25. května 2018 začne platit GDPR a vy možná ještě nemáte jasno v tom, na co se zaměřit a jak GDPR řešit. Přečtěte si, jaké jsou nejdůležitější oblasti GDPR, a s čím vám pomůže iDoklad.
GDPR se týká všech – obchodníků, klientů, zaměstnavatelů a dalších. Každý má svoji roli:
- Správce údajů shromažďuje data a musí je chránit. Z pohledu iDokladu je správcem například živnostník, který fakturuje v iDokladu.
- Zpracovatel je pověřený správcem data zpracovávat či ukládat.
- Subjekt údajů poskytuje své údaje a má vůči správci práva – třeba na výmaz nebo opravu. Typicky je to zákazník uživatele iDokladu, v našem případě také každý uživatel iDokladu.
Pozor, iDoklad na všechno nestačí
Při přechodu na GDPR postupujte ve 2 krocích:
- Nejprve si ujasněte, co všechno pro vás GDPR znamená. Vyplatí se to prokonzultovat s právníkem nebo si nechat vypracovat posudek. Pomůže vám i Základní příručka Úřadu pro ochranu osobních údajů. Pak si můžete stanovit svá interní pravidla, jak naplňovat GDPR.
- Ke splnění GDPR použijte svůj iDoklad – ukážeme vám funkce, které vám od května pomohou. A všechny jsou zadarmo.
Administrace a práce v iDokladu
Ochraňte svá data
Jako první vás možná napadne, jestli jsou vaše data bezpečně uložená. V iDokladu používáme Microsoft Azure – superbezpečný cloudový systém. Tohle jsou jeho hlavní výhody:
- Vaše data jsou uložená ve velmi dobře zabezpečených datových centrech.
- Bez oprávnění není šance se k datům dostat.
- Datová centra spravuje Microsoft, který deklaruje soulad s GDPR – takže máte vystaráno.
- Díky uložení dat na Microsoft Azure se sníží vaše náklady na zabezpečení dat kvůli GDPR a na mapování stávajícího stavu. Microsoft Azure a jeho certifikáty totiž automaticky zajišťují kompatibilitu s GDPR a to vám ušetří mnoho času i prostředků.
- Všechny údaje z aplikace iDoklad ukládá Microsoft na své servery v Irsku – takže vaše data nikdy neopustí Evropskou unii.
- Microsoft dodržuje normu ISO /IEC 27018 při zabezpečení osobních údajů v cloudových úložištích.
Jedním z vašich úkolů při vylepšování bezpečnosti je prověření všech účtů – pokud má váš iDoklad více uživatelů.
Aby nebylo příliš jednoduché heslo kamenem úrazu v jinak bezpečném systému, určíme minimální požadavky na sílu hesla. Díky tomu si uživatelé nemohou zadat extrémně snadné heslo, které by šikovný hacker prolomil už za pár minut.
V iDokladu citlivé údaje neřešíte
Datum narození nebo číslo občanky člověk nevykládá na potkání. A stejně opatrně zacházejte s údaji také v iDokladu. GDPR stanovuje 2 speciální kategorie údajů:
- běžné osobní údaje (třeba adresa, věk, pohlaví, fotka)
- a osobní údaje zvláštních kategorií (zkráceně citlivé údaje, například zdravotní stav, informace o členství v odborech, náboženské vyznání).
Ve svém iDokladu narazíte jen na první kategorii. Jenže tyto „běžné” osobní údaje podle GDPR taky spadají do zvláštního režimu zacházení. Proto jsme pro vás připravili návod, jak s nimi správně zacházet.
Méně je někdy více. Základním pravidlem je evidovat jen nezbytné minimum údajů a navíc pouze ty, které vám zákazníci sami sdělí nebo jsou dostupné ve veřejných rejstřících.
K takovým údajům patří například jméno a příjmení, adresa, e-mail a telefonní číslo, IČ a další.
Nezapomeňte, že údaje můžete využít jen pro účely, ke kterým vám je zákazníci poskytli.
Práva subjektů údajů
Z pohledu iDokladu existují dva typy subjektů údajů:
- Jste jím vy jako uživatel iDokladu. Správcem je v tomto případě Solitea Česká republika a zpracovatelem Microsoft. S uplatněním vašich práv vám pomohou na Zákaznické centru Solitey.
- Je jím váš zákazník. Vy jste potom správcem osobních údajů a zpracovateli jsou Solitea Česká republika a Microsoft.
Každý subjekt údajů může uplatňovat svá základní práva.
1) Právo na přístup k osobním údajům
Pokud jako správce údajů dostanete od subjektu údajů informace, musíte mu na základě jeho žádosti dát vědět třeba to, že jeho data zpracováváte, za jakým účelem je získáváte a kdo s nimi bude dále pracovat.
Pomůže vám s tím Adresní karta se souhrnem informací, které evidujete o subjektu údajů.
Adresní kartu vytisknete v Adresáři kontaktů.
2) Právo na opravu
Pokud se zákazník domnívá, že o něm zpracováváte nepřesné údaje, může vás na to upozornit. Pak se musíte jeho žádosti věnovat a data v iDokladu opravit.
3) Právo na výmaz (známé také jako právo být zapomenut)
Právo na výmaz znamená, že váš zákazník může žádat smazání osobních údajů ze systému:
- po uplynutí zákonných či smluvních lhůt a pominutí účelu zpracování
- nebo při odvolání souhlasu ke zpracování osobních údajů.
V iDokladu pak data vymažete pomocí nové funkce – anonymizace:
- Funkce vám nejprve nabídne seznam všech subjektů ve vašem iDokladu.
- Vyberte konkrétní subjekt a zobrazte si seznam jeho dokladů.
- Všechny osobní údaje subjektu (v adresáři i na dokladech) můžete anonymizovat.
Ještě před anonymizací ale promyslete, jestli na ni má váš zákazník právo. Ve váš prospěch totiž mluví zákonné lhůty, které stanovují, jak dlouho musíte doklady archivovat. Nezapomeňte, že je anonymizace nevratná!
V iDokladu si snadno a rychle najdete všechny doklady subjektu údajů, který si přeje uplatnit své právo na výmaz.
4) Právo na přenositelnost údajů
GDPR přesně nestanovuje formát pro přenositelné údaje. V iDokladu můžete použít sestavu Karta zákazníka, uložit ji ve formátu XLS a poslat klientovi například e-mailem.
5) Právo na omezení zpracování
Subjekt údajů může požádat o omezení zpracování osobních údajů. V tom případě musíte jeho žádost řešit ve svém iDokladu individuálně, zpravidla ručně.
Tohle by vám nemělo ujít
Kromě nových funkcí si přečtěte také náš druhý článek o tom, jak chráníme a zpracováváme údaje váš, uživatelů iDokladu. Další podrobnosti najdete v našich Zásadách ochrany osobních údajů, Cookie Policy a v Podmínkách použití aplikace.
Napadá vás už teď něco dalšího, co byste v souvislosti s GDPR v iDokladu přivítali? Napište nám. Další funkce budeme přidávat na základě vašich nápadů.
