Certifikace, implementace, poradenství, vývoj SW

GDPR CENTRUM

Pár slov o nás

GDPR centrum je volné sdružení IT specialistů, programátorů, bezpečnostních analytiků, právníků, účetních auditorů a dalších chytrých lidí s pohodovým pohledem na svět, které Vám nabízí vysoce kvalifikovanou a bezkonkurenčně všestrannou pomoc při analýze, plánování a implementaci zejména technických, ale i organizačních a právních opatření ve Vaší firmě tak, aby prováděla zpracování osobních údajů legálně a v souladu s nařízením GDPR.

Je dobré vědět, že již od roku 1994...

... jste naší doménou jste Vy malí - OSVČ, živnostníci, řemeslníci, on-line obchodníci a malé firmy. Nezpracováváte osobní údaje ve velkém rozsahu, ve firmě se snažíte mít vše v pořádku, nechcete mít problémy s úřady a nyní potřebujete vyřešit základní implementaci obecného nařízení GDPR za minimální cenu nebo nejlépe úplně zdarma.

Již dlouhá léta pro Vás vyvíjíme, nasazujeme a hostujeme bezpečné a moderní webové stránky, e-shopy a mobilní aplikace na míru za bezkonkurenční ceny, které vždy splňují nejvyšší nároky na zabezpečení a ochranu dat Vašich zákazníků. Velká řada z Vás spokojeně využívá náš bezplatný a bezplatně aktualizovaný on-line účetní a skladový EET systém. Nyní logicky nastal čas, abychom naše portfolio doplnili o GDPR.
gdpr centrum

GDPR: mám se bát?

Když se nebojí naši zákonodárci a tři roky nejsou schopni schválit adaptační legislativu, není důvod. Určitě už teď máte svoji firmu ve větším souladu s nařízením GDPR, než mnohé státní instituce či organizace. A možná máte i větší právní povědomí než naši zákonodárci, kteří v parlamentu horlivě řeší, jak obecnému nařízení GDPR posunou začátek, zmírní jeho dopady a některé články zruší... no, časem pochopí, že fakt ne. Jejich zbytečná a hloupá snaha je asi tak právně účinná a silná, jako kdybyste se s kamarády, strýcem či Vaším psem rozhodli, že se od zítřka v ČR začne jezdit vlevo.

Je třeba si uvědomit jednu věc. GDPR bylo přijato formou nařízení. To je naprosto výjimečná situace, drtivá většina nesmyslů z EU je vydávána formou směrnice. A zatímco směrnici si musí v nějakém termínu členské státy transponovat do své lokální legislativy, existuje určitá volnost v tomto procesu a hlavně směrnice začne platit až po schválení lokální legislativy, nařízení EU platí okamžitě, je přímo aplikovatelné, modifikovatelné jen tam kde to výslovně povolují derogační klauzule, a je plně účinné. Forma nařízení je skutečně výjimečná, vyplývá z nadřazenosti práva EU nad lokální legislativou (zejména o tom byla Lisabonská smlouva) a další nařízení lze očekávat v oblasti migrace. Ohnutost banánů, rum a pomazánkové máslo řeší směrnice :)

742
hostujeme
186
řešení na míru
249
e-shopů
317
EET pokladen

GDPR: je to k něčemu dobré?

Chcete být v balíku? Tak jasně, ale základem je najít dobrý byznys. Nejlepší kšeft na světě (dokud se celý pyramidový systém nezhroutí) je tisknout peníze. V USA to činí pár rodin kolem FEDu, v EU je to klaka kolem ECB, u nás znáte hru zvanou intervence. Je to paráda, když potřebujete pár tisíc, milionů či miliard, prostě si je natisknete. Žádné daně neplatíte, není komu. Jen to má drobný háček... mezi sebe Vás asi nepustí.

Druhý nej v pořadí, hned před obchodem se zbraněmi a drogami, je obchod s osobními daty. A rozhodně nejde jen o známé nejbohatší firmy, které si na této entitě založili (a už si nikdy a nikým nedají vzít) svůj byznys, jako je Google, Facebook, Twitter, Amazon a další.

