Všechny články

Otázky a odpovědi ke GDPR

Máte konkrétní otázku ke GDPR a hledáte konkrétní odpověď? Podívejte se, zda ji najdete u nás. V tomto článku zveřejňujeme otázky, které nás ke GDPR průběžně napadají nebo na které se ptají naši zákazníci či partneři. Tak, jak se GDPR postupně prokousáváme, otázky přidáváme. Cílem stránky je předložit praktické úvahy a pomoct co nejvíce firmám s orientací v GDPR a jeho pochopením.

Otázky a odpovědi ke GDPR

Věříme, že na tuto stránku zavítají i ti největší GDPR profesionálové a budeme rádi, když nás upozorní na to, jak o té které otázce správně přemýšlet, jak ji zodpovědět nebo kde přibližně odpověď najít.

Zpracování osobních údajů a námitka o zpracování

Jestliže subjekt osobních údajů vznese námitku o zpracování osobních údajů pro účely přímého marketingu, správce i zpracovatel o tom musí někdé vést záznam (např. z toho důvodu, aby příjemci, který odmítl e-mail marketingová obchodní sdělení už nechodily dál e-maily). Zpracování osobních údajů je definováno jako "operace nebo soustava operací, kterou správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými přostředky". Předpokládám, že pak tedy osobní údaje (minimálně e-mail a informace o tom, že je odhlášený) mohou ležet v databázi (to, že leží v databázi, není chápáno jako zpracování osobních údajů), ale nesmí se na ně posílat, je to tak?

Pro pochopení kontextu a toho, jak přemýšlejí IT lidé o datech:

  • I data staticky ležící v databázi se pravidelně zálohují, takže se s nimi pracuje, tedy se systematicky provádějí operace.
  • I když určitá data staticky leží v databázi, databázový engine s nimi občas stejně pracuje - načítá je do paměti např. tehdy, když si uživatel vyžádá z databáze pouze lidi z Prahy, databázový engine v některých případech projde veškeré lidi, aby mohl vyloučit ty, kteří nejsou z Prahy a vrátit jen ty, kteří opovídají fitrační podmínce - tedy se systematicky provádějí operace.
  • I když určitá data staticky leží v databázi, občas se dělá údržba databáze ("úklid") a data se přesouvají s místa na místo. Tedy se systematicky provádějí operace - automaticky.

Lidé právní ovšem zřejmě chápou volnost termínu "systematicky prováděné operace" úplně jinak. Takže jak s daty po námitce o zpracování naložit?

Otázka čeká na odpověď.

Jak a kde je definován oprávněný zájem?

Kdo rozhoduje o tom, co oprávněný zájem je a co není? Jsou k dispozici nějaké příklady?
Otázka čeká na odpověď.

Co používání LinkedIn a GDPR?

Dalo by se napasovat na osobní užití, na které se GDPR nevztahuje. Co ale HR, kteří prokazatelně používají pro konkrétní firmu? Čistě hypoteticky, pokud by firma měla dva zaměstnance, kteří používají pouze LinkedIn (a nic jiného) - pokud zaměstnanec firmy pracuje se svými "connections" - je pak firma v roli správce osobních údajů vůči všem lidem z "connections"? Je pak LinkedIn v roli zpracovatele osobních údajů?
Otázka čeká na odpověď.

Facebook a údaj "je ve vztahu" - jde o citlivý osobní údaj?

Facebook na profilu uživatele uvádí "je ve vztahu s X" - dá se tak dovodit sexuální orientace uživatele. Jde o citlivý osobní údaj?
Otázka čeká na odpověď.

Nemocenská v informačním sysému - jde o citlivý osobní údaj?

Zápisy a archivace docházky v informačním systému obsahuje informace o čerpané nemocenské, sick days. Dá se z nich nepřímo dovodit zdravotní stav (např. četné nemoci). Jde o citlivý osobní údaj?
Otázka čeká na odpověď.

Facebook a politické názory v příspěvku - jde o citlivý osobní údaj?

Na Facebooku se lze v příspěvku dočíst, že uživatel XYZ tvdí, že politická strana X je banda XXX a strana Y je naopak úplně skvělá. Z monitoringu příspěvků se dají dovodit politické názory. Analogicky též případ pro náboženské nebo filozofické vyznání. Je pak takový příspěvek citlivý osobní údaj?
Otázka čeká na odpověď.

Export veškerých relačních osobních dat z CRM?

Co když náš CRM systém neumožňuje export veškerých relačních osobních dat? Archivujeme například historii telefonické komunikace (přepis) a historii obchodních případů (i nezobchodované/neuzavřené případy). Je nutno dle práva na přenositelnost nabídnout ke stažení i toto? Značně se tím odkryjí karty konkurenci. Při průzkumu obchodních a marketingových strategií bude zřejmě velmi efektivní nakoupit v N firmách (stát se jejich zákazníkem) a následně si vyžádat data a účely zpracování.
Otázka čeká na odpověď.

Bude potřeba věk ověřovat úplně všude?

Souhlas rodiče se zpracováním osobních údajů je potřeba do minimálně 13 let (až 16 let, dle legislativy státu). Bude tak potřeba zjišťovat věk např. i u vytváření e-mailového účtu (na e-mailu pak buou ležet osobní data)? Jak se bude věk zjišťovat a jak se bude zjištění dokladovat? Scanem občanky dospělého nebo scanem rodného listu?
Otázka čeká na odpověď.

Co s avatarovými fotkami a články bývalých zaměstnanců?

V rámci publikační činnosti firmy někteří naši zaměstnanci psali a publikovali články na firemním blogu. U každého článku je fotka a jméno autora, v blogu je jaké profil autora - co dělá, co ho baví aj. Někteří autoři s námi již bohužel nejsou. Co s takovými články? Z webu je nechceme odstraňovat, protože pomáhají našim zákazníkům orientovat se v problematice marketingu. Mohli bychom odstranit fotky autorů a jejich jména. Nechceme jim ale zase upírat autorství. Co s tím? Získat od nich souhlasy? Je to potřeba? A jak by případně měly vypadat?
Otázka čeká na odpověď.

Co se skupinovými fotkami bývalých zaměstnanců?

V rámci firemní prezentace máme vytvořené společné skupinové fotky zaměstnanců. Někteří zaměstnanci s námi již bohužel nejsou. Co s tím? Přefotit všechny fotky a změnit je ve všech firemních materiálech je "logisticky" náročné. Začerňovat tváře asi taky není ono. Napadá vás, jak to řešit? Získat souhlasy od zaměstnanců? Co když je nedají? Pak začerňovat/rozmazávat/přefocovat?
Otázka čeká na odpověď.

Co s fotkami bývalých zaměstnanců na sociálních sítích a stránce firmy?

V rámci firemní prezentace čas od času vypublikujeme foto zaměstnance na sociální síť. Někteří zaměstnanci s námi již bohužel nejsou. Ať už jde o profilovou fotku nebo společnou fotku z nějaké akce, nechceme (není-li to nutné) mazat příspěvky z historie, aby to nerozbíjelo kontext a historii na sociální síti. Nechceme působit jako cenzoři. Co s tím? Získa souhlasy od bývalých zaměstnanců?
Otázka čeká na odpověď.

Jak technicky zrealizovat odbavení žádosti o osobní data?

Pracovní skupina ve svých metodických pokynech uvádí, že žádosti by měly být odbaveny ideálně automaticky – buď stažením ze zabezpečené sekce/odkazu nebo přes API. Což znamená, že musíme najít vhodný automatizovaný systém autentifikace žadatele. Ale jak na to?

Pokud například u firmy někdo udělá objednávku bez registrace, osobní data zůstanou ležet ve firemním systému. Firma ale není schopna nijak na dálku ověřit žadatele.

Na stejné adrese mohou také naprosto bez problémů bydlet dva lidé se stejným jménem i příjmením. Jak takové 2 žadatele od sebe rozpoznat, aby nedošlo k vydání osobních údajů někomu, komu údaje nepatří?

Kdokoliv může dokonce odeslat objednávku za třetí osobu. Prostě vyplní její osobní údaje. Děti běžně objednávají zboží pro své rodiče, manželé pro manželky, přítelkyně pro přítele apod. Takže autentifikace přes e-mail nebo znalost vyplněných údajů nebude často k identifikaci žadatele dostačovat.

Co teď? Budou si firmy nechávat zasílat společně s žádostí o osobní údaje notářsky ověřené občanky a pasy? Nebo budou nutit zákazníky žádat osobně s ověřením žadatele proti občance nebo pasu? Zatím nevíme.
Otázka čeká na odpověď.

Jak vyloučit šikanu firem přes přenositelnost osobních údajů?

Co když se rozhode konkurenční firma šikanovat svého “třídního nepřítele” tím, že mu bude zasílat falešné požadavky na přenositelnost dat? Např. si 200x vyžádá data, přičemž jen 1 subjekt z 200 bude platný? Pokud firma bude požadavky ignorovat, vystavuje se riziku pokuty. Pokud ne, bude je muset projít všechny, včetně těch falešných a bude jí to stát moře času.

Dokážeme si např. představit šikanu operátorů, kdy se lidé na sociálních sítích domluví a začnou svými žádostmi ždímat firemní zdroje. Je jen otázka času, kdy se najde chytrá hlava, která vytvoří sociální skupinu a vyzve ostatní: “Když jsou ti šmejdi tak drazí, pojďme od nich pravidelně žádat data a naložme jim tím co proto!”

(Pozn. pod čarou: Cenu operátorů nehodnotíme, pouze prezentujeme často slýchaný názor davu. V žádném případě k ničemu nenavádíme. My v Mail Komplet jsme se službami svého operátora spokojení. Včetně cenovky.)
Otázka čeká na odpověď.

Kdo zaplatí implementaci GDPR u malých firem? Vážně zvládnou zautomatizovat všechno? A když ne? Jak to bude s manuálním zpracováním?

GDPR se dotkne každé firmy. Každá firma spravuje osobní údaje a tato data neleží na jednom místě. Data se obvykle nacházejí v účetnictví, v CRM systému, v marketingovém systému, v e-mailech, v logistickém systému, v systému pro zákaznickou podporu a to je jen začátek výčtu.

Pokud by měly být žádosti o osobní data odbavovány automatizovaně, předpokládá to tedy 2 věci:

  • Schopnost automaticky autentizovat žadatele
  • Schopnost získat veškerá osobní data ze všech interních firemních systémů přes jedno centralizované rozhraní (tedy implementace centrálního panelu navázaného na všechny interní systémy)

To, že autentizace je v určitých případech nemožná, jsme zmínili výše. Díky tomu ne vždy půjde žádosti řešit automatizovaně.

A co se týče propojení všech interních firemních systémů? Odhadujeme, že tohle udělá velký vír v rozpočtu firem a způsobí mnoho vrásek na čele finančních ředitelů a majitelů firem. Velké firmy z toho jásat nebudou, zátěž však zvládnou. Co ale firmy malé a střední? No, uvidíme…
Otázka čeká na odpověď.

Sdílejte tento článek:

Okomentujte tento článek

Nejnovější články

Zpět
nahoru