Všichni jsme už slyšeli o obecném nařízení o ochraně osobních údajů (GDPR).
Jde o ochranu osobních údajů, že? V podstatě ano. Pro podniky to však znamená zásadní změnu v tom, jak komunikují se svými zákazníky a cílovou skupinou a jak s nimi zůstávají v kontaktu.
Například společnost Meta dostala vysokou pokutu ve výši 1,3 miliardy dolarů za nedodržení parametrů ochrany osobních údajů definovaných GDPR. 😲
Pokud tedy máte zákazníky v regionu EU, musíte tuto věc vyřešit a to co nejdříve!
Tento blogový příspěvek vám poskytne jasné pochopení souladu s GDPR, praktický kontrolní seznam pro jeho dosažení a několik užitečných nástrojů pro automatizaci a zefektivnění procesu.
Jdeme na to. 🎢
GDPR 101: Základy
Co je GDPR?
GDPR je nařízení prosazované EU za účelem ochrany osobních údajů fyzických osob v tomto regionu. Stanovuje, jakým způsobem mají podniky shromažďovat, uchovávat, používat a v konečném důsledku chránit osobní údaje občanů EU.
Zákon byl zaveden v květnu 2018 a významně ovlivnil způsob, jakým společnosti komunikují se zákazníky. Tyto vyčerpávající pokyny byly zavedeny za účelem regulace tří širokých aspektů ochrany osobních údajů:
- Ochrana osobních údajů: GDPR poskytuje jednotlivcům větší kontrolu nad jejich osobními údaji, včetně práva na přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů, námitku proti zpracování a informování o činnostech souvisejících se zpracováním údajů.
- Zabezpečení dat: Vyžaduje, aby společnosti zavedly vhodná technická a organizační opatření k ochraně osobních údajů před neoprávněným přístupem, pozměněním, zveřejněním nebo zničením.
- Odpovědnost: Společnosti jsou odpovědné za prokázání souladu s GDPR. To zahrnuje provádění posouzení dopadu na ochranu osobních údajů (DPIA) u vysoce rizikových zpracovatelských činností, jako je bankovnictví, a v určitých případech jmenování pověřence pro ochranu osobních údajů (DPO).
🚦Nezapomeňte: Každá organizace, která shromažďuje nebo zpracovává osobní údaje obyvatel EU, bez ohledu na sídlo společnosti, musí být v souladu s GDPR. To zahrnuje malé podniky, nadnárodní korporace a dokonce i neziskové organizace.
O jakých datech je řeč?
GDPR se zaměřuje na osobní identifikační údaje (PII), což jsou jakékoli informace, které lze použít k přímé nebo nepřímé identifikaci jednotlivce. Příklady zahrnují:
- Přímé identifikátory: jméno, adresa, číslo sociálního pojištění nebo ekvivalent, telefonní číslo, e-mailová adresa
- Nepřímé identifikátory: pohlaví, rasa, datum narození, geografický ukazatel, povolání, demografické údaje
- Citlivé osobní údaje: číslo řidičského průkazu, číslo pasu, biometrické údaje, finanční informace, lékařské záznamy, informace o elektronických a digitálních účtech, osobní záznamy zaměstnanců, informace o heslech, identifikační čísla školy
Další informace: 10 nejlepších softwarů pro správu dat (recenze a ceny )
Co to znamená pro podniky?
Z pohledu GDPR jste buď správcem údajů, nebo zpracovatelem údajů, který pracuje s údaji občanů EU. V závislosti na tom, do které kategorie spadáte, se mohou lišit očekávání, která jsou na vás jako na podnik kladena.
- Správce údajů: Jedná se o subjekt, který určuje účel a prostředky zpracování osobních údajů. Je odpovědný za zajištění souladu s GDPR.
- Zpracovatel údajů: Jedná se o subjekt, který zpracovává osobní údaje jménem správce údajů. Musí se řídit pokyny správce údajů.
V reálném příkladu by správcem údajů mohla být nemocnice a zpracovatelem údajů poskytovatel cloudového úložiště, kde nemocnice ukládá záznamy o pacientech. Jako správce údajů rozhoduje nemocnice o tom, jaké informace budou uloženy a jak budou použity. Poskytovatel cloudových služeb (zpracovatel údajů) pouze bezpečně ukládá údaje podle pokynů nemocnice.