S Vašimi daty v menším kšeftují operátoři, provideři, monopoly, energetici, callcentra, státní úředníci i marketéři. Založíte si na Živnostenském úřadě svůj první živnostenský list a druhý den máte ve schránce nabídku na účetní systém pro nové podnikatele za super cenu. Hodinu po uzavření smlouvy Vaše fungl nové telefonní číslo ještě neví ani manžel/ka, ale už Vám na ně volá s úžasnou akční nabídkou na plyn i elektřinu nejmenovaná firma, oslovuje Vás jménem, znají adresu... Když se zeptáte, kde vzali Vaše telefonní číslo a další data, dozvíte se neochotně něco ve smyslu, že "Z veřejně dostupné databáze". Což v překladu může znamenat nejen černý prodej Vašich OÚ nějakým úplatným zaměstnancem, ale také třeba využití dat z veřejných registrů spravovaných státem (ARES, KN) na základě právního titulu Oprávněné zveřejnění dle § 5 odst. 2 písm. d), který si firmy vykládaly po svém.

A přesně tohle už nepůjde

Pokud jste fyzická osoba, máte díky GDPR mocná práva domoci se toho, že Vám fakt už nikdy nezavolají. Pokud jste podnikatel, hrozí Vám gigantické sankce a navíc nefér jednání Vaši firmu postupně odepíše. Tudy už fakt cesta nevede. Zákazníci si to totiž řeknou, díky GDPR to teď začne dávat smysl. A nepůjde to ani přes dříve zneužívané Oprávněné zveřejnění, protože GDPR tento právní titul nezná.

ABCD kočka gdpřede...

... aneb jak na rychlou a bezplatnou implementaci GDPR ve Vaší firmě vlastními silami. Neplaťte právníkům tisíce za rozepsání hromady textu o tom, že si šanony zamykáte do skříně, objednávky archivujete bez adres, šifrujete SD kartu a při registraci nevyžadujete telefon.

Vygenerovat Záznam o činnostech zpracování a RISC management ZDARMA

NEŽ kliknete: prostudujte si prosím všechny položky níže, celé ABCD kočka GDPŘede. A dobrý nápad je projít si i FAQ. Pro vyplnění formuláře totiž budete potřebovat pochopit, co soulad s GDPR znamená a co je kam potřeba vyplnit. Upozorňujeme, že průměrná doba strávená v průvodci GDPR do vytvoření finálního dokumentu (než s ním budete spokojeni), se pohybuje kolem dvou hodin. Udělejte si a nespěchejte, fakt Vám to chvíli dá :)

  • A

    ANALÝZA

    Tady začněte. Mrkněte jaké a kolik OÚ zpracováváte, proč, na jak dlouho.

  • B

    BEZPEČNOST

    Zálohujete, zamykáte, šifrujete, nedůvěřujete? Super, pokračujte v tom.

  • C

    CHYBY

    Našli jste chyby či rizika? Pojmenujte je, ať víte čemu předcházet.

  • D

    DOHLED

    Nyní nastal čas dohlížet, zda dodržujete vše z předchozích kroků.

Zpracováváte osobní údaje legálně?

OU lze zpracovávat pouze buď na základě zákona, nebo na základě souhlasu, jinak jednáte protiprávně. Vždy tedy musí existovat právní tituly (nebo jejich souběh), na jejichž základě OÚ zpracováváte. Účetnictví vedete na základě PT Zákonná povinnost, objednávky vyřizujete na základě PT Plnění smlouvy, marketing schováte pod PT Oprávněný zájem a co už fakt nepůjde jinak, pořešíte obtížnou cestou Souhlasu (má celou řadu specifik a lze jej kdykoliv odvolat).

Nezpracováváte nadbytečné osobní údaje?

Máte e-shop, zákazník si objednané zboží vyzvedne u Vás na prodejně. Pro vyřízení objednávky NEPOTŘEBUJETE jeho dodací adresu. Analogicky: nesbírejte žádné OÚ, které nepotřebujete.

