Všeobecné

Zoznam úloh pre GDPR

17. apríla 2018

Dátum platnosti GDPR (25. máj 2018) sa už nezadržateľne blíži a mali by ste mu venovať pozornosť aj vy. GDPR ovplyvní asi každého, kto podniká resp. prichádza do styku s osobnými údajmi.

Určite viete, že medzi bežne spracovávané osobné údaje patria napríklad:

  • meno a priezvisko,
  • adresa trvalého alebo prechodného pobytu,
  • dátum narodenia,
  • e-mail,
  • telefónne číslo…

Argument, že napr. e-mail nie je osobný údaj už dnes určite neobstojí. Môžeme mať napríklad e-mail ako andrej_danko@nrsr.sk a hneď vieme, ktorému kapitánovi tento e-mail patrí. Čiže osobným údajom už dnes treba chápať čokoľvek, čo vedie k presnej identifikácii osoby. Mimochodom Andrejov e-mail je voľne dostupný tu.

Skúsme sa teda pozrieť na pár bodov, ktoré by ste si mali určite prejsť. Zameriavať sa budeme hlavne na online podnikanie ale aplikovateľné to môže byť aj mimo online priestoru.

1. Nájdite styčné body s osobnými údajmi

Sadnite si s kolegami a nakreslite si “mapu”, kde všade prichádzate do styku s osobnými údajmi. Dobrou pomôckou je, keď si každý z kolegov nakreslí najskôr len svoj pracovný deň a miesta, kde sa dostáva k osobným údajom sa veľmi rýchlo ukážu.

2. Uistite sa, že dáta zbierate legálne

Všetky dáta, ktoré spracovávate alebo využívate na marketing, musia byť podložené súhlasom. Tieto súhlasy nezabudnite pridať k vašim formulárom a miestam kde údaje získavate. Myslite na ne už pri ich získavaní. Dôležité je, že takýto súhlas nesmie byt predvybratý ale musí ho užívateľ zakliknúť sám. Súhlas so spracovaním údajov nekombinujte so súhlasom na marketingové aktivity.

Netreba zabudnúť ani na dáta, ktoré už máte. Treba sa uistiť, že tieto dáta boli získané legálne a vieme presne určiť aj ich pôvod.

3. Dajte používateľom vedieť, aké dáta zbierate a na čo ich chcete použiť

Dajte svojím používateľom alebo zákazníkom vedieť, aké dáta zbierate, na čo by ste ich chceli použiť a ako dlho ich uchovávate. Ako veľmi dobrý nástroj odporúčam Mall, samozrejme, nespravte Ctrl+C a Ctrl+V ale napíšte si to podľa vašej situácie.

Používateľ vás takisto môže požiadať, aby ste mu poskytli resp. vymazali údaje, ktoré o ňom viete. Toto ale môže byť nemalý task pre developerov. Ak ale využívate WordPress, máte veľké šťastie, lebo sa už pracuje na tom, aby toto WordPress ponúkal už v základe.

4.Možnosť odhlásenia – Newsletter, remarketing a marketingová personalizácia

Možnosť odhlásenie z newslettra je dnes už štandardom. GDPR nám ale prináša menšiu nepríjemnosť. Akú? Používateľ, ktorý pred tým odsúhlasil cookies vám môže tento súhlas zrušiť. Tým pádom, keď takýto používateľ zadá požiadavku cez váš web, mali by ste notifikovať služby ako napríklad Google Analytics, Adwords, Facebook, Adform…, aby sa tá konkrétna cookie u nich zmazala.

Výsledok by mal byť, že už sa mu nebudú zobrazovať vaše personalizované reklamy či remarketing. Na tomto ale všetky služby ešte len pracujú a konkrétne postupy známe ešte nie sú. Google zatiaľ ponúka len možnosť vypnúť všetky personalizované reklamy.

