Vyskúšať eWay-CRM
Viac info o eWay-CRM
Vyskúšať eWay-CRM

Jednoduchý prístup

k informáciam

 

Čo vôbec je GDPR a čo jej nariadenie znamená pre firmy a podnikateľov

<< Späť

 

Život firmy a legislatíva, ktorou sa musíme riadiť

 

Čo vôbec je GDPR a čo jej nariadenie znamená pre firmy a podnikateľov

 

GDPR – General Data Protection Regulation – teda Všeobecné nariadenia na ochranu osobných údajov je nový nástroj na ochranu osobných údajov fyzických osôb - subjektu údajov. Platnosť nariadenia je od 25.5. 2018 pre všetky členské štáty Európskej únie.

Nariadenie má za cieľ výrazne zvýšiť ochranu osobných údajov občanov Európskej únie.

 

 

 

Lenže tiež znamená rad povinností a prípadných problémov pre podnikateľov a firmy.

 

Porozprávali sme si o nich s pánom Markom Chlupom, odborníkom a človekom, ktorý nám pomohol implementovať GDPR do našej firmy a nášho produktu: softvéru eWay-CRM. Teda s človekom nadmieru povolaným.

 

Čo musí každá firma konkrétne urobiť, aby fungovala v súlade s GDPR?

 

Samozrejme splniť požiadavky nariadenia GDPR (smeje sa).

 

Ale vážne.

 

V prvej etape by som všetkým odporučil, aby si vo firme urobili "procesne-údajovú" inventúru. Teda pokúsiť sa popísať všetky činnosti vo firme, pri ktorých môžu byť dotknuté osobné údaje.

 

Typicky má každá firma minimálne 3 kategórie subjektov údajov - zamestnanec - dodávateľ - zákazník. Okolo týchto troch kategórií je potrebné vykonať zmapovanie procesov a identifikovať napríklad, aké osobné údaje spracovávame, ako dlho ich udržiavame, kto k nim má prístup a na základe čoho ich zhromažďujeme (zákonnosť spracovania). Osobným údajom rozumieme čokoľvek, čo vedie k identifikácii konkrétnej osoby. Napríklad meno, adresa, biometrické údaje, zdravotné údaje a pod.

 

V druhej etape odporúčam už celkom konkrétne vypracovať:

 

  • Politiku ochrany osobných údajov - ktorú vystavíte napríklad na svoje webstránky
  • Politiku práv dotknutej osoby - v ktorej definujete postupy pre prípad, kedy subjekt údajov chce uplatniť svoje práva (napríklad právo na informácie, právo na vymazanie a pod.).
  • Politika ohlasovania porušenia ochrany osobných údajov - povinnosť informovať subjekt údajov a ÚOOÚ, že došlo k porušeniu ochrany
  • Ak spracovávate osobné údaje vo veľkom množstve, musíte vypracovať tzv. Dokument "Záznamy o spracovaní"
  • Ak spracovávate navyše citlivé osobné údaje (typicky zdravotnú dokumentáciu, genetickú dokumentáciu a pod.) musíte ešte vymenovať tzv. Poverenca pre ochranu osobných údajov - DPO.
  • Doplniť do zmlúv so spracovateľmi osobných údajov nové požiadavky na spracovateľov (napr. Povinnosť, že Spracovateľ nezapojí do spracovania žiadneho ďalšieho spracovateľa bez zapracovania vyššie uvedeného),
  • Vyškoliť kľúčových zamestnancov firmy a pripraviť šablóny predmetných dokumentov pre dotknuté osoby
  • Zrevidovať stav ochrany IT prostriedkov (napríklad riadenie prístupu k údajom)

 

Na prvý pohľad sa zdá, že Vás čaká veľké množstvo práce, avšak vo väčšine firiem aspoň časť vyššie uvedených požiadaviek je zavedená. Na druhej strane je dobré túto problematiku nepodceňovať, pretože za porušenie hrozia vysoké postihy.

 

Ak si nebudete vedieť rady, odporúčam požiadať o poradenstvo, prípadne nájsť informácie na www stránkach ÚOOÚ.

 

 

Aký vplyv má GDPR na firmy, ktoré používajú CRM systém?

 

Vplyv na Nariadenie GDPR na používanie CRM je zásadný.

 

Nariadenie GDPR prikazuje firmám, že osobné údaje môže spravovať iba za jasne daným účelom a musí byť tzv. proporcionalita, teda také informácie, ktoré nevyhnutne potrebujú k účelu spracovania, napríklad k obchodnému vzťahu. Ako príklad možno uviesť, že v CRM možno mať meno, priezvisko, firemný email, telefón a adresu zákazníka, nemožno však zhromažďovať informácie o rodinných príslušníkoch, alebo dátumy narodenín zákazníkov.

 

Teda každá firma, ktorá využíva CRM, musí vykonať revíziu informácií, ktoré sú zhromažďované a stanoviť, či sú proporcionálne k účelu spracovania. Ak nájde informácie, ktoré nepotrebuje, musí ich odstrániť.

 

Preto by v neposlednom rade mali podnikatelia a firmy pri výbere dodávateľa CRM dbať na to, že jeho produkt spĺňa požiadavky GDPR. Napríklad, či sa môže preukázať certifikáciou súladu s požiadavkami GDPR, či a ako vám dodávateľ umožní oboznámiť sa so stavom pripravenosti k GDPR.

 

Čo firmy mimo Európskej únie, napríklad v Spojených štátoch, týka sa ich to v niečom tiež?

 

Ak firma mimo EÚ spracováva údaje občanov EÚ, musí plniť požiadavky Nariadenia GDPR. Z pohľadu subjektu údajov máte povinnosť vždy informovať o tom, že údaje sú uložené mimo EÚ a ako je táto situácia ošetrená.

 

Ďakujeme moc za pomoc pri implementácii GDPR aj za rozhovor.

 

Dôležitá poznámka za eWay-CRM:


Platnosť nariadenia GDPR je od 25.5.  2018 pre všetky členské štáty Európskej únie.
A pretože máme naozaj veľké množstvo klientov z celej Európskej únie, či napr. zo Spojených štátov, ktorých sa ale zákon môže dotknúť,
uvádzame novú špecifickú eWay-CRM GDPR verziu 5.2 už  12.4. 2018.

 

Takže každý náš klient alebo budúci užívateľ má potom viac ako mesiac na implementáciu do softvéru i firmy.

 

Podrobnejším informáciám a detailom o plne funkčnej GDPR verzii eWay-CRM sa budeme venovať v nasledujúcom článku.

 

Hovorili sme s Markom Chlupom. Marek Chlup je audítor s 20 rokmi praxe v oblasti informačnej bezpečnosti a Data Protection Officer.

 

Má certifikáciu ISMS a ITIL a za sebou viac ako 100 interných alebo certifikačných auditov v mnohých spoločnostiach (poisťovne, štátna správa, spoločnosti poskytujúce verejné služby, spoločnosti poskytujúce služby, výrobné spoločnosti). 

 

Zdroje obrázkov: http://fistro.cz/general-data-protection-regulation/, https://zpravy.idnes.cz/pojistovne-uniqa-unikla-osobni-data-tisicu-klientu-fhe-/domaci.aspx?c=A090903_103434_domaci_pje

 

<< Späť