Pro jaké účely zpracováváte osobní údaje?

Sepište si důvody, pro které potřebujete osobní údaje sbírat a zpracovávat. Např. kontaktní údaje z e-shopu sbíráte za účelem realizace objednávky, odeslání zboží, kontaktování zákazníka, vystavení dokladu, vrácení zboží, řešení rekamací a řešení případných budoucích sporů.

Jaké jsou kategorie a doby platnosti osobních údajů?

Výše analyzované OU si zapište do tabulky, propojte s právními tituly a určete, jak dlouho budete data uchovávat, než je smažete. Např. pro účely objednávky potřebujete data až do vystavení faktury a odeslání, následně data - možná už bez telefonního čísla - potřebujete 10 let pro daňovou evidenci a následně třeba dalších 10 let pro případné soudní spory. Poté data smažte.

gdpr zdarma
gdpr zdarma

Jsou zpracovávaná osobní data u Vás v bezpečí?

Pohodlně se posaďte a přemýšlejte, jaké situace mohou nastat. Uklízečka má klíč od kanceláře, kde běží neodhlášené počítače. Zapomenete notebook v autě. Průvan odnese papíry na ulici. Dáte tablet do bazaru. Zaměstnanec pracuje z domova nebo si zkopíruje co se dá a založí vlastní firmu. Kam až se dostanou návštěvy, třeba i děti zaměstnanců. Co se děje na firmě když tam nejste.

Jak ukládáte papíry a šanony?

Co 10 let staré faktury? Jsou pod zámkem a víte kdo k nim může, nebo jsou na kupě vedle uhlí? Nebo už ani netušíte? Sepište si krátce jak a kde archivujete a jak to do budoucna vymazlit.

Máte zabezpečené osobní údaje v elektronické formě?

Zase na to koukejte z pohledu co by se mohlo stát a jak si potom budete rvát vlasy. Heslo do Windows může být jednoduché, ale v případě úniku - bylo tam. A taky... i silné heslo do Windows je pro kočku pokud vestavěný účet Administrator nemá heslo. Projděte si smlouvy s hostingem. Šifrování může být neřešitelný problém při obnově či záchraně dat. A pozor na servery mimo EU.

Máte zaměstnance?

Pokud ano, dbejte nejen na ochranu jejich OÚ (přístupové systémy, docházka, kamery), ale také je hlídejte, aby nevyvedli nějakou hloupost. Toto riziko minimalizujte: smluvně (mlčenlivost), pusťte je jen tam, kam potřebují, zrevidujte přístupová oprávnění a nezapomeňte na proškolení.

Specifikujte a pojmenujte chyby, rizika a hrozby.

Z předchozí analýzy zpracovávaných OÚ i bezpečnostních rizik na Vás vykoukly nějaké ty chyby, problémy a potenciální hrozby. Sepište si jejich seznam, třeba do prvního sloupce excelu.

Navrhněte opatření, jak nalezené nedostatky opravit.

Do druhého sloupce excelu dopište ke každé chybě, zda je možno ji opravit a tím ji úplně eliminovat, nebo prostě existuje nezávisle na Vaší vůli. Něco prostě není ve Vašich silách, třeba smazat osobní data ze záloh umístěných na nepřepisovatelných CD/DVD. Potom ovšem musíte nastavit proces, jak v případě obnovení ze záloh řešit již smazaná data.

Minimalizujte rizika při zpracování OÚ.

Do třetího sloupce excelu u neopravitelných chyb dopište, jakými způsoby by se dala minimalizovat rizika vyplývající z těchto chyb. Nepochybně existuje řada variant a možností, u kterých třeba ani nelze na první pohled říci, která je lepší. Třeba zda zvolit zamykatelnou skříň nebo uzamykatelnou místnost, totéž třeba volba software.

Navrhněte implementaci pro Vaši firmu.

