžádáme případné další dokumenty k nahlédnutí (zpřístupnění smluv na dodávky služeb – softwary, IT; udělení souhlasů s marketingovými aktivitami, aj. ) Posoudíme současný stav a vypracujeme návrh na změny. |
Implementace | Ve spolupráci s právníky a IT zavedeme do vaší firmy odpovídající technická a organizační opatření. |
Závěrečný workshop a poučení | Jak řídit a vylepšovat kontrolní prvky. Trénink a školení zaměstnanců, kteří přichází s daty do kontaktu. |
Čím se v GDPR odlišujeme od konkurence
RobertNemec.com | Konkurence | |
---|---|---|
Certifikovaný zmocněnec | Jsme odborníci na GDPR. Prošli jsme aktuálními akreditovanými kurzy a vlastníme certifikáty autorizované dle European e-Competence Framework ve shodě s ISO/IEC 17024. Jsme Pověřenci pro ochranu osobních údajů, dle článku 37 Nařízení Evropského parlamentu a Rady, včetně příslušných dalších právních předpisů a e-CF. Klademe důraz na vlastní vzdělávání a rádi proškolíme i vás a vaše zaměstnance. | Konkurenti většinou neinvestovali do těchto finančně náročnějších kurzů s cílem získat akreditované certifikáty tolik času a úsilí jako my, neboť je pro ně tato záležitost spočívající v zavedení GDPR norem v podstatě jen jednorázovým úkonem. Nespoléhejte proto ani na nabídku z jejich strany o proškolení vašich zaměstnanců, kteří s osobními údaji přicházejí do styku a kteří dané školení budou potřebovat. |
Komplexnost komunikace | Máme pod palcem veškerou komunikaci se všemi účastníky GDPR zaváděcího procesu (tj. vašimi zaměstnanci, právníky, zákazníky a dalšími zainteresovanými členy). Celým procesem vás tedy provedeme a zajistíme, že se na nic nezapomene. | Budete si muset nahánět vaše právníky, účetní i programátory sami. Práce agentury implementující normy GDPR přijde na řadu až poté. |
Vztah a péče | Nabízíme souhrnné řešení. Proto máme i vlastní subdodavatele z renomovaných právních kanceláří, kteří jsou přichystáni věci ihned řešit. Jsme vám plně k dispozici i pro případnou potřebu pomoci v budoucnosti, proto k vám budeme také přistupovat s patřičnou péčí. | Konkurenční agentury sice nabízejí proces implementace GDPR, ale povětšinou se pro ně jedná pouze o jednorázové zakázky (vzhledem k aktuální potřebě firem zavádět GDPR řešení). Proto nečekejte 100% pomoc při případných vzniklých potřebách i v budoucnosti. |
Náklady a časová zátěž | GDPR řešíme postupně, proto si i náklady na zavedení GDPR můžete rozložit do několika měsíců. | Jednorázový vysoký náklad, který vám může zahýbat s rozpočtem. Počítejte také se zvýšenou časovou náročností, především v případě „dělání věcí na poslední chvíli“. |