Poslední právní úprava v oblasti ochrany osobních údajů vstoupí v účinnost 25. května 2018. Nová pravidla se budou týkat široké skupiny subjektů včetně všech majitelů eshopů a podnikatelů, kteří využívají údaje pro marketingové účely.
GDPR - čas na přípravu se krátí
Na Slovensku vstoupí dne 25. května 2018 do účinnosti i nový zákon č. 18/2018 Z. z. o ochraně osobních údajů (dále také jako „zákon“). Pro uvedení aktuálního stavu do souladu s novou legislativou tak zbývají podnikatelům už jen necelé tři měsíce. Pro všechny naše klienty zajišťujeme následující a další činnosti tak, aby všechny webové stránky a CMS BUXUS splňovaly požadavky stanovené novými pravidly v oblasti ochrany osobních údajů.
Komplexní příprava zahrnuje následující kroky:
- Hodnocení současného stavu procesů při zpracování osobních údajů (audit).
- Porovnání současného stavu s novou legislativou.
- Příprava konkrétních návrhů řešení.
- Implementace přijatých opatření do praxe.
Audit CMS a webu
V rámci auditu webové stránky zjišťujeme, jaké osobní údaje klient zpracovává včetně následujících informací:
- jakými osobními údaji disponuje klient,
- jaké typy souborů používá,
- na jakém místě a jak dlouho jsou uložené,
- způsob ochrany citlivých údajů,
- způsob zálohování dat a další podle potřeby.
Frontend CMS a webu
Ve frontendu CMS a webu zajišťujeme pro klienty výkon následujících operací:
- hlášení v check out, pomocí kterého lze ověřit, zda má kupující alespoň 16 let (upravený formulář checkout process),
- vyjádření souhlasu kupujícího s novými podmínkami používání osobních údajů a možnost vyjádření částečného souhlasu jen s použitím údajů pro konkrétní účely (upravený formulář checkout process),
- formulář s žádostí o zrušení digitální stopy klienta,
- formulář s žádostí o zrušení souhlasu dotčené osoby za účelem zpracování osobních údajů,
- newsletter s novým vyjádřením pro existující příjemce newsletteru, ve kterém potvrzují svůj souhlas / nesouhlas s novým způsobem zpracování osobních údajů.
Backend CMS a webu
V backendu CMS a webu zajišťujeme pro klienty výkon následujících operací:
- seznam a stav přijatých požadavků spolu s žádostmi dotčených osob o zrušení digitální stopy, který představuje jednu z nejvýznamnějších novinek přijaté legislativy,
- implementujeme nástroj na prohlížení vyjádřených souhlasů / nesouhlasů dotčených osob s používáním jejich osobních údajů,
- poskytujeme nástroj na zaznamenávání všech úprav, zobrazení a exportů všech osobních údajů,
- umožňujeme možnost prohlížet záznamy o všech zobrazeních, změnách a realizovaných exportech osobních údajů na Helpdesku ui42,
- nastavujeme bariéru pro zasílání osobních údajů do Google Analytics s variabilním symbolem objednávky a ID kupujícího,
- implementujeme podporu na vytváření kopií databází s anonymizací osobních údajů pro potřeby testování a vývoje webu.
V rámci činností směřujících k uvádění webů a CMS do souladu s platnou legislativou zajišťujeme pro naše klienty také zabezpečování a šifrování dat, jakož i další důležité činnosti.
Pokud potřebujete poradit v oblasti správného nastavení eshopu nebo sladit existující web s platnou legislativou, neváhejte nás kontaktovat, rádi vám se vším poradíme.
Pro lepší pochopení a orientaci níže přiblížíme některé základní definice pojmů, které používá nový slovenský zákon o osobních údajích:
Osobní údaje jsou všechny údaje týkající se identifikované fyzické osoby nebo identifikovatelné fyzické osoby, kterou lze identifikovat přímo nebo nepřímo, zejména na základě všeobecně použitelného identifikátoru, kterým je rodné číslo nebo jiného identifikátoru, jako je například jméno, příjmení, identifikační číslo, lokalizační údaje, jiný online identifikátor, nebo je osoba, kterou lze identifikovat na základě jedné nebo více charakteristik nebo znaků, které tvoří její fyzickou identitu, fyziologickou identitu, genetickou identitu, psychickou identitu, mentální identitu, ekonomickou identitu, kulturní identitu nebo sociální identitu.