Do posledního sloupce si napište návrhy na konkrétní řešení a postupy, které budou ve Vaši firmě zavedeny. Doplňte termíny implementace a případně kdo se na ní bude podílet a kdo zodpovídá. A též termíny kontrol, o kterých si veďte záznamy. Mohou se hodit.

gdpr zdarma
video-img

Proč není D dokončení? Fňuk

Těšili jste se, že když jste došli až sem, jste na konci cesty a D bude Dokonáno jest? Tak to Vás musíme zklamat :)

Zavedení GDPR ve firmě je proces, nikoliv produkt. Jde o obdobu zavedení řízení kvality. Provedli jste první, velmi důležité, ale ty nejsnadnější kroky. To, co Vás teď čeká, je celý zavedený systém dozorovat tak, aby zůstal v perfektní kondici, přizpůsoboval se novým skutečnostem a ochránil Vás před problémy spojenými s únikem osobních údajů. Dohlížejte na svoje zpracovatele i zaměstnance, dodržujte nastavené postupy a buďte fér k zákazníkům. A pokud máte nějaký dotaz, neváhejte nás kontaktovat.

Vygenerovat Záznam o činnostech zpracování

Často kladené otázky

Výběr otázek, které nám zákazníci opakovaně kladou.

  • GDPR obecně
  • E-shopy a weby
  • Souhlasy

Právní názor např. europoslankyně Jourové je ten, že to nevadí. Náš právní názor (opřen např. o Stanovisko 3/2011 ÚOOÚ) je ten, že vadí, a to velmi významně. Číslo za lomítkem vede k jednoznačnému ztotožnění osoby, a hlavně - z RČ lze určit i (změnu) pohlaví osoby. Podle našeho názoru tedy až dosud v pořádku, RČ jako identifikátor bylo zavedeno před účinností Nařízení GDPR, ale jakmile bude jakákoliv další národní legislativa chtít navázat na tuto současnou, nebude v souladu. A proč to vadí? Hypoteticky: pokud mně slečna zmrzlinářka ke každému kornoutu dodá EET informaci, kdy má narozky, v ARESU zjistím jak se jmenuje, kde bydlí, přes registr nemovitostí třeba i to, že jí patří dům, vím také že když je na stánku, není doma. A pokud je plátce DPH, pravděpodobně má obrat nad milion a... jde se loupit. Konečný právní názor bude mít nejvyšší soudní instance, pravděpodobně EU, ale dovolujeme si predikovat, že ČR dopadne jako obvykle, zaplatí pokutu, může dojít i na odškodnění velkého rozsahu - a opět jen a pouze proto, že poslanci promarnili dlouhé roky planými řečmi jak za vše může minulá vláda (ve které sami seděli) a že byly/jsou/budou volby, místo aby RČ ve svých databázích a registrech nahradili anonymizovanými identifikátory, jako je tomu např. na Slovensku.

Takhle problém nestojí. Podnikatelé "plní GDPR" tím, že OÚ zpracovávají v souladu s legislativou, a pokud jste dosud alespoň rámcově dodržovali Zákon č. 101/2000, máte z 90% hotovo. Ovšem tím, že stát adaptační zákon neschválil, si (slušně řečeno) znečistil vlastní hnízdo. Uvidíte to brzy, až některé státní instituci opět uniknou OÚ. Schválením adaptační legislativy totiž poslanci mimo jiných uvolnění mohli zmírnit drakonické správní pokuty podle čl. 83 GDPR - v již roky existujícím a neschváleném návrhu je max. 10 mil. Kč oproti 20 mil. € v Nařízení - a tato možnost nepřijetím adaptační legislativy padá. Pro malé firmy nemá adaptační zákon v podstatě žádný dopad, GDPR je platné i bez adaptační legislativy a možná výjimka a zmírnění by pro Vás mohla být jen v oblasti zpracování OÚ Vašich zaměstnanců, věku dětí atd. Osobně ovšem silně pochybujeme, že zrovna tuto oblast bude zájem nějak zmírňovat. Chybějící zákon ovšem - kromě toho, že v EU vypadáme jako naprostí diletanti a zaplatíme nemalou pokutu - znamená, že plný dopad nařízení pocítí státní instituce, neziskovky, novináři, umělci, akademici, archívy, statistici a v neposlední řadě církve. Nezbývá než jim poradit, aby poděkovali svým zákonodárcům :)