🚦Nezapomeňte: GDPR klade větší odpovědnost na správce údajů, aby vytvořili a implementovali ochranu soukromí již ve fázi návrhu do všech svých obchodních procesů.
GDPR: Zákon o ochraně osobních údajů nebo zákon o ochraně informací?
Zákony o ochraně soukromí a ochraně osobních údajů se často používají zaměnitelně, ale mají odlišné nuance. I když se oba zabývají ochranou osobních údajů, přistupují k této otázce z mírně odlišných úhlů.
Zákon o ochraně soukromí v nejširším smyslu se týká ochrany jednotlivců před zásahy do jejich osobního života a fyzického prostoru, jako jsou například nechtěné návštěvy doma. Zákon o ochraně osobních údajů se naopak zaměřuje konkrétně na ochranu osobních údajů, jako jsou IP adresy nebo e-maily.
V praxi může služba, ke které jste se přihlásili, získat přístup k vaší poloze prostřednictvím GPS vašeho telefonu a zasílat vám aktualizace specifické pro vaši lokalitu, nebo může doručovací služba zasílat zásilky na vaši domácí adresu. Pokud dojde u některé z těchto společností k úniku dat, vaše domácí adresa se náhle stane veřejnou a může být zneužita.
V tomto kontextu GDPR primárně chrání osobní údaje, ale dotýká se také širších otázek ochrany soukromí.
GDPR se netýká pouze ochrany osobních údajů. Jedná se o základní práva, včetně práva na soukromí a práva být zapomenut.
GDPR se netýká pouze ochrany osobních údajů. Jedná se o základní práva, včetně práva na soukromí a práva být zapomenut.
Kontrolní seznam pro dodržování GDPR: Váš plán pro ochranu údajů
Nyní, když jsme rozluštili kód GDPR (alespoň jeho základy!), podívejme se na obecné kroky, které je třeba zahrnout do kontrolního seznamu pro audit GDPR, abyste dosáhli souladu s tímto nařízením.
1. Zmapujte své zdroje dat
Než budete moci data chránit, musíte pochopit, jaká data shromažďujete. Proveďte audit, abyste zjistili, jaká osobní data vaše firma shromažďuje, odkud pocházejí a jak jsou používána.
Abyste to mohli udělat efektivně, musíte se zaměřit na následující:
- Inventář dat: Vytvořte podrobný inventář všech kategorií shromážděných osobních údajů, včetně jmen, adres, kontaktních údajů, finančních údajů, biometrických údajů a dalších.
- Zdroje dat: Identifikujte zdroje těchto dat, jako jsou webové stránky, formuláře, externí poskytovatelé nebo fyzické interakce.
- Činnosti související se zpracováním dat: Určete, jak jsou data používána, včetně ukládání, zpracování, přenosu a sdílení.
- Uchovávání dat: Stanovte zásady uchovávání dat (jak dlouho data zůstávají ve vašem systému), které jsou v souladu se zásadami GDPR a minimalizují ukládání osobních údajů.
- Tok dat: Zmapujte tok dat ve vaší organizaci a směrem k externím stranám. Do této kategorie spadá například externí doručovací služba, která realizuje vaše zásilky.
💡 Tip pro profesionály: ClickUp CRM může být vaším komplexním řešením pro mapování a ukládání zákaznických dat. Od zaznamenávání e-mailových adres v prodejních kontaktech až po sledování zákaznické cesty a dalších interakcí vám pomůže organizovat všechna data na jednom místě.
2. Najměte si pověřence pro ochranu osobních údajů (DPO)
DPO funguje jako jediný kontaktní bod pro ochranu osobních údajů ve vaší organizaci.
Jako odborník na ochranu osobních údajů zajišťuje pověřenec pro ochranu osobních údajů, aby postupy organizace v oblasti údajů byly v souladu s požadavky GDPR. V rámci své role pověřenec pro ochranu osobních údajů vyřizuje žádosti subjektů údajů, reaguje na porušení ochrany údajů, pomáhá při posuzování rizik a slouží jako spojovací článek s orgány pro ochranu osobních údajů.
