O GDPR sa v posledných mesiacoch na internete napísalo veľa. Veľa vecí je iste pravda, ale zároveň treba povedať, že si z tohto nariadenia veľa firiem spravilo biznis a vyžívajú ho v svoj prospech viac ako je nutné. Videli sme v praxi klientov, ktorý dali za analýzu GDPR desiatky tisíc eur a ich výsledok je prinajmenšom „diskutabilný“.
Takže od začiatku, čo je GDPR? GDPR je nariadenie Európskej únie o ochrane osobných údajov ktoré prinieslo pomerne výrazné zmeny a povinnosti. Prinieslo ale aj likvidačné sankcie, takže ho začalo riešiť aj veľké množstvo firiem ktoré ochranu osobných údajov doteraz ignorovali.
GDPR opatrenia sme konzultovali s právnikmi a na webe sme ich zapracovávali pre viac ako 50 klientov, skúsime teda zhrnúť vaše práva a povinnosti v čo najjednoduchšej forme, tak ako ich chápeme my:
- V prvom rade, ak osobné údaje ktoré ste od klienta získali, používate len na ten účel na ktorý ste sa dohodli (napr. v eshope len na objednávku alebo pri rezervácii izby len pre účely rezervovania izby) nepotrebujete žiadny súhlas so spracovaním údajov.
- Práve naopak, ak chcete osobné údaje použiť na akýkoľvek iný účel (reklama, newsletter, štatistika), potrebujete samostatný oddelený súhlas. Extra zdôrazňujeme že tento súhlas nie je možné spojiť so žiadnym iným súhlasom (napr. súhlasom s obchodnými podmienkami) a tak isto nie je možné spojiť viac súhlasov do jedného (napr. newsletter a štatistiku). O tomto súhlase musí existovať presný záznam, kedy ho klient udelil, prípadne stiahol.
- Vašou povinnosťou je zabezpečiť aj bezpečnosť osobných, ale tu vychádzajme z predpokladu, že z pohľadu spracovania na webe sú bezpečné.
- Klientovi ste povinný na požiadanie sprístupniť všetky jeho osobné údaje. Je diskutabilné ako rýchlo a v akej forme. Pre tento prípad je vhodné mať v eshope modul, kde si klient vie údaje sám prehliadať, nie je to ale nutné.
- Ak Vás klient požiada, ste povinný „zabudnúť“ jeho osobné údaje. Toto je ale extra diskutabilný bod, pretože:
1. Ak má klient objednávku, ste povinný archivovať jeho údaje 10 rokov pre prípad kontroly. Teda v tomto prípade klientovi jednoducho nemôžete vyhovieť. Maximálne môžete zmazať údaje, ktoré sa objednávky netýkali.
2. Je veľmi diskutabilné, ako v prípade kontroly, napr o 5 rokov dokážete, že ste „zabudli“ údaje daného klienta. Dokazovať to spôsobom že údaje nemáte je veľmi chabé, preto by mal existovať nejaký záznam, kedy presne a akého klienta ste „zabudli“. To ale zároveň znamená, že ho úplne zabudnúť nemôžete.
Tak isto tento bod je možné riešiť modulom v eshope ktorý celý proces automatizuje, ale nie je to nutné a klientovi môžete dáta zmazať ručne. - Osobné údaje by ste mali využívať len na účel, na ktorý boli poskytnuté, preto treba prehodnotiť používanie napr. v notifikačných mailoch, rôznych oznámeniach atď… kde by ste sa bez nich zaobišli.
- Nemali by ste zberať osobné údaje ktoré nepotrebujete. Napr. pre objednávku v eshope nepotrebujete titul ani vek.
8. Údaje ktoré nepotrebujete by ste mali po čase odstrániť, napr. logy v eshope ktoré obsahujú aktivitu klienta doporučujeme mazať po 3 mesiacoch.
To sú zhruba povinnosti tak ako ich vidíme my. Dôrazne upozorňujeme že sú to povinnosti riešené len z pohľadu eshopu alebo webovej stránky a ako firma máte v súvislosti s GDPR viac povinností. To už ale nie je vôbec naša parketa a vždy je najlepšie sa obrátiť na serióznu právnu agentúru.
A nakoniec odpoveď na otázku „Je GDPR skutočne tak veľký problém?“. Podľa nás len nafúknutá bublina. GDPR je celkom rozumné nariadenie, ktoré by nás malo chrániť v prvom rade pred spamom, predajcami bambusových ponožiek a podobne. Ak sa rozumne zapracuje a bude zo strany Slovenských orgánov rozumne kontrolované, môže skutočne veci pomôcť a netreba sa ho vôbec báť.