Mnoho podnikatelů má GDPR za byrokracii pro korporace. Pravda je jiná – pokuty od Úřadu pro ochranu osobních údajů (ÚOOÚ) padají i u malých e-shopů a živnostníků. Rozsah povinností je ale úměrný rozsahu zpracování, takže pro malou firmu stačí krátká, ale dobře zpracovaná dokumentace.
Záznamy o činnostech zpracování (RoPA)
Základní povinnost prakticky pro každou firmu. Stačí jednoduchá tabulka s přehledem, jaké údaje a proč zpracováváte, komu je předáváte a jak dlouho je uchováváte. Bez RoPA jste při kontrole ÚOOÚ v defenzivě bez ohledu na to, jak dobře osobní údaje ve skutečnosti chráníte.
Smlouvy se zpracovateli
Kdokoli zpracovává osobní údaje vašich klientů jako dodavatel (účetní, cloud, mailing tool, marketingová agentura), musí mít s vámi uzavřenu zpracovatelskou smlouvu. Vzorová smlouva nestačí – musí odpovídat tomu, co konkrétní dodavatel skutečně dělá.
Souhlasy a cookies v e-shopu
Lišta cookies není pouhá kosmetika. Marketingové a analytické cookies vyžadují aktivní souhlas (žádné předzaškrtnuté checkboxy). Newsletter lze posílat na základě oprávněného zájmu jen stávajícím zákazníkům – jinak je třeba souhlas. Špatně nastavené souhlasy patří k nejčastějším důvodům pokut.
Bezpečnostní incident – 72 hodin
Při úniku dat nebo neoprávněném přístupu máte 72 hodin na ohlášení ÚOOÚ. Včasná a profesionální reakce zásadně snižuje sankci. Pomůžeme s vyhodnocením rizika i s komunikací směrem k dotčeným osobám.