Aby se kandidát mohl stát DPO, musí mít odborné znalosti v oblasti práva na ochranu osobních údajů a být snadno dostupný pro zaměstnance a subjekty údajů. Jmenováním kvalifikovaného DPO můžete prokázat svůj závazek k ochraně osobních údajů, snížit riziko nesouladu s předpisy a posílit svou důvěryhodnost jako podnik u zákazníků.
Další informace: Jak používat AI pro správu dat (případy použití a nástroje)
3. Dokumentujte celý proces GDPR
Vše zdokumentujte! Vypracování zásad zpracování dat zahrnuje popsání každého jednotlivého procesu, abyste mohli přesně určit, kde budou data zákazníků uložena nebo jak dlouho budou uložena po zrušení jejich předplatného.
Ujistěte se, že přehled procesu a podrobné informace jsou jasně definovány a přístupné pro všechny týmy, které je budou muset pravidelně aktualizovat nebo se na ně odkazovat.
Využijte ClickUp Docs k vedení centralizovaného a snadno přístupného záznamu o svých činnostech souvisejících se zpracováním dat, včetně typu dat, právního základu pro jejich shromažďování a doby uchovávání.
Vytvořte samostatné dokumenty pro různé aspekty souladu, jako je mapování dat, zásady uchovávání dat, plány reakce na porušení ochrany dat a hodnocení rizik.
Tyto dokumenty lze uspořádat do hierarchické struktury pomocí vnořených stránek, což usnadňuje jejich procházení a vyhledávání. Můžete také využít funkce ClickUp pro spolupráci, jako je @mentions, a zapojit do procesu příslušné týmy a jednotlivce, aby byli všichni informováni a měli stejné informace.
4. Přehodnoťte své procesy sběru dat
Opravdu potřebujete všechna ta data? GDPR klade důraz na princip minimalizace dat, který vyžaduje, aby organizace shromažďovaly a zpracovávaly pouze osobní údaje nezbytné pro konkrétní účely.
Abyste zajistili dodržování předpisů, pravidelně vyhodnocujte své postupy shromažďování údajů a ujistěte se, že jsou omezeny na to, co je nezbytné a přiměřené vašim obchodním cílům. Zde je několik věcí, které je třeba zvážit:
Omezení účelu
Ujistěte se, že data, která shromažďujete, přímo souvisejí s vašimi obchodními cíli a nejsou používána k nezamýšleným účelům. Například pro zpracování objednávek může e-commerce web shromažďovat jména zákazníků, adresy a platební údaje. Tato data by neměla být bez souhlasu zákazníka používána pro cílenou reklamu.
Minimalizace údajů
Zjistěte, zda lze některá datová pole odstranit nebo anonymizovat, aniž by tím byl ohrožen účel shromažďování dat . Platforma sociálních médií může zpočátku shromažďovat celé jméno, e-mailovou adresu a datum narození uživatelů. Pokud však platforma může adekvátně fungovat pouze s uživatelskými jmény a e-mailovými adresami, měla by shromažďování osobních údajů minimalizovat.
Uchovávání dat
Zaveďte vhodné zásady uchovávání dat, abyste zajistili, že data nebudou uchovávána déle, než je nutné. Z důvodu dodržování předpisů může banka uchovávat záznamy o žádostech o kreditní karty po určitou dobu. Po uplynutí stanovené lhůty mohou být tato data anonymizována nebo smazána.
Souhlas
Pokud se při zpracování údajů opíráte o souhlas jako právní základ, ujistěte se, že je svobodně udělený, konkrétní, informovaný a jednoznačný. Mobilní aplikace žádá uživatele o souhlas se shromažďováním údajů o poloze za účelem personalizovaných doporučení. Souhlas by měl být svobodně udělený a konkrétní (například přístup k poloze pouze při používání aplikace).
Oprávněné zájmy
Pokud se opíráte o oprávněné zájmy, pečlivě zvažte, zda převažují nad zájmy, právy a svobodami jednotlivce. Novinářská organizace může zpracovávat kontaktní údaje novinářů, aby usnadnila komunikaci a spolupráci. To lze považovat za oprávněný zájem pro novinářskou činnost.
🌈 Věděli jste, že... SOC 2 je rámec ekvivalentní GDPR, který je úzce spjat s americkými podniky. Jedná se o dobrovolný standard, který organizace používají k prokázání svého závazku k zabezpečení a ochraně osobních údajů.