5. Predíďte úniku osobných údajov

Po nástupe platnosti GDPR budete musieť reportovať každý únik osobných údajov. Ak zistíte únik osobných údajov, budete musieť sami seba nahlásiť do 72 hodín od zistenia incidentu. Cieľom by ale malo byť, aby k niečomu takému ani nedošlo. Uistite sa preto, že váš systém alebo miesto, kde uchovávate údaje, je bezpečné. Napríklad, pri webstránke si preverte, kam sa posiela kontaktný formulár, či sa ukladá niekde do databázy a kto tam má prístup. Pri e-shopoch je to trošku zložitejšie ale určite nepoužívajte jeden login pre celú firmu ale každý nech používa len svoj osobný prístup. Prekonzultujte aj úroveň zabezpečenia s vašim programátorom alebo agentúrou. Nenechajte sa odbiť krátkou odpoveďou ale pýtajte sa otázky ako napríklad:

  • Vieme kto, kedy a odkiaľ sa prihlásil do administrácie systému?
  • Ako sme chránení voči Brute force útokom?
  • Máme aktívne obmedzenie krajín, odkiaľ sa môže do administrácie prihlásiť?
  • Overujeme nejako integritu súborov či neboli narušené?
  • Ak máte nejaké exporty údajov – máme tieto exporty logované?

Ak používate nejaký open source systém ako napríklad WordPress, tak vám veľa veci pomôže vyriešiť plugin Wordfence.

Dbajte aj na to, ako vy sami niekomu posielate prístupy či údaje. Ak ste nútení niekomu poslať napr. nejaký excelový zoznam e-mailom, zaheslujte tento súbor a samotné heslo pošlite osobne cez SMS. Takto jednoducho viete pomôcť zabezpečeniu vašich dát.

6. Pseudonymizácia

Zavedením pseudonymizácie si ušetríte kopec starostí. Je síce pravda, že implementácia takéhoto riešenia môže byť tiež programátorsky náročná ale pri úniku pseudonymizovaného zoznamu nemusíte nikoho informovať, lebo vám vlastne nič neuniklo. Pseudonymizovaný export neobsahuje dáta, ktoré by vás doviedli ku konkrétnej osobe. Napríklad, ak vyrábate niečo na mieru, tak do výroby stačí zameniť osobné údaje za ID a tým pádom okruh ľudí, ktorí prichádzajú do styku s osobnými údajmi, sa značne zmenší.

Tu máme pre vás ďalšiu dobrú správu, ak používate WordPress a Woocommerce. Nástroje pre pseudonymizáciu sa tiež stanú súčasťou jadra WordPressu.

7. Updatnite si interné procesy vašej firmy

Interné procesy vašej firmy by mali zahŕňať niekoľko dôležitých bodov:

  • ako zaškolíte súčasných aj nových zamestnancov do problematiky GDPR
  • ako pristupujete k ochrane osobných údajov, túto časť nezabudnite pravidelne aktualizovať aj na vašej web stránke
  • postup, ako budete postupovať pri prípadnom úniku, tu budete musieť informovať aj samotné dotknuté osoby, tak aby ste boli na to pripravení
  • musíte si aj určit pracovníka, ktorý bude za GDPR vo firme zodpovedný

8. Vaším webom a eshopom to ale nekončí

Nezabudnite, že ak s niekým zdieľate vaše dáta, mali by ste mať tiež ošetrené, že tieto dáta budú u vašeho obchodného partnera v bezpečí. Každá služba, dodávateľ alebo API prepojenie, ktorému poskytujete dáta nevyhnutné k vašej činnosti, by tiež mali spĺňať všetky náležitosti GDPR. Toto môže byť napríklad kuriérska spoločnosť ale aj cloudové služby ako napríklad Dropbox a podobne.

Veľké spoločnosti na GDPR pripravené budú, skôr si preverte menších dodávateľov alebo menej rozšírené služby. V konečnom dôsledku sú to vaše dáta a vy ste za ne zodpovední.

9. Bonus bod – SSL

SSL certifikát nemá priamo z GDPR nič spoločné ale určite vám jeho implementáciu odporúčame, pretože od leta 2018 bude Google stránky bez SSL certifikátu označovať ako “nie bezpečné”.

Veríme, že vám tento článok pomohol v základnom rozhľade, na čo všetko je potrebné sa pripraviť a zamerať. Článok má len informatívny charakter, komplexnú problematiku sledujte na:

https://www.eugdpr.org/
http://sukromie.digital/
https://ec.europa.eu/info/law/law-topic/data-protection_sk
https://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf

Michal Greguš
Michal Greguš - Art director & Founder

Začínal som v oblasti digitálneho marketingu už v roku 2007. Po štúdiách Design & Digital Arts na Napier University v Edinburghu som si v agentúrach alebo ako freelancer prešiel viacerými pozíciami. Od art directora, UX designera, project managera, teamleadra som sa dostal až po CEO. Medzi moje projekty sa radia značky ako VUB, O2, Slovenská Sporiteľna, Volskwagen, Raiffeisen Bank, Hypoteční Banka, Soitron alebo aj GLS.