GDPR je nařízení EU o ochraně osobních údajů. Ukládá osobám zpracovávající osobní údaje (správce a zpracovatel), které působí na území EU, přijmout vhodná technická a organizační opatření proti rizikům při zpracování osobních údajů.
Pokud podnikáte na trhu EU a ukládáte osobní údaje, tak ano. Není třeba se ale děsit žádný drastických opatření nebo nákladů.
Nemusíte. V případě objednávky nebo rezervace ubytování máte zákonný důvod pro uchování nezbytných osobních údajů zákazníka i bez souhlasu. Osobní údaje potřebujete k plnění smlouvy mezi vámi a hostem a také k z důvodu naplnění zákonných povinností vyplývajících ze zákona o místních poplatcích a zákona o pobytu cizinců na území ČR. Měli byste ale hosty informovat o zásadách zpracování osobních údajů.
V Trevlixu můžete zásady vložit zde:
Pokud chcete „pro svůj dobrý pocit“ vyžadovat souhlas, můžete zaškrtnout tlačítko „vyžadovat souhlas“. Ale z hlediska GDPR to potřebné není.
Ne. Můžete ukládat především osobní data, která potřebujete ze zákonných důvodů (včetně např. data narození, kontaktních údajů, adresy). Doporučujeme ale vyhnout se citlivým osobním údajům typu náboženství, rasa, sexuální orientace nebo zdravotní stav.
Neexistuje žádný jednotný postup pro pro zavedení požadavků GDPR do praxe, ale uvádíme několik bodů, kterým by každá firma měla v souvislosti s naplněním nařízení GDPR věnovat pozornost:
Pokud chcete být dobře připraveni na případnou (i když vzhledem k počtu inspektorů na celou ČR velmi nepravděpodobnou) kontrolu, všechny kroky provedené níže si jednoduchým způsobem v bodech stručně sepište a vytvořte si svou „GDPR složku“. V ní budete mít záznamy o všech provedených opatřeních pro případnou kontrolu. Kontrolním orgánem v ČR je Úřad pro ochranu osobních údajů.
Toto je nejviditelnější bod ze všech. Říká hostům i případným kontrolním orgánům, že ochranu údajů berete vážně. Pokud ještě Zásady zpracování osobních údajů na webu nemáte, doplňte je. Vzor zásad a způsob vložení do Trevlixu (a tím i do svého webu) najdete výše v tomto textu. Ověřte, že zásady skutečně odpovídají vaší situaci. Není to zbytečná práce, pokud budete spouštět platební bránu, budou po vás zveřejnění zásad pravděpodobně stejně požadovat před aktivací platební brány.
Sepište seznam všech míst, kde v rámci firmy dochází k uchovávání osobních údajů (počítače, notebooky, servery, chytré telefony, šanony, skříně, …).
Pokud ne, zaveďte vhodná opatření, např. instalace antivirů a pravidelné zálohování na externí disky nebo na vzdálené úložiště.
Zvažte všechna místa, kde by osobní data mohla nejpravděpodobněji uniknout.
Například: Máte dostatečně silná hesla pro přihlašování k počítačům? Ukládáte hesla bezpečným způsobem (např. pomocí bezpečných aplikací na správu hesel)? Jsou písemné osobní údaje bezpečně uschovány v uzamykatelné skříni? Jsou počítače s osobními daty umístěny v uzamčené místnosti nebo jsou vždy zabezpečeny přístupovým heslem? Likvidujete nosiče osobních dat (disky, média, listiny) takovým způsobem, aby nemohlo dojít k obnovení a úniku dat? Pokud ne, zaveďte vhodná opatření.
Sepište, kdo ve firmě má přístup k jakým osobním údajům (elektronickým i listinným). Ověřte, zda je přístup osoby k daným údajům nezbytný. Pokud ne, zajistěte přístup pouze pro oprávněné osoby. Pokud ano, poučte osobu o zásadách nakládání s osobními údaji.
Jedním z hlavních příčin vzniku GDPR bylo zamezení obchodování s osobními údaji. Nikdy nepředávejte osobní údaje nikomu, kdo je nepotřebuje. Předáváte osobní data např. účetní firmě, přepravní službě, provozovateli online služeb, webhostingové firmě, cloudové službě atd.? Pokud ano, EU nařízení GDPR vám ukládá povinnost uzavřít se všemi subjekty zpracovatelskou smlouvu. Tu naši najdete níže pod tímto článkem ke stažení.
Rozesíláte například newslettery? Názory na výklad této oblasti se liší snad nejvíce. Ideální je, pokud máte ke každému adresátovi zajištěn dobrovolný prokazatelný souhlas se zasíláním newsletterů. Ujistěte se také, že každý newsletter v sobě obsahuje odkaz pro odhlášení z odběru newsletterů a že odhlášení proběhne okamžitě a má trvalý účinek (např. tohoto adresáta již nebude možné následně vložit omylem do databáze).
Umíte ve firmě zajistit výmaz osobních údajů v případě, že již nejsou potřebné nebo na základě odvolání souhlasu osoby, pokud není k uchování dat zákonný důvod? (Např. v případě objednávky máte zákonný důvod pro uchování nezbytných osobních údajů zákazníka i bez souhlasu.) Umíte osobní údaje smazat ve všech elektronických i listinných formách? Umíte zajistit úpravu osobních údajů? Pokud ne, proveďte potřebná opatření.
Osobní údaje, k jejichž uchovávání nemáte zákonný důvod nebo ověřitelný souhlas osoby, vymažte.
Uvedené informace shrnují naše názory na implementaci GDPR získané studiem zákonů a různých informačních zdrojů. Možná vám některá z opatření připadají trochu přehnaná. Praxe ukazuje, že se nekoná žádný velký hon těch několika málo inspektorů na malé firmy, které zpracovávají osobní údaje svých zákazníků. Ostatně Úřad pro ochranu osobních údajů jasně sdělil, že nehodlá nikoho zbytečně buzerovat ani šikanovat. Když budete zacházet s osobními údaji bezpečně, nikomu je neprodáte a nebudete opakovaně obtěžovat někoho, kdo nemá o služby zájem, není důvod ke zbytečným obavám