Dotčená osoba je každá fyzická osoba, které se osobní údaje týkají. Osobní údaje dotčené osoby zpracovává provozovatel ve svém informačním systému.
Souhlasem dotčené osoby se rozumí jakýkoliv vážný a svobodně daný, konkrétní, informovaný a jednoznačný projev vůle dotčené osoby ve formě prohlášení nebo jednoznačného potvrzujícího úkonu, kterým dotčená osoba vyjadřuje souhlas se zpracováním svých osobních údajů.
Zpracováním osobních údajů se rozumí jakákoliv zpracovatelská operace nebo soubor zpracovatelských operací s osobními údaji nebo se soubory osobních údajů, zejména však následující:
- získávání, zaznamenávání, uspořádávání, strukturování a uchovávání,
- změna, vyhledávání, prohlížení, využívání,
- poskytování přenosem, šířením nebo jiným způsobem,
- přeskupování nebo kombinování,
- omezení a vymazání, a to bez ohledu na to, zda se provádí automatizovanými nebo neautomatizovanými prostředky.
Online identifikátor je identifikátor poskytnutý aplikací, nástrojem nebo protokolem, zejména IP adresa, cookies, přihlašovací údaje do online služeb, rádiofrekvenční identifikace, které mohou zanechávat stopy, které se zejména v kombinaci s jedinečnými identifikátory nebo jinými informacemi mohou použít na vytvoření profilu dotčené osoby a na její identifikaci.
Informačním systémem se rozumí jakýkoliv uspořádaný soubor osobních údajů, které jsou přístupné podle určených kritérií, a to bez ohledu na to, zda jde o systém centralizovaný, decentralizovaný nebo distribuovaný na funkčním nebo geografickém základě.
Porušením ochrany osobních údajů je jakékoliv porušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně nebo k neoprávněnému poskytnutí přenášených, uchovávaných osobních údajů nebo jinak zpracovávaných osobních údajů, nebo k poskytnutí neoprávněného přístupu k takovým údajům.
Provozovatelem je každý (fyzická osoba, právnická osoba, orgán státní správy nebo územní samosprávy), kdo splňuje následující podmínky:
- sám nebo společně s jinými vymezí účel zpracování osobních údajů, tj. předem určí záměr, který se váže na určitou činnost a výsledek, který chce zpracováním dosáhnout,
- sám nebo společně s jinými určí podmínky zpracování osobních údajů, tj. jakým způsobem se budou osobní údaje zpracovávat,
- zpracovává osobní údaje fyzické osoby a ve vlastním jménu,
- zpracování osobních údajů provádí pravidelně a opakovaně.
Zákon zná i negativní definici provozovatele. Ustanovuje, že provozovatelem však v smyslu zákona není ten, kdo zpracovává osobní údaje pro vlastní potřebu v rámci osobních nebo domácích činností (například vedení adresáře, fotoalba) ani ten, kdo získal osobní údaje bez předchozího určení účelu a prostředků zpracování, bez záměru je dále zpracovávat v informačním systému a tyto údaje nebude dále systematicky zpracovávat.
Zprostředkovatel je osoba, která zpracovává údaje v zastoupení provozovatele. Zprostředkovatelem je každý, kdo zpracovává údaje v méne provozovatele. Podobně jako provozovatel, i zprostředkovatel je každá osoba (fyzická osoba, právnická osoba, orgán státní správy nebo územní samosprávy), která zpracovává osobní údaje, avšak ne ve vlastním jménu. Zprostředkovatel zpracovává osobní údaje v zastoupení provozovatele na základě, v rozsahu a za podmínek určených v písemné smlouvě uzavřené s provozovatelem. Zprostředkovatel si neurčuje účel a podmínky zpracování osobních údajů, ale osobní údaje zpracovává za účelem a podmínek předem určených provozovatelem.
Příjemce je každý, komu se osobní údaje poskytnou bez ohledu na to, zda je třetí stranou. Za příjemce se však nepovažuje orgán veřejné moci, který zpracovává osobní údaje na základě zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána, v souladu s pravidly ochrany osobních údajů vztahujícími se na daný účel zpracování osobních údajů. Příjemcem je tak každý, komu jsou osobní údaje poskytnuty nebo zpřístupněny, přičemž příjemcem může být i třetí strana. O příjemce jde např. i v případě služby na opravu pokazeného kamerového zařízení, hostingových služeb nebo IT servisu.
Třetí strana je každý, kdo není dotčenou osobou, provozovatel, zprostředkovatel nebo j
