Jak na GDPR v on-line podnikání

Nepříjemná zkratka, znamená General Data Protection Regulation. Už jste o ní jistě minimálně slyšeli, zvlášť pokud zpracováváte osobní údaje a již jste zaregistrovaní na ÚOOÚ. Čtěte dál, protože se jistě týká i vás.

Nařízení GDPR zpřesňuje a zpřísňuje legislativu o ochraně osobních údajů a jedním z nejrozsáhlejších právních předpisů, které EU v posledních letech přijala. Pravděpodobně, se s osobními údaji, děly dost zlé věci.

Cíl úpravy:

• Občané v Evropě budou mít větší kontrolu nad tím, co se děje s jejich osobními daty.
• Protože budou osobní údaje více zabezpečeny, budou mít větší důvěru v bezpečnost na internetu, což bude přínosem jak pro občany, tak pro podnikatele.
• Občané se budou cítit bezpečněji a nebudou se bát využívat inovativní technologie a nákupy a služby na internetu.
• Nová pravidla mají vytvoří spravedlivou hospodářskou soutěž. Všechny společnosti nabízející zboží a služby v EU budou muset dodržovat GDPR.

Nařízení musí být plně zavedeno do 25. 5 2018 v celém svém rozsahu ve všech státech EU.

Není to tak, že nařízení začne platit a je pak lhůta třeba rok na uvedení do praxe.

Dne 25.5.2018, již musí být vše správně nastaveno.

Dodržování pravidel budou sledovat místní úřady pro ochranu údajů a v případě potřeby, mohou učinit patřičné kroky. Které to jsou?

1. Varování.
2. Napomenutí.
3. Pozastavení zpracování údajů.
4. Pokuta 20 milionů eur nebo 4% globálního ročního obratu.

Pokutu, které se tak obáváte, si musíte nejprve „zasloužit“. Určitě nespadne, jen tak zčista jasna z nebe.

Pokuty se patrně nedočkáte jako malí podnikatelé nějakým plošným prověřováním úřadu ÚOOÚ firmičky od firmičky, ale spíš upozorněním nějakého pozorného občana, nebo namíchnutého zákazníka, jak už to tak v Česku chodí.

Týká se to celé i vás?

Patrně se nařízení GDPR nevyhnete, pokud odpovíte ano, minimálně na jednu z otázek.

• Sbíráte na webu kontakty?
• Posíláte e-maily nebo obchodní nabídky?
• Poskytujete služby nebo elektronické služby fyzickým osobám?
• Dodáváte zboží fyzickým osobám?
• Ukládáte si adresy a telefony svých zákazníků?
• Sledujete chování návštěvníků na svém webu?
• Máte ve firmě kamerový systém?
• Máte zaměstnance?

Odpověděla jsem si na otázky mého internetového podnikání, doufajíc, že pokud není hranice pro plátcovství DPH na dosah, že se tomu vyhnu.

• Ano, sbírám?
• Ano, posílám různé podnikatelské tipy. No dobře, říká se tomu obchodní sdělení.
• Ano, poskytuji elektronické služby, většinou podnikatelům, ale i fyzickým osobám.
• Ne, zboží zatím nedodávám, (ale o diáři vážně uvažuji).
• Ano, telefony a e-maily si u konzultací také eviduji. Jde to jinak?
• Ano, myslíte cookies? Mám, sleduji málo.
• Ne, konečně jedno ne. Zatím
• Ne, ale je mi to líto, hodil by se. Z těch papírů by se jeden zbláznil a to jsem dost trénovaná.

Předtím jsem si myslela, že se GDPR zabývat nebudu muset. Že se týká jen velkých korporátů. A ne. Nedovedu si představit, co by musel mít podnikatel jako obor podnikání, aby se GDPR vyhnul.

Co je zpracování osobních údajů?

Podle GDPR, je to jakákoli operace nebo soubor operací s osobními údaji, který je prováděn osobně nebo s pomoci automatizovaných postupů spočívajících v:

• shromažďování,
• strukturování,
• nahlédnutí,
• přizpůsobení nebo pozměnění,
• použití,
• šíření nebo jakékoli jiné zpřístupnění,
• seřazení či zkombinování,
• uspořádání,
• uložení
• omezení,
• vyhledání
• výmaz
• zaznamenání,
• zničení.

Jasně to všechno s údaji dělám, snad vyjma šíření. Výmaz, to jsem tedy nečekala.

Nezbývá, než se s novinkou vypořádat.

Zakoupila jsem si ÚZ se zněním GDPR, a poctivě studuji. Shlédla jsem pár videí s problematikou.

Bude to veselé.

Původně jsem si myslela, že budu nejvíc potřebovat právníka. Že své podmínky ochrany osobních údajů, které na webu již mám, prostě vyměním za jiný dokument.

Jenže, je to o celém firemním systému.

Když si ten svůj systém podrobně mapuji, před objednanou konzultací s profíkama na GDPR, napadla mě písnička Michla Tučného, kterou jistě všichni znáte a která, celou akci vystihuje.

Ale, vědro má ve dně díru, milá Lízo, milá Lízo,

tak ji ucpi milý Lojzo,

A čím ji mám ucpat, milá Lízo…

Místo vědra dosaďte web, kancelář, e-mailing, fakturační program…

A na jednotlivá řešení, si budeme hledat řešení, buď sami, nebo pomocí odborníků a aplikací.

Jak funguje oběh údajů v on-line podnikání?

Kontakty se dostanou přes e-mailing, do fakturačního programu, a pak i většinou k  účetním. Naštěstí si v tomto poradím sama, ale zrovna data v účetnictví jsou poměrně rizikový faktor. Firmy prodávající účetní software je jistě dobře zabezpečí. Účetní jsou vázáni mlčenlivostí, ale co uklízečky? Ztracená fleška s daty?

Sejdou se i mé znalosti účta, protože se bude vypracovávat i plán doby skladování účetních dokladů.

Bude možná třeba i služeb ajťáka. Kvůli zabezpečení souborů, které obsahují rodná čísla. Rozhodně celý proces zkontroluju s někým, kdo GDPR zavádí do větších firem. Rozhodně bude třeba zvýšit zabezpečení webu.

Zpracování je zákonné, pokud je splněna alespoň jedna podmínka

• Se zpracováním osobních údajů byl dán souhlas.
• Zpracování OÚ je nezbytné pro plnění smlouvy nebo uzavření smlouvy.
• Zpracování OÚ je nezbytné pro plnění právní povinnosti.

Moje úkoly z nulté lekce

• Zruším některé seznamy, zvláště u dřívějších projektů. Méně seznamů, méně průšvihů.
• Prověřím své kontakty a vymažu kontakty, co neotevírají a nečtou moje e-maily. Méně kontaktů, méně průšvihů, levnější provoz.
• Kontakty budu sbírat nadále, jen s výslovným souhlasem. Doporučuje se zaškrtávací políčko.
• Dále budu používat potvrzovací e-mail. Tím se vyloučí neplatné adresy a zvýší doručitelnost.

Pokud máte podobné podnikání, a chcete sledovat mou cestu ke zdárné revizi ochrany osobních údajů, přihlaste se do seznamu.

Uvidíte, jak vypadá dvojité potvrzení v praxi, ze seznamu se můžete kdykoliv odhlásit.

Proč článek provází zrovna GERBERA?

Najděte jinou květinu, která by byla, co se týče názvu podobnější.

GeRBeRa – GDPR.

A takové suché téma, žádá trochu krásy. Tak proto.