Pokud jste soukromá nepodnikající osoba a například si zpracováváte rozsáhlou databázi svých přítelkyň, spolužáků či známých, je vše OK, z pohledu GDPR nemáte žádné povinnosti a nejste zpracovatelem osobních údajů. Naopak, získáváte řadu nových, právně účinných, užitečných a - přiznejme si - docela zábavných práv. Přimlouváme se, abyste např. hru zvanou Vylistujte a do týdne mi pošlete soupis veškerých osobních dat, co o mně zpracováváte, a to zdarma, uplatňovali u úřadů či velkých korporací, které na to mají kapacity, a vynechali malé firmy, které mají svých starostí dost. Dík moc předem ;o) .Z druhé strany: pokud jste správcem osobních údajů (a tedy např. vystavujete účetní doklady), tak se GDPR v žádném případě nevyhnete. Jakákoliv externí firma, Váš zaměstnanec či jiná osoby či organizace, která Vámi sebraná data zpracovává, je již jen jejich zpracovatelem. Odpovědnost za soulad s GDPR, tedy že osobní údaje zpracovávávte v souladu s legislativou, za jasně daným účelem a v nezbytném množství po nezbytnou dobu, nesete pouze Vy. Případné sankce i odpovědnost za porušení při zpracování Vámi sebraných OÚ či za jejich únik tak jde za Vámi jako správcem, nikoliv za zpracovateli.

Tak obecně záleží na velikosti Vaší firmy, počtu zaměstnanců a rozsahu zpracovávaných osobních údajů. Trochu samozřejmě i na tom, jak data uchováváte, jak moc řešíte zabezpečení, jestli máte na firmě kamery a tak vůbec. Ale hlavně a úplně nejvíc záleží na tom, jestli Vás konkurence nebo nějaký jiný dobrák práskne na UOOÚ, protože alespoň zpočátku to bude jediné kritérium, na základě kterého se dostanete do hledáčku úřadu. A dobře víte, že úředník potřebuje kafe, židli, papíry a na odchodu udělit alespoň malou pokutičku. Těžko mu budete vysvětlovat, že vše máte v hlavě, zejména když Nařízení GDPR některé dokumenty (např. veškeré případy porušení zabezpečení osobních údajů) taxativně vyjmenovává, Takže čistě, pouze a jedině z tohoto důvodu i malým živnostníkům či řemeslníkům doporučujeme nějaké ty dokumenty (analýzy, záznamy zpracování) mít. Vyplodit je v zásadě není nic těžkého, v podstatě si uděláte ABCD kočka gdpřede a máte hotovo. Pokud hostujete Váš web či e-shop u nás a využíváte naše systémy, tak není problém příslušné dokumenty vytvořit v nich, případně Vám s tím samozřejmě zdarma pomůžeme, v základu to je otázka maximálně hodinového telefonátu a zbytek už dáte bez problémů sami.

Povinné ne, ale hodně užitečné ano. HTTP je protokol, kterým prohlížeč Vašeho zákazníka komunikuje se serverem. Pokud je komunikace šifrována, a v řádku s adresou máte https://, nemělo by být možné komunikaci odposlechnout a zjistit tak např. přihlašovací údaje či čísla kreditních karet. Pokud tedy na Vašich stránkách máte políčka pro heslo, na 100% jděte do https. Celá věc má jako obvykle širší rámec, kdy např. si necháváte zasílat zapomenuté heslo ze zabezpečených stránek na Váš nezabezpečený e-mail a celý proces je tak pro kočku... a také je nutno připomenout "chyby" typu malware by design v protokolu (TLS heartbeat), které zřejmě zajistily těm správným tajným službám ten správný přístup. Vzhledem k tomu, že podobně kritickou "chybou" trpí i procesory INTEL na úrovni mikrokódu, je SSL z tohoto pohledu tak trochu marketingový nástroj. To potvrzuje i chování Google, který ne-ssl stránky penalizuje a nepustí např. na Google Nákupy. Takže - pokud nemáte mikrowebík jako je tento, SSL určitě používejte - třeba už jen jen kvůli bleskové rychlosti načítání přes HTTP/2, které při hostingu u nás získáte společně se SSL certifikátem zdarma.

