GDPR eshop a web - v kostce

GDPR – v kostce - rychlý přehled / poznámky

  • Týká se fyzických, nikoliv právnických osob
  • http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

Osobní údaje (OÚ)

Údaje, na základě kterých je možné danou osobu identifikovat, jak přímo, tak i nepřímo.

  • jméno a příjmení, adresa, e-mailová adresa, věk, rč, číslo OP, BÚ, telefon, apod.
  • údaje, podle kterých se v zásadě konkrétní fyzická osoba identifkovat nedá – např. IP Adresa

Souhlas

  1. Souhlas se zpracováním osobních údajů – [nejlépe checkbox s odkazem na bližší informace]
  2. Souhlas pro účely oprávněných zájmů - poskytnutí třetím osobám (partnerským společnostem – doprava, platba
  3. Souhlas s uložením souhlasu
  • Subjekt (zákazník) smí souhlas kdykoliv odvolat (jednoduchou formou, nejlépe kliknutím na nějaký odkaz či tlačítkem v administraci)
  • Služba/Produkt by neměla být vázána (podmíněna) na souhlas, tedy pokud je to možné, měla byt poskytnuta i bez uděleného souhlasu. – účelové omezení - SOUHLASY NEDÁVAT DO SMLUV, , DÁVAT TO JJAKO SAMOSTATNÝ DOKUMENT! NEDÁVAT JEN DO OBCHODNÍCH PODMÍNEK, MUSÍ TO BÝT JEDNOZNAČNÉ A POPSANÉ
  • Souhlas osoby musí být tedy dobrovolný, přičemž musí být jasně a srozumitelně uvedeno, jaké údaje a za jakým účelem bude daná organizace zpracovávat.

Zaškrtnutím tlačítka „Souhlasím se zpracováním osobních údajů“ dávám společnosti XY dobrovolný souhlas se zpracováním mých osobních údajů, konkrétně jména, příjmení a e-mailové adresy, která může být použita za účelem mé identifikace, a k zasílání obchodních nabídek.

Prohlašuji, že jestliže mi je méně než 16 let, tak jsem požádal svého zákonného zástupce (rodiče) o souhlas se zpracováním mých osobních údajů.

Evidence pohybu OÚ

-          Veškeré pohyby OÚ je nutné evidovat

  • Prvotní evidence souhlasu
  • Evidence pohybu OÚ – např. předání 3. Straně – Dopravce
  • Evidence odvolání souhlasu

Ustanovení osoby - DPO

Ustanovení osoby zodpovědné za bezpečnost uchování dat / OÚ (může být majitel firmy) – pověřenec. Nutno připravit soupis typů osobních údajů, které spravujete, za jakým účelem, po jak dlouhou dobu, a v jakých systémech.

Informace a přístup k OÚ

 

  • Totožnost správce (může být majitel firmy)
  • Kontaktní údaje pověřence
  • Účely zpracování
  • Kategorie dotčených OÚ
  • Doba uložení OÚ (po 2 letech by se měla smazat)
  • Příjemce údajů nebo kategorie
  • Případné předání 3. zemi (např. data uložená na cloudu – google)
  • Oprávněné zájmy správce nebo třetí strany
  • Poučení o právech

 

Smazání OÚ

  • Pokud nejsou zapotřebí – neexistují další právní důvody, zákonnost zpracování
  • Subjekt odvolal souhlas či vznesl námitky proti zpracování (nedal prvotní souhlas)

Kde všude smazat

  • Databáze
  • Souborový systém
  • Maily (mail server)
  • Lokální PC
  • Cloudy
  • Zálohy
  • Papírová podoba (dle informací by měla být např. skartovačka na heslo, aby bylo evidováni kdo a kdy dokument skartoval)
  • Apod.

 

Zabezpečení

  • Zabezpečení přenosu dat přes šifrovaný protokol – HTTPS
  • Povinnost zajistit důvěrnost, integritu a dostupnost těchto informací v úložišti, při přenosu i během zpracování.
  • Musí být zajištěna bezpečnost informací během celého jejich životního cyklu a to při přenosu, v úložišti i při zpracování. Jinými slovy k těmto datům musí být řízen přístup na principu need-to-know a musí být auditovány veškeré přístupy k těmto datům a případně musí být tato data i šifrována

Odkazy


https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744