GDPR pro malé a střední podniky – Průvodce

Nařízení o ochraně osobních údajů poskytuje jednotlivcům rozsáhlá práva na jejich údaje a zároveň zavádí přísná pravidla pro to, jak podniky tyto údaje shromažďují, uchovávají a používají. Kontrolní seznam pro dodržování GDPR je tedy pro malé podniky nezbytný.

Co potřebujete vědět?

Klíčové zásady GDPR pro podniky:

• podnik musí mít pro zpracování osobních údajů rozumné právní důvody,

• musí být plně transparentní,

• a také musí shromažďovat osobní údaje pouze za konkrétním účelem.

Jak GDPR ovlivňuje malé a střední podniky?

Požadavky nařízení GDPR se vztahují na podniky všech velikostí, ačkoli pro malé a střední podniky existují určité výjimky. Podniky s méně než 250 zaměstnanci nemusí vést záznamy o svých zpracovatelských činnostech, pokud se nejedná o rutinní činnost zahrnující citlivé informace nebo pokud by údaje mohly ohrozit práva fyzických osob.

Vzhledem k tomu, že většina podniků shromažďuje, uchovává nebo používá nějakou formu osobních údajů o zákaznících - od e-mailové a poštovní adresy až po zdravotní a finanční údaje - je nezbytné, aby vaše firma splňovala požadavky nařízení GDPR. Závažné porušení předpisů GDPR má za následek vysokou pokutu až do výše 4 % obratu podniku nebo 20 milionů eur, podle toho, která částka je vyšší. Postupujte proto podle našeho kontrolního seznamu pro dodržování GDPR a ujistěte se, že splňujete všechny své povinnosti.

Zjistěte, jaké jsou vaše povinnosti vyplývající z nařízení GDPR

Nařízení GDPR zavádí dva nové pojmy, které označují osobu, společnost nebo organizaci, která shromažďuje a zpracovává údaje. Správci i zpracovatelé musí být v souladu s GDPR a musí být na každém kontrolním seznamu shody s GDPR pro všechny malé podniky.

• Správce údajů- osoba nebo firma, která určuje, jak a proč jsou osobní údaje shromažďovány. Správce údajů musí zajistit, aby podnik plně vyhovoval požadavkům GDPR, včetně transparentnosti, uchovávání údajů, důvěrnosti údajů a přesnosti shromažďovaných a uchovávaných údajů. Je také odpovědný za oznámení Úřadu komisaře pro informace (ICO), pokud dojde k porušení ochrany osobních údajů nebo pokud jsou údaje v průběhu podnikání odcizeny nebo ztraceny.

• Zpracovatel údajů - osoba nebo podnik odpovědný za zpracování osobních údajů jménem správce údajů. Patří sem každý, kdo má přístup k osobním údajům a kdo je jakýmkoli způsobem používá, například vytváří a rozesílá marketingové e-maily. Zpracovatel musí zajistit, aby údaje byly zpracovávány v souladu s požadavky GDPR a aby byly zaznamenány činnosti zpracování. Musí také zajistit odpovídající zabezpečení při nakládání s údaji.

Audit osobních údajů

Údaje mají mnoho podob. Překontrolujte proto pečlivě, které údaje vlastně máte o zákaznících, klientech a zaměstnancích - minulých i současných, a také osobní údaje o dodavatelích. Údaje zahrnují širokou škálu informací, včetně jmen a adres, finančních záznamů a bankovních údajů, záznamů o zaměstnání zaměstnanců a dat narození.

Dál se musíte se rozhodnout, které údaje potřebujete pro své podnikání. GDPR vyžaduje, abyste uchovávali pouze ty údaje, které opravdu potřebujete, a pouze po co nejkratší dobu.

Zvláštní kategorie osobních údajů

Jedná se o údaje, které by mohly být použity k diskriminaci jednotlivce. Patří sem osobní údaje, jako je politická příslušnost, náboženské přesvědčení, sexuální orientace, členství v odborech, rasa a etnický původ. Uchovávání jakýchkoli zvláštních kategorií osobních údajů vyžaduje výslovný souhlas jednotlivce.

• Měli byste také zkontrolovat, jakým způsobem se údaje dostávají do vašeho podniku (včetně případného získaného souhlasu) a procesů, kterými procházejí. Zkontrolujte, kdo osobní údaje zpracovává a zda jsou přístupné.

• Přezkoumejte nebo definujte své zásady pro udělování souhlasu s nakládáním s údaji. Chcete-li získat a uchovávat osobní údaje, musíte nejprve získat jasný a výslovný souhlas, který je dobrovolně udělen jednotlivcem. To znamená, že musíte jasně vysvětlit, jaké osobní údaje vaše firma shromažďuje a jak budou použity. Fyzická osoba s tím musí souhlasit.

• V opačném případě nesmíte tyto údaje za žádných okolností shromažďovat a uchovávat. To se týká i podmíněného shromažďování údajů, pokud jsou údaje shromažďovány jako podmínka využívání služby, například poskytnutí pobídky k přihlášení k odběru newsletteru a následné použití těchto údajů pro marketing.

• Abyste vyhověli nařízení GDPR, musí být vaše společnost schopna prokázat, že jste získali souhlas s údaji, které uchováváte. Bez záznamu o souhlasu se vystavujete riziku pokuty. Váš podnik musí také poskytnout jednotlivci snadné způsoby, jak se v budoucnu odhlásit.

Zbavte se starých údajů

Pravděpodobně i vy máte databázi informací o zákaznících. GDPR však vyžaduje, aby i všichni stávající zákazníci znovu odsouhlasili nakládání s jejich osobními údaji.

To znamená, že musíte kontaktovat každého zákazníka, kterého máte v databázi, a požádat ho o souhlas s dalším ukládáním a používáním těchto údajů. Pokud nesouhlasí, což může zahrnovat i to, že na vaši žádost jednoduše nereagují, musíte jejich údaje vymazat. GDPR uvádí, že údaje lze uchovávat pouze po nezbytně nutnou dobu. Pokud se již nepoužívají, musíte je vymazat.

Součástí každého kontrolního seznamu shody s GDPR pro malé podniky je důležitý krok, kterým je audit údajů, které uchováváte, a zavedení zásad, které určují, jak dlouho lze tyto údaje uchovávat. Podle zavedených zásad lze například smazat údaje patřící zákazníkovi, který s vaší firmou již 12 měsíců nespolupracuje. Údaje pravidelně kontrolujte, abyste se ujistili, že nejsou uchovávány déle, než je nutné.