Stránky úřadu uvádějí doslova "Předmětem kontroly bylo dodržování povinností kontrolovaného subjektu poskytujícího službu informační společnosti, která spočívala v nabídce produktů internetového obchodu ezoocentrum.cz". Zde bychom rádi upozornili na matoucí fakt, kdy text "nabídka produktů" se nepochybně týká zasílání obchodních sdělení, a nikoliv nabídky produktů v E-shopu. Podobně matoucí je i název Směrnice EU, která ISP do národních legislativ zavádí (Směrnice č. 2000/31/ES O elektronickém obchodu). Nicméně: abyste naplnili podstatu poskytování služby informační společnosti, je třeba splnit tři body. Za prvé - služba musí být poskytnuta pro jiného. To splňujete. Za druhé: služba je poskytována individuálně. To také splňujete, neprovozujete TV vysílání. Ale za třetí - podstata služby je v elektronicky komunikované informaci. A to v rámci e-shopu s krby nesplňujete ani náhodou, elektronická komunikace Vám jen usnadňuje uzavření smlouvy. Takže použijete § 31 NOZ a posoudíte, v kolika letech vzhledem k sortimenu Váš dětský zákazník již dosáhl vyspělosti pro uzavření distanční smlouvy a doplníte do VOP.

K dotazu obecně: datum narození není citlivým údajem, občanský průkaz též ne. Zvláštní kategorie osobních údajů je v Nařízení taxativně jmenována, jsou to takové OÚ, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za Zvláštní kategorii OÚ jsou považovány též genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. K dotazu konkrétně: pro pořízení kopie občanky nemáte žádný legální titul a nemůžete ji provést. Jediná z pohledu legislativy správná cesta je nechat zákazníka zadat svůj věk, věřit mu že nelže (jak by mohl) a na základě toho se rozhodnout. Z tohoto pohledu doporučuji postup, který využívají naše systémy - v podstatě se zeptáte, zda se zákazník narodil dříve či později, než uvedené datum (dnešní den - 18 let). Je to pohodlné a legislativně v pořádku. Jako bonus můžete zákazníkovi "pohrozit", že např. Váš rozvážkový řidič bude věk kontrolovat na místě předání zboží, ale je to jen pro Váš dobrý pocit.

Píšete adresy a maily, z tohoto pohledu tedy máte dvě možnosti, jak firmy v rámci Vašeho marketingu oslovit. Tou první a z pohledu GDPR jednodušší možností je využít jejich adresy sídla provozoven, poslat jim dopis nebo nějaký propagační balíček, rozvést jim letáky, uspořádat u nich workshopy atd. Z tohoto pohledu je vše OK, vůči právnickým osobám v podstatě není žádná významná legislativní regulace tohoto typu marketingu a nepotřebujete ani jejich souhlas. Pokud ovšem zvolíte cestu zasílání obchodních sdělení e-mailem, stáváte se provozovatelem služby ISP, a ta je regulována zákonem č. 480/2004 Sb. ve znění zákona č. 214/2006 Sb. Za předpokladu, že firmy dosud nejsou Vašimi zákazníky, jste povinni získat předem souhlas se zasíláním obchodních sdělení. Souhlas musí mít všechny náležitosti a musí být doložitelný pro každou firmu jednotlivě. Z tohoto pohledu je třeba posoudit, zda Váš prodejce vytvořil databázi přímo pro Vás na míru, získal souhlasy všech firem pro Váš konkrétní účel, a je schopen je doložit. Pokud ano, je vše v pořádku. Pokud jste zakoupili obecnou databázi bez doložitelných souhlasů, je to pro kočku, musíte si nejprve zajistit souhlasy dle GDPR a teprve poté zaslat obchodní sdělení. Náš tip: ze 100.000 firem Vám jich zbyde hodně málo :)

