Nařízení GDPR začne platit v pátek 25. května 2018. Ministerstvo průmyslu a obchodu společně s Asociací malých a středních podniků a živnostníků ČR připravilo Manuál pro přípravu malých a středních firem na GDPR. Ten obsahuje celou řadu příkladů z praxe.
Jak je to v případě, že si firma vede evidenci, která obsahuje kontakty na zákazníka, který si u ní objednal produkt, informace o samotné objednávce a její realizaci, případně fakturační údaje?
Firma zabývající se truhlářskou výrobou se chystá na GDPR. Kvůli tomu, aby zjednodušila naplňování svých povinností správce, se rozhodla přejít od papírové evidence svých zákaznických spisů na evidenci elektronickou.
Papírovou evidenci nahradila firma elektronickou
Doposud ke každému obchodnímu případu vedla papírový spis. Ten obsahoval všechny kontakty klienta, jeho objednávku, všechny informace o realizaci zakázky a konečnou fakturu včetně případných nároků z vad výrobků či jiných reklamací.
Čtěte další případ z praxe: Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR?
Současně jednotliví pracovníci na prodejně, kteří přijímali objednávky, a na účetním oddělení, kteří realizovali fakturaci, vedli evidenci zákazníků ve svých počítačích. Evidence dokumentů o realizaci zakázky byla vedena pouze papírově.
Firma se rozhodla pořídit si nový informační systém pro správu zákaznických dat, kterým by nahradila dosavadní roztříštěnou evidenci. Od jeho zavedení si mimo jiné slibovala zjednodušení sledování obchodních případů a zamezení duplicitám při vedení evidence. Pracovníci přijímající objednávky i účetní si vedle databáze klientů i nadále vedli evidence objednávek a faktur ve svých počítačích.
Čtěte také: Mohou pokuty za porušení GDPR ohrozit vaši firmu?
Dle nařízení GDPR nebylo možné zajistit naplňování zásady přesnosti osobních údajů a multiplicita evidencí fakticky pokračovala. Do počítače, v němž byla nainstalována nová klientská databáze, měl přístup neomezený okruh pracovníků, kteří se střídali na směnách.
Nebyla dodržena míra zabezpečení
Dle další zásady GDPR, která byla v tomto případě porušena, nebyly osobní údaje odpovídajícím způsobem zabezpečeny. Nový klientský systém byl k dispozici na základě uživatelského jména a hesla pouze přesně vymezenému okruhu zaměstnanců, a to jak v počítačích, tak i v dalších firemních zařízeních jako mobilní telefony. Všichni zaměstnanci pohybující se v terénu navíc měli k dispozici tablety, na kterých zaznamenávali do systému informace o realizované dodávce a montáží výrobků. V rámci implementace nově přijaté interní směrnice se žádné osobní údaje zákazníků nepohybovaly v papírové ani elektronické podobě mimo klientský systém. Pokud takové duplicity byly zjištěny, informace byly okamžitě zaneseny do systému a duplicitní evidence skartována.
Nařízení GDPR jasně požaduje, aby byla zajištěna jednotnost evidence zpracovávaných osobních údajů, jejich správnost a úplnost a současně i odpovídající míra zabezpečení.
Příklad z praxe byl převzat z Příručky pro přípravu malých a středních firem na GDPR
ČLÁNKY DO MAILU