GDPR
(aktulizováno 3.4.2018, 10.5.2018, 24.5.2018)
25. května 2018 vstoupí v platnost ve všech státech Evropské unie, včetně České republiky nové nařízení na ochranu osobních údajů, známé pod názvem GDPR neboli General Data Protection Regulation. Připravit by se na něj měly všechny subjekty, které jakýmkoliv způsobem zpracovávají osobní údaje fyzických osob.
Jaká data budete muset „chránit“
- údaje o vlastních zaměstnancích
- data o zákaznících a partnerech
- data z firemních a marketingových databází, ve kterých shromažďujete údaje o fyzických osobách a podnikajících fyzických osobách (zákazníci, potenciální zákazníci) …
Koho se ochrana netýká
Primárně můžeme z ochrany osobních údajů vyloučit všechny právnické osoby, stejně tak orgány veřejné moci a jiné instituce. Naopak jejich zaměstnanců se už ochrana týká.
Co je osobní údaj
osobní údaj = Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Ano i e-mail či telefonní číslo je osobní údaj.
Pokud podnikatel pracuje s některými z výše uvedených údajů, měl by především vědět, za jakým účelem tyto údaje zpracovává, zda ke zpracování potřebuje souhlas a jak má údaje zabezpečeny.
Na takzvaně anonymizované údaje se ochrana nevztahuje.
Co je anonymizovaný údaj
- U anonymizovaných údajů nelze ani dodatečně zjistit koho se údaje týkají nebo týkaly. Například když dojde ke smazání jména a přijmení z karty osoby a zbylé údaje použiji například pro nějakou statistiku. Tyto údaji již ochranu či nějaké zvláštní zacházení nevyžadují.
- Pseudonymizované údaje jsou údaje, u který není na první pohled možno určit k jaké fyzické osobě se vztahují. Například osobní údaje na jedné straně a jméno a příjmení na druhé jsou uloženy v samostatných tabulkách, kde jsou záznamy identifikovány unikátním číselným kódem. Kdo má přístup k oěma tabulkám zároveň, může určit, ke komu se osobní údaje vztahují. Tyto údaje a přítup k nim je pak nutno chránit dle pravidel GDPR.
Jak se GDPR promítlo v software TeamOnline
V systému TeamOnline se tato novinka týká modulů Adresář, CRM a Marketing.
- Přístup do databáze systému TeamOnline je chráněn uživatelským jménem a heslem.
- Databáze a údaje v ní jsou šifrovány.
- Identifikace, že osoba vyjádřila souhlas se zasíláním e-mailové reklamní komunikace.
- U e-mailové adresy je volba - Použít tuto adresu pro marketingové účely. Osoba může mít například více e-mailů a není vhodné posílat více stejných obchodních sdělení jedné osobě. Pouze pokud je tato volba zaškrtnuta, je možno danou e-mailovou adresu zahrnout do cílových skupin pro kampaně.
- Přidána tisková sestava pro účely vyžádaného výpisu údajů vedených o kontaktní osobě.
- Údaje o osobě lze nenávratně odstranit.
- Přístup k datům a případnému tisku či exportu do Excelu podléhá nastavení přístupových práv jednotlivým uživatelům.
- Všechny operace, které uživatel v systému TeamonLine na základě svých uživatelských práv provádí jsou zaznamenány do protokolu změn. Jsou tedy snadno dohledatelné.
- Karta osoby může obsahovat některé citlivé údaje, například datum narozenin, osobnostní profil, koníčky apod. K těmto údajům může být přesně evidováno kdo a po jakou dobu k nim má přístup.
- Lze evidovat na jaké údaje, pro jaký účel a pro jaké časové období vydala dotčená osoba svolení.
Shrnutí
Správce (firma/subjekt uživající systém TeamOnline) odpovídá za dodržování povinností kladených obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž dodržování zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit.
Doporučujeme proto následující opatření
- Nechat si zpracovat či rozšířit příslušné vnitropodnikové směrnice s ohledem na nové nařízení GDPR.
- Na základě těchto směrnic provést nastavení systému TeamOnline.
- Seznámit pracovníky s problematikou GDPR.
Pro zákazníky naše zákazníky jsme připravili nabídku na pomoc s nastavením jejich účetního systému dle vnitřních směrnic tak, aby splňoval podmínky této legislativní novinky.
Chcete se dozvědět více? Pište na adresu admin@teamonline.cz a my již vše ostatní zařídíme.
Zdroj: EUR-Lex