GDPR třídy

GDPR se nějakým způsobem týká skoro všech. Každého se ale týká v jiném rozsahu, přiměřeně tomu, jakým způsobem osobní data zpracovává. Pro snazší orientaci jsme vytvořili 6 základních tříd a k nim i patřičná doporučení, na co se pro splnění GDPR povinností zaměřit. Připravili jsme pro Vás i GDPR dotazník, kde během 5 minut zjistíte, do které třídy spadáte a které kroky byste měli provést.

A. třída

osobní údaje nemám

Všichni, kdo osobní údaje neukládají. (S výjimkou údajů pro ryze osobní potřebu.)
Spadá sem většina lidí-nepodnikatelů, výjimečně i někteří podnikatelé.

B. třída

osobní údaje ukládám, ale dále je nezpracovávám

Mnoho malých živnostníků, typicky provádějících svoji činnost osobně, buď u zákazníka nebo „v terénu“. Nevyužívají moderních marketingových kanálů. I tak by ale měli dodržovat základní pravidla zabezpečení svých dat, a to nejen kvůli GDPR.
Řemeslníci, kadeřnice, podnikatelé ve službách…

C.třída

osobní údaje mám, zpracovávám, ale nikomu nepředávám

Živnostníci, firmy, ale také různé zájmové spolky. Ať už jde o data zaměstnanců, členů, klientů nebo obchodních partnerů, jedná se o zpracování osobních údajů. V takovém případě už je třeba dbát na základní zabezpečení systémů, do nichž se data ukládají, a také zajistit, aby měly přístup jen oprávněné osoby. Podle rozsahu je pak zapotřebí vhodně zvolit způsob, jakým budou o zpracovávání dat lidé informováni a jakým způsobem budou zajištěna jejich práva. Výjimku pro předávání tvoří externí účetní a daňové firmy, státní instituce a podobně, neboť takové předávání slouží ke splnění zákonných povinností.
Drobné firmy se zaměstnanci, malé e-shopy, všichni, kdo mají web s registrací…

D.třída

osobní údaje mám, zpracovávám a předávám dalším

Jedna z největších skupin – sem spadají především firmy, které využívají online marketing, ať už cílené reklamy, nebo jen sledování návštěvníků webu pomocí Google Analytics. Zejména u webových služeb je třeba dbát na správné informování návštěvníka o zpracování a předávání jeho údajů dalším subjektům. I pouhé ukládání osobních údajů do cloudu může být předáváním. Je třeba zajistit správně formulované souhlasy návštěvníků s takovým zpracováním. Pro větší rozsah zpracovaných údajů je vhodné zvolit online řešení, takže v této kategorii bude často nutná úprava stávajících webů a systémů.
Větší e-shopy s cílenou reklamou, různé výrobní firmy s externími dodavateli, firmy využívající cloudové služby…

E.třída

osobní údaje zpracovávám pro někoho jiného

Analytické a marketingové společnosti, pro které je zpracovávání osobních údajů součástí nabídky dalším firmám. Je třeba dbát vyšší opatrnosti. V tomto případě se velmi doporučuje důkladný audit IT řešení. Je také důležité s obchodními partnery správně smluvně zajistit rozdělení odpovědnosti za zpracovávaná data. Je v zájmu takové firmy, aby měla velmi dobře ošetřen celý proces předávání a zpracování dat. Nejen kvůli GDPR, ale i proto, aby byla důvěryhodným obchodním partnerem.
Online služby nabízející rozesílání newsletterů, analytici na volné noze, markeťáci na volné noze i agentury…

F.třída

představuji vysoké riziko úniku či zneužití osobních údajů

Patří sem celá státní správa, ale i korporáty ze sféry byznysu. V tomto případě už je třeba individuální přístup a doporučujeme se obrátit na právní kancelář. Pro splnění GDPR povinností je třeba zpracovat DPIA (posouzení vlivu na zpracování osobních údajů) a nechat prověřit povinnost zřízení DPO (pověřence pro ochranu osobních údajů).
Státní správa, obce, nemocnice, banky, pojišťovny, bezpečnostní agentury, call centra…

Rozsah a riziko

Jak moc to mám vše brát vážně?

U každé třídy stanovujeme navíc orientační údaj o rozsahu zpracovávaných údajů a riziku případných postihů. Podle množství zpracovávaných údajů, velikosti a obratu firmy stanovujeme 3 základní rozsahy:

1. Malý rozsah - je velmi pravděpodobné, že bude stačit splnit základní povinnosti vlastními silami neboli selským rozumem. I tak je ale vhodné se zamyslet nad doporučeními, která pro danou třídu dáváme. Už jen proto, že každá firma může jednou vyrůst.

2. Střední rozsah - zpracování se bude týkat většiny malých a středních firem, zejména e-shopů. Většinu povinností lze splnit vlastními silami.

3. Velký rozsah - doporučujeme individuální posouzení a případné využití právních a IT služeb.