GDPR ready tedy rozhodně nejste. Pokud to děláte takto, zvolili jste si tu nejobtížnější, nejhorší a navíc nezákonnou cestu. GDPR jasně říká, že pokud existují legální cesty, zákony či právní předpisy, na základě kterých lze osobní údaje zpracovávát, jste povinen jich použít. A teprve v případě, že nenaleznete žádný zákon či právní předpis, který by Vám umožňoval pro Vámi požadované důvody osobní údaje zpracovávat, jste povinni vyžádat si informovaný souhlas osob, jejichž údaje budete zpracovávat. Právní titul souhlasu vyžaduje celou škálu činností z Vaší strany, ale hlavně: u souhlasu musíte jasně specifikovat, na jak dlouhou dobu jej požadujete, a navíc může zákazník svůj souhlas kdykoliv odvolat. A teď si představte, že k odvolání souhlasu fakt dojde. Vaší povinností je data okamžitě přestat zpracovávat. Tím se vlastní vinou dostáváte do neřešitelné situace, kdy zpracováváte například Vaše daňové doklady na základě souhlasu, který byl odvolán. Co teď, přestanete je zpracovávat? Zákon Vám ukládá, jaké náležitosti má mít úplný daňový doklad, a jejich součástí je identifikace odběratele. Přitom daňové doklady zpracováváte na základě právního titulu Zákonná povinnost a žádný souhlas k tomu nepotřebujete. Takže úplně špatně, souhlasy používejte jen tam, kde není jiná možnost.

Analytické nástroje typu GA, FB pixel, nebo třeba výborný český Zeerat+ či SmartLook provádějí tzv. profilování Vašich uživatelů. A to je přesně jeden z hlavních důvodů, proč celé GDPR vzniklo a proč bude do života uveden i jeho bráška ePrivacy. Důsledek profilování totiž vyústí v to, že Google o Vás fakt ví vše. Nejen odkud jste na stránku přišli, jak dlouho se na ní zdrželi, kde rejdíte myší a kam koukáte a kam až odrolováváte, kam všude jste klikli a kam pokračujete, ale postupem času zjistí i jaké máte preference a záliby, s kým si píšete, vidí do kontaktů na Vašem androidím telefonu, čte Vaše SMS i poštu, ví jaké sledujete filmy, co posloucháte za muziku, co a koho fotíte a natáčíte (cloud je zdarma, proč asi :), GPS vidí kde se pohybujete a díky sociálním sítím si vyprofiluje i Vaše přátele a udělá si o Vás velmi přesný obrázek. Asi sami uznáte, že takhle zabalená data se už dají solidně využít na cokoliv. Takže ANO - na podobné praktiky je nutno uživatele upozornit a jejich souhlas (např. pomocí cookie lišty) získat. A dokud Vám jej nedají či jej odvolají, analytiku, automatizované zpracování i remarketing vypněte a statistiky přístupů si zajistěte vlastními nástroji, ke kterým nepotřebujete souhlas. Pokud tuto fair-play politiku Vaše systémy neumí, přejděte k nám :o)

Obchodní sdělení lze šířit elektronicky pouze dle Zákona č. 780/2004 § 7 a nyní záleží, na základě jakého právního titulu. Pokud na základě souhlasu, a ten není v souladu s GDPR, bude nutné souhlas obnovit i s tím, že Vaše spamovací databáze značně prořídne. Ovšem pokud si u Vás již zákazníci nakoupili a zasíláte jim newslettery s podobným typem zboží, jednáte na základě právního titulu Oprávněný zájem a souhlas nepotřebujete. Nemůžete ovšem Vašim zákazníkům nabídnout jiný sortiment výrobků, než si u Vás dosud kupovali; pokud jim nabízíte náušnice či prstýnky, je vše OK, ale NELZE jim nabízet třeba krmivo pro kočku. Pokud jste rozšířili sortiment, vždy si vyžádejte nový souhlas. Obecně: snažte se chovat férově a na Vaše aktivity se dívejte i očima zákazníků. I Vám přece nevyžádané nabídky ve schránkách vadí. Dejte Vašim zákazníkům šanci se z odběru novinek jednoduše jedním klikem na výrazné tlačítko odhlásit, a po jejich odhlášení si u nich v databázi zapište příznak, že těmto už žádný e-mail s nabídkou produktů nepošlete. Doporučujeme ale je nemazat, protože vždy může vzniknout na základě Vašeho dalšího oprávněného zájmu situace, kdy se může hodit jim e-mail zaslat. Typicky jde o změnu sídla provozovny, změnu právní formy Vašeho podnikání a připomenout se můžete i v případě změny Vašich VOP. Zdůrazněte, že se nejedná o marketing a omluvte se za nevyžádaný, byť užitečný e-mail.