Zatímco GDPR je právní předpis zaměřený na ochranu osobních údajů fyzických osob v Evropské unii, SOC 2 lze považovat za doplňkový standard. Splněním požadavků SOC 2 můžete prokázat, že jste podnikatelský subjekt zodpovědný za ochranu údajů a dodržujete celosvětově uznávaná opatření v oblasti bezpečnosti údajů.
5. Dávejte pozor na úniky dat a jednejte rychle
Při hlášení porušení ochrany osobních údajů podle GDPR musí organizace posoudit potenciální riziko pro práva a svobody jednotlivců. To zahrnuje zvážení typu ohrožených údajů, pravděpodobnosti neoprávněného přístupu a potenciálních důsledků pro dotčené osoby.
GDPR ukládá povinnost nahlásit porušení ochrany osobních údajů do 72 hodin, pokud existuje vysoké riziko negativního dopadu na práva a svobody jednotlivců.
V mnoha případech musí organizace také přímo informovat dotčené osoby a poskytnout jim jasné informace o porušení, dotčených údajích a krocích, které jsou podnikány k jeho řešení.
Kromě toho je nutné provést důkladné vyšetřování, aby bylo možné pochopit příčinu porušení a zavést preventivní opatření. Je nezbytné vést podrobné záznamy o celém procesu, včetně kroků podniknutých k nahlášení porušení a zmírnění jeho dopadu.
Případová studie: Únik dat společnosti British Airways
V roce 2018 došlo u společnosti British Airways k významnému úniku dat, který postihl přibližně 500 000 zákazníků. Hackeři získali neoprávněný přístup do rezervačního systému letecké společnosti a ukradli osobní údaje, jako jsou jména, adresy, údaje o platebních kartách a cestovní itineráře.
Toto porušení bylo jasným porušením GDPR, protože se jednalo o neoprávněné zpracování osobních údajů ve velkém měřítku. British Airways byla za tento incident pokutována britským Úřadem pro informační komisaře (ICO) částkou 20 milionů liber.
6. Upřednostněte transparentnost při shromažďování údajů
Vaši zákazníci mají právo přesně vědět, jaké údaje shromažďujete a jak je používáte. Zde je několik kroků, které můžete podniknout, abyste zajistili transparentnost svých procesů shromažďování údajů:
- Jasné a stručné zásady ochrany osobních údajů: Poskytněte snadno přístupné a srozumitelné zásady ochrany osobních údajů, které jasně popisují vaše postupy v oblasti nakládání s údaji. Tyto zásady by měly být napsány srozumitelným jazykem a neměly by obsahovat právní žargon.
- Informovaný souhlas: V procesu získávání souhlasu uveďte účely shromažďování údajů, typy shromažďovaných údajů a práva zákazníků týkající se těchto údajů.
- Žádosti subjektů údajů o přístup: Reagujte na žádosti subjektů údajů o přístup rychle a komplexně. To znamená poskytnout jednotlivcům kopii jejich osobních údajů a informace o tom, jak jsou zpracovávány.
- Sdílení údajů s třetími stranami: Pokud jsou osobní údaje sdíleny s třetími stranami, zajistěte, aby byla zavedena vhodná opatření na ochranu údajů a aby třetí strany také dodržovaly GDPR.
7. Zajistěte souhlas rodičů u nezletilých zákazníků
GDPR vyžaduje, aby podniky ve většině zemí EU před zpracováním osobních údajů dětí mladších 16 let získaly souhlas rodičů nebo zákonných zástupců.
K ověření věku svých uživatelů používejte spolehlivé metody, jako je požadavek souhlasu rodičů nebo využití služeb ověřování věku. Pokud je získán souhlas rodičů, musí být svobodný, konkrétní, informovaný a jednoznačný.
Kromě toho uchovávejte podrobné záznamy o procesu získávání souhlasu, včetně data, způsobu a totožnosti strany, která souhlas udělila. Přidejte další kroky, abyste zajistili, že od dětí nebudou shromažďovány žádné citlivé informace a že jejich údaje nebudou uchovávány déle, než je nutné.
