Obecné nařízení o ochraně osobních údajů v těchto dnech oslaví rok od nabytí účinnosti. V této souvislosti vám poradíme, jak budovat startup v souladu s GDPR. Víme velice přesně, kolik nejasností a mýtů se kolem GDPR a ochrany osobních údajů vyrojilo. S Janem Slaninou, expertem na ochranu dat a financí z Creative Docku, jsme v nedávném rozhovoru vše detailně probrali a dali dohromady několik jednoduchých tipů, které by měl znát každý startup, aby v noci mohl klidně spát. Tady jsou:
1. Ochranu osobních dat řešte od začátku
„Nebudete to chtít slyšet, ale na to, jaké osobní údaje budete zpracovávat, je nutné myslet od samého počátku,” říká