Souhlas, který Vám zákazník (kterým samozřejmě může být i dítě) dáva ke zpracování OÚ, musí splňovat řadu náležitostí. V první řadě - četli jste upíří knížky, třeba Nekroskopa od Briana Lumleye? Když upír lákal na svůj hrad, vždy vyžadoval souhlas plně v souladu s GDPR a ptal se: vstupujete na můj hrad ze své vlastní svobodné vůle? Zákazník tedy musí dát svůj souhlas dobrovolně z vlastní svobodné vůle a ten nesmí být ničím podmíněn. Další podobnost s upírem ovšem tímto končí, dále upíři v souladu s GDPR nejsou. Zákazníkovi totiž musíte přesně, srozumitelně (tedy nikoliv právničinou - to platí 10x, pokud souhlas dává dítě) a jednoznačně sdělit, za jakými důvody a na jak dlouho budete jeho OÚ sbírat, jakým zpracovatelům je poskytnete a co ti s nimi budou dělat, za jakými účely a na jak dlouho. Dále mu musíte sdělit, zda data po skončení platnosti definitivně smažete. A v neposlední řadě jej musíte informovat o tom, kdo je správcem jeho OÚ, k jejichž zpracování dává souhlas, přičemž musí jít o konkrétní osobu na kterou se může obrátit (jméno, IČ), nikoliv např. webovástránka.cz, a též mu musíte dát možnost souhlas s okamžitou platnosí a definitivně odvolat. Jakmile svůj souhlas se zpracováním OÚ odvolá, musíte data okamžitě přestat zpracovávat. A úplně nakonec - všechny souhlasy i jejich odvolání musíte doložit, logujte si i texty souhlasů v době, kdy Vám jej zákazník udělil.

Ceník

Analýzy a implementace GDPR jsou zpravidla spojeny i s vyřešením dalších věcí - síťových prvků, zálohování, účetnictví, skladů, importů od dodavatelů, zautomatizování rutinních operací atd. Ceny se vždy odvíjí se od složitosti a časové náročnosti.

Pro orientaci níže uvádíme velmi často nasazovaný balíček pro malou prodejnu s e-shopem

GDPR E-shop

165/měs
  • Žádné limity či omezení
  • Multipacky, sady, varianty
  • SEO a PPC nástroje
  • Multipacky, sady, varianty
  • Napojení na účetnictví
  • Responzívní, GDPR ready
Více informací

EET účetní systém

zdarma k eshopu
  • On-Line daňová evidence
  • Pro plátce i neplátce DPH
  • Propojeno s e-shopem
  • Účetní doklady v PDF
  • EET pokladna
  • GDPR ready
Více informací

GDPR implementace

zdarma k eshopu
  • Interní analytika
  • Cookies
  • Formuláře
  • Dokumenty
  • Validita
  • Certifikace
Více informací

Kontakty

Osobní schůzku si vždy domluvte předem. Než sáhnete po telefonu s požadavkem na GDPR podporu, projděte si prosím Často kladené otázky.

Hovory vyřizujeme v pracovní dny 10:00 - 16:00

  • Kancelář:
    Librantická 59/1
    500 03 Hradec Králové 3
  • Telefon:
    722 002 444
  • Skype:
    speedweb.cz
  • Email:
    info@gdprcentrum.eu