Případová studie: TikTok vs. Irská komise pro ochranu osobních údajů
Společnost TikTok byla irskou komisí pro ochranu osobních údajů (DPC) pokutována částkou 379 milionů dolarů za nedostatečnou ochranu osobních údajů dětí. DPC zjistila, že společnost TikTok nezískala platný souhlas dětí mladších 13 let, jak to vyžaduje GDPR.
Kromě toho DPC kritizoval TikTok za to, že nedělá dost pro to, aby zabránil dětem v prohlížení potenciálně škodlivého obsahu. Jedná se o jednu z nejvyšších pokut uložených podle GDPR, což podtrhuje význam ochrany údajů dětí online.
8. Používejte dvojité potvrzení souhlasu
Aby byl proces získávání souhlasu skutečně informovaný, vyžádejte si před zpracováním údajů zákazníků, včetně jejich e-mailových adres, pro marketingové účely jejich výslovný souhlas. Proces dvojitého potvrzení je spolehlivou metodou, jak zajistit, že se jednotlivci vědomě a dobrovolně přihlásili k odběru e-mailů.
Jak funguje dvojité potvrzení?
- Počáteční přihlášení: Když osoba zadá svou e-mailovou adresu, aby se přihlásila k odběru e-mailového seznamu, obdrží potvrzovací e-mail.
- Potvrzení: Jednotlivec musí kliknout na odkaz nebo tlačítko v potvrzovacím e-mailu, aby dokončil proces registrace.
Tento dvoufázový ověřovací proces pomáhá předcházet spamu a zajišťuje, že jednotlivci aktivně souhlasili s přijímáním e-mailů. Implementací procesu dvojitého potvrzení můžete snížit riziko, že budete označeni za nevyžádaný e-mailový marketing.
9. Pravidelně aktualizujte své zásady ochrany osobních údajů
Pravidelně kontrolujte a aktualizujte své zásady ochrany osobních údajů, aby odrážely veškeré změny ve vašich postupech nakládání s údaji nebo v právních požadavcích. Zaměřte se na následující body, aby vaše zásady ochrany osobních údajů byly vždy v nejlepším stavu:
- Přesnost: Ujistěte se, že informace ve vašich zásadách ochrany osobních údajů jsou přesné a aktuální.
- Přístupnost: Zajistěte, aby vaše zásady ochrany osobních údajů byly snadno dostupné na vašem webu, a uveďte odkaz na ně na dalších relevantních stránkách.
- Konzistence: Zajistěte, aby vaše zásady ochrany osobních údajů byly v souladu s vašimi skutečnými postupy při nakládání s údaji.
💈Bonus: Hledáte inspiraci? Podívejte se na zásady ochrany osobních údajů ClickUp.
10. Posuďte rizika spojená s třetími stranami
Jako podnikatelský subjekt odpovědný za údaje máte povinnost důkladně zkontrolovat, zda vaši externí partneři dodržují GDPR. Víme, že to je snazší říct než udělat! Zde je však přehled postupu, který vám pomůže vytvořit zásady pro audity externích partnerů:
- Vytvořte jasnou smlouvu o zpracování údajů, která stanoví rozsah práce, sdílené údaje, bezpečnostní opatření a odpovědnosti obou stran.
- Proveďte důkladnou kontrolu těchto třetích stran a vyhodnoťte jejich zásady ochrany osobních údajů, certifikace a reference.
- Posuďte rizika spojená se sdílením dat s nimi, zohledněte faktory jako citlivost dat, činnosti související se zpracováním a jejich geografickou polohu, ať už se nacházejí uvnitř nebo vně EU.
- Provádějte pravidelnou kontrolu dodržování předpisů a provádějte audity.
Zvládnutí souladu s GDPR pomocí automatizovaných nástrojů
Páni, to je ale dlouhý kontrolní seznam. Naštěstí se touto cestou k dodržování předpisů nemusíte vydávat sami.
Existuje několik digitálních nástrojů GRC, které mohou tento proces zefektivnit a usnadnit vám život, a jedním z nich je ClickUp. Jako komplexní platforma pro řízení projektů může ClickUp snadno sloužit jako vaše centrála pro dodržování GDPR.
