Tento web využívá cookies. Jeho používáním s tím vyjadřujete souhlas. Více informací

GDPR třídy

GDPR tridy

GDPR se nějakým způsobem týká skoro všech. Každého se ale týká v jiném rozsahu, přiměřeně tomu, jakým způsobem osobní data zpracovává. Pro snazší orientaci jsme vytvořili 6 základních tříd a k nim i patřičná doporučení, na co se pro splnění GDPR povinností zaměřit. Připravili jsme pro Vás i GDPR kalkulačku, kde během 5 minut zjistíte, do které třídy spadáte a které kroky byste měli provést.

A


třída

osobní údaje nemám

  • Všichni, kdo osobní údaje neukládají. (S výjimkou údajů pro ryze osobní potřebu.)
  • Spadá sem většina lidí-nepodnikatelů, výjimečně i někteří podnikatelé.

B


třída

osobní údaje ukládám, ale dále je nezpracovávám

  • Mnoho malých živnostníků, typicky provádějících svoji činnost osobně, buď u zákazníka nebo „v terénu“. Nevyužívají moderních marketingových kanálů. I tak by ale měli dodržovat základní pravidla zabezpečení svých dat, a to nejen kvůli GDPR.
  • Řemeslníci, kadeřnice, podnikatelé ve službách…

C


třída

osobní údaje mám, zpracovávám, ale nikomu nepředávám

  • Živnostníci, firmy, ale také různé zájmové spolky. Ať už jde o data zaměstnanců, členů, klientů nebo obchodních partnerů, jedná se o zpracování osobních údajů. V takovém případě už je třeba dbát na základní zabezpečení systémů, do nichž se data ukládají, a také zajistit, aby měly přístup jen oprávněné osoby. Podle rozsahu je pak zapotřebí vhodně zvolit způsob, jakým budou o zpracovávání dat lidé informováni a jakým způsobem budou zajištěna jejich práva. Výjimku pro předávání tvoří externí účetní a daňové firmy, státní instituce a podobně, neboť takové předávání slouží ke splnění zákonných povinností.
  • Drobné firmy se zaměstnanci, malé e-shopy, všichni, kdo mají web s registrací…

D


třída

osobní údaje mám, zpracovávám a předávám dalším

  • Jedna z největších skupin – sem spadají především firmy, které využívají online marketing, ať už cílené reklamy, nebo jen sledování návštěvníků webu pomocí Google Analytics. Zejména u webových služeb je třeba dbát na správné informování návštěvníka o zpracování a předávání jeho údajů dalším subjektům. I pouhé ukládání osobních údajů do cloudu může být předáváním. Je třeba zajistit správně formulované souhlasy návštěvníků s takovým zpracováním. Pro větší rozsah zpracovaných údajů je vhodné zvolit online řešení, takže v této kategorii bude často nutná úprava stávajících webů a systémů.
  • Větší e-shopy s cílenou reklamou, různé výrobní firmy s externími dodavateli, firmy využívající cloudové služby…

E


třída

osobní údaje zpracovávám pro někoho jiného

  • Analytické a marketingové společnosti, pro které je zpracovávání osobních údajů součástí nabídky dalším firmám. Je třeba dbát vyšší opatrnosti. V tomto případě se velmi doporučuje důkladnou analýzu IT řešení. Je také důležité s obchodními partnery správně smluvně zajistit rozdělení odpovědnosti za zpracovávaná data. Je v zájmu takové firmy, aby měla velmi dobře ošetřen celý proces předávání a zpracování dat. Nejen kvůli GDPR, ale i proto, aby byla důvěryhodným obchodním partnerem.
  • Online služby nabízející rozesílání newsletterů, analytici na volné noze, markeťáci na volné noze i agentury…

F


třída

představuji vysoké riziko úniku či zneužití osobních údajů

  • Patří sem celá státní správa, ale i korporáty ze sféry byznysu. V tomto případě už je třeba individuální přístup a doporučujeme se obrátit na právní kancelář. Pro splnění GDPR povinností je třeba zpracovat DPIA (posouzení vlivu na zpracování osobních údajů) a nechat prověřit povinnost zřízení DPO (pověřence pro ochranu osobních údajů).
  • Státní správa, obce, nemocnice, banky, pojišťovny, bezpečnostní agentury, call centra…

Rozsah a riziko

Jak moc to mám vše brát vážně?

U každé třídy stanovujeme navíc orientační údaj o rozsahu zpracovávaných údajů a riziku případných postihů. Podle množství zpracovávaných údajů, velikosti a obratu firmy stanovujeme 3 základní rozsahy:

  1. Malý
  2. Střední
  3. Velký

1. U malého rozsahu je velmi pravděpodobné, že bude stačit splnit základní povinnosti vlastními silami neboli selským rozumem. I tak je ale vhodné se zamyslet nad doporučeními, která pro danou třídu dáváme. Už jen proto, že každá firma může jednou vyrůst.

2. Střední rozsah zpracování se bude týkat většiny malých a středních firem, zejména e-shopů. Většinu povinností lze splnit vlastními silami.

3. U velkého rozsahu už doporučujeme individuální posouzení a případné využití právních a IT služeb.

Toto rozdělení bylo navrženo společností Secure Data pouze pro lepší orientaci v GDPR. V žádném případě není oficiálním rozdělením dle nařízení GDPR . Uvedená doporučení nejsou vyčerpávající a jsou zamýšlena pro typické obecné případy, kdy v individuálních případech se mohou povinnosti dotčených subjektů odlišovat. Doporučení nepředstavují jakékoli právní stanovisko a nemohou nahradit individuální posouzení ze strany právních a jiných specializovaných poradců, kteří se zaměřují na GDPR