1. Analýza nakládání s osobními údaji
Jaké osobní údaje zpracovávám, jak s nimi pracuji, kdo k nim má přístup a k čemu je využívá.
Základní rozdělení na:
- údaje o zaměstnancích
- údaje o klientech
- marketingové údaje (e-mailové databáze, cookies aj.).
Výstupem je přehledný protokol.
2. Evidence účelů zpracování osobních údajů
V závislosti na předcházející analýze musím určit, proč dané osobní údaje zpracovávám. Určím tedy účely zpracování osobních údajů. Lze to zvládnout na papíře nebo v excelovské tabulce, specializované softwarové nástroje jsou pro takovou evidenci efektivnější.
3. Kontrola zabezpečení dat
Zkontroluji bezpečnost uložení fyzických i elektronických dokumentů. V praxi legislativa vyžaduje:
- pravidelné testování a vyhodnocování míry zabezpečení
- pseudonymizaci a šifrování dat
- obnovu dostupnosti údajů a přístupu k nim v případě výpadku
- hlášení bezpečnostních incidentů do 72 hodin na ÚOOZ a také všem vašim klientům nebo zaměstnancům, o jejichž data by mohlo jít
Bezpečnostní opatření uvedu do směrnice.
4. Zpracovatelské smlouvy
Pokud ukládám osobní údaje u dalších firem, musím s nimi mít uzavřené zpracovatelské smlouvy. Jde především o:
- účetní a mzdovou firmu
- dodavatele a provozovatele informačního systému (CRM, ERP, CMS)
- spediční služby (PPL, Uloženka, ...)
- platební brány (GoPay, ThePay, ...)
- mailingové nástroje a služby (Mailchimp, Ecomail, ...)
- chatovací nástroje a služby (Zopim, Livechatoo, ...)
- zbožové srovnávače (Heureka, Zboží.cz, ...)
- soutěžní a bonusové služby (Rondo, ...)
- analytické nástroje (Google Analytics, HotJar, Collabim, ...)
S každým takovým dodavatelem potřebuji zpracovatelskou smlouvu nebo upravené obchodní podmínky.
Pozor, zda náhodou zpracovávaná data neopouští EU (např. Zopim), zde je to výrazně složitější.
Pozor také na důvod zpracovávání osobních údajů, kdy například pro předání objednávky do Heureka, Zboží.cz, nebo Rondo je potřeba souhlas.
5. Směrnice pro zpracovávání osobních údajů
Zpracuji interní předpis, ve kterém popíšu, jak s osobními údaji nakládám. Každý ve firmě by měl věděl, jak zaevidovat nového klienta a jaké údaje o něm může vést s jakým důvodem zpracování.
6. Školení zaměstnanců
Se směrnicí o zpracování osobních údajů musím seznámit všechny zaměstnance. Nezapomenu na prezenční listinu a ideálně potvrzení o absolvování tohoto školení.