Při nastavování tak náročného procesu, jako je kontrolní seznam pro dodržování GDPR, potřebujete postupovat krok za krokem, a my v ClickUp se zaměřujeme právě na jednotlivé kroky. 🪜
Funkce jako ClickUp Task Checklists jsou navrženy tak, aby rozložily a spravovaly složité procesy, jako jsou tyto. Představte si je jako seznamy úkolů v rámci vašich úkolů. Vytvořením kontrolních seznamů můžete jasně definovat konkrétní akce potřebné k dokončení úkolu, přiřadit je členům týmu a sledovat jejich průběh.
Chcete-li v ClickUp používat kontrolní seznamy úkolů, stačí vytvořit nový úkol, kliknout na kartu „Kontrolní seznamy“ v úkolu a přidat jednotlivé kroky. Kontrolní seznam shody můžete poté rozdělit na menší, lépe zvládnutelné podúkoly, například takto:
Jakmile budou všechny kroky připraveny v seznamech úkolů, přiřaďte každý úkol příslušným týmům, například právnímu týmu, aby se proces mohl rozběhnout.
Můžete také použít zobrazení Ganttova diagramu ClickUp, abyste tento proces vizualizovali na časové ose, sledovali svůj pokrok a vytvořili jasné odhady časového harmonogramu pro dokončení projektu.
A tím to nekončí. Jakmile máte proces nastavený, využijte ClickUp Automation k provedení konkrétních akcí na základě vašich definovaných pravidel. Můžete například nastavit vlastní automatizaci, která každé tři měsíce upozorní uživatele, aby přidali vstupy, zkontrolovali a aktualizovali zásady ochrany osobních údajů.
A nakonec, dodržování zásad GDPR vyžaduje VELKÉ množství dokumentace.
Pokud se v kterémkoli bodě procesu zaseknete, použijte ClickUp Brain, vestavěného asistenta AI ClickUp, který vám pomůže sepsat zásady srozumitelným a přímým jazykem nebo dokonce provést průzkum osvědčených postupů v oboru pro GDPR.
ClickUp navíc nabízí vlastní šablony, které vám usnadní proces plánování kontrolního seznamu.
Šablona plánu projektu pro dodržování předpisů od ClickUp
Šablona plánu projektu pro dodržování předpisů od ClickUp nabízí komplexní řešení pro správu vašich snah o dodržování předpisů GDPR. Jeho zobrazení požadavků na dodržování předpisů vám umožňuje vypsat všechny nezbytné předpisy, zatímco zobrazení stavu dodržování předpisů poskytuje jasný přehled o pokroku a identifikuje oblasti, které nejsou v souladu s předpisy. Zobrazení přidání požadavků zajišťuje, že můžete snadno začlenit nové předpisy, jakmile vzniknou. Celkově tato šablona zefektivňuje proces dodržování předpisů, pomáhá vám udržovat pořádek, sledovat pokrok a zajistit dodržování standardů GDPR.
Šablona kontrolního seznamu projektu ClickUp
Šablona kontrolního seznamu projektu ClickUp vám pomůže nastínit základní kroky procesu zajištění souladu. Obsahuje přehledy obecných dílčích úkolů, které tvoří základ každého projektu. Tuto šablonu můžete použít k:
- Nastavte správný postup úkolů, aby každý krok navazoval na ten předchozí. Tím předejdete chybám a opomenutím.
- Předvídejte potenciální výzvy a rizika související s dodržováním GDPR a proaktivně řešte tyto problémy.
- Uveďte termíny pro každý úkol a zajistěte, aby byl celý projekt dokončen včas.
Snadné zajištění souladu s předpisy díky ClickUp
Dobře strukturovaný kontrolní seznam pro dodržování GDPR je nezbytný pro zajištění toho, aby vaše organizace splňovala požadavky tohoto důležitého nařízení.
Funkce pro správu projektů ClickUp poskytují výkonnou platformu pro vytváření a správu kontrolního seznamu pro dodržování GDPR. Rozdělením tohoto zdánlivě složitého procesu na menší, zvládnutelné úkoly můžete efektivně sledovat pokrok, identifikovat potenciální problémy a zajistit dodržování předpisů.
Od nastínění procesu přes přidělení odpovědností, sledování pokroku až po spolupráci s vaším týmem – ClickUp vám pomůže udržet váš projekt dodržování předpisů na správné cestě.
Zaregistrujte se a získejte bezplatný účet ClickUp a rozjeďte svůj proces GDPR!