gdpr-200.jpg

    Printis je připraven na situace, které vám může GDPR přinést.

    IS je využíván převážně v B2B prostředí, kde se pracuje s osobními údaji, jejichž ochrana nebyla primárním cílem GDPR, ale přesto je připraven na situace, které může GDPR přinést. Uvedeme si zde některé konkrétní informace týkající se zpracování osobních údajů v polygrafickém B2B segmentu zemí EU. Obecné informace k problematice GDPR lze nalézt například v základní příručce k GDPR vydané ÚOOÚ (tím, kdo ukládá případné sankce) nebo v Pravidlech pro podniky a organizace vydaných evropskou komisí.

    Dodržujte praktické zásady zpracování osobních údajů v Printis

    zákonnost, korektnost, transparentnost

    Zpracování osobních údajů v Printis je nezbytné pro splnění smlouvy “zakázka”, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření “kalkulace” přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů. Zásadu transparentnosti a korektnosti naplníte publikováním informací zásad zpracování osobních údajů. Tedy kdo, proč, jak a co zpracovává včetně práv subjektu údajů, více zde.

    omezení účelu

    Osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely. V emailu s kalkulací či v emailu s potvrzením o přijetí/expedici zakázky by měly být pouze relevantní informace. Pokud je doplníte například o reklamu na nový produkt či službu, která není obdobná již zakoupenému produktu či službě, jedná se o obchodní sdělení, pro které je třeba souhlas subjektu údajů.

    minimalizace údajů

    V Printis zpracovávejte pouze nezbytně nutné údaje. Jde o identifikační údaje společnosti (zákazníka). U uživatelských údajů osob, které s vámi v souvislosti s kalkulací/zakázkou komunikují, jde zejména o jméno a příjmení, email (pro zaslání kalkulace i info o přijetí a expedici zakázky), telefon (nutný pro dopravce), heslo (lze využít pro aktualizaci údajů samotným subjektem údajů).

    omezení uložení

    Osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány. Například minimálně po dobu záruky poskytované na vaše služby. Nemá význam evidovat údaje zákazníka, který u vás 5 let nic nepoptal ani neobjednal. Takové údaje je lépe anonymizovat. Jak to udělat uvádíme u práva na výmaz.

    integrita a důvěrnost

    Přístup k datům v Printis je šifrován, správci Printis jsou smluvně vázáni mlčenlivostí, přístup do Printis je zaheslovaný. Data v Printis by měla být správná, neaktuální údaje opravujte.

    hlášení bezpečnostních incidentů

    Máme za to, že v polygrafickém B2B segmentu případný bezpečnostní incident týkající se osobních údajů zpracovaných v Printis s vysokou pravděpodobností nebude rizikem pro práva a svobody dotčených subjektů údajů. Potřeba podat hlášení na ÚOOÚ bude tedy zřejmě zcela výjimečná. Zde uvádíme doslovný text z webu ÚOOÚ. “Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.. Více informací naleznete na webu ÚOOÚ.

    Veďte záznamy o činnostech zpracování

    Spoléhat na výjimku pro organizace do 250 zaměstnanců příliš nelze, protože zákonodárce nedefinuje přesně co je a co není “příležitostné zpracování osobních údajů”. Co by měly tyto záznamy obsahovat naleznete zde

    Jak postupovat v Printis když se subjekt údajů rozhodne uplatnit některé ze svých práv jež mu GDPR zaručuje

    POZOR! Od obdržení žádosti subjektu údajů v souladu s některým z práv reagujte bez zbytečného odkladu, nejdéle do 30 dnů. Vyjádření ÚOOÚ ke zmíněným právům je zdePřed započetím činnosti konané na základě práv subjektu údajů je třeba žadatele identifikovat, abyste měli jistotu, že jednáte se skutečným subjektem údajů. Například emailovou žádost, která neobsahuje elektronický podpis některé z uznávaných certifikačních autorit je vhodné ověřit nějakým dalším způsobem. V Printis se evidují jen opravdu nezbytné osobní údaje. Uvádíme tedy situace se kterými se pravděpodobně můžete setkat v polygrafickém B2B segmentu.

    Právo subjektu údajů na přístup k osobním údajům

    V Printis tyto údaje naleznete v menu “uživatelé”, “sekce společnosti” a “sekce uživatelé”. V zákaznickém rozhraní je možné tyto údaje zpřístupnit zákazníkovi včetně jeho kalkulací. V Printis lze také vyfiltrovat zakázky spojené s konkrétním kontaktem. Bohužel neexistuje jednotný právní názor, zda jsou i tyto informace osobním údajem.

    Právo na opravu

    Chybné osobní údaje opravíte sami v administraci. Můžete také využít vzdálený přistup, kde si váš zákazník své údaje aktualizuje sám. Povolíte mu login a sdělíte url, login a heslo.

    Právo na výmaz

    Pokud osobní údaje již nejsou potřebné pro účel, ke kterému byly pořízeny a neexistuje právní důvod pro jejich zpracování, tak v Printis záznamy nemažete (nedostali byste se již k zakázkám či kalkulacím provázaných s tímto uživatelem či společností), ale provedete anonymizaci. Praktický příklad

    U společnosti uvedete do názvu společnosti například “vymaz201805141452” (údaje za slovem výmaz udávají datum a čas) a ostatní osobní údaje vymažete.

    U uživatele vyplníte “vymaz201805141452” do pole login, heslo, email a zbývající osobní údaje vymažete.

    Následný záznam o této činnosti zpracování by neměl umožnit zpětnou identifikaci subjektu údajů! To, že jste výmaz provedli lze v budoucnu prokázat například tak, že vymazené údaje již nebude možné v Printis vyhledat.

    Právo na přenositelnost údajů

    V polygrafickém B2B segmentu, kde je Printis primárně využíván, se s tímto požadavkem, pravděpodobně příliš často nesetkáte. Osobních údajů zpracovávaných o společnosti a uživateli je minimum, takže je snadno přepíšete do textového souboru. Případný seznam zakázek lze vyexportovat do csv. Při poskytování dat o objednávkách buďte velmi obezřetní v případech, kdy je žádající subjekt údajů, jen jedním ze zaměstnanců či společníků organizace, za kterou vystupuje.

    Právo vznést námitku

    Námitku můžete obdržet vždy. Při zákonném zpracování osobních údajů ji zamítnete s vysvětlením, z jakého zákonného důvodu budete osobní údaje nadále zpracovávat. V praxi se setkáme nejčastěji s námitkou týkající se zasílání obchodního sdělení. V takovém případě obchodní sdělení nesmíte zasílat ani vašim stávajícím zákazníkům.

    Tyto informace nejsou právně závazné, pouze reflektují stávající stav a uvádí informace publikované ÚOOÚ a Evropskou komisí do kontextu s možnými situacemi v polygrafickém B2B segmentu za pomoci selského rozumu. Autoři textu se zříkají jakékoli odpovědnosti spojené se závěry.

    © 2004 - 2018 tisk.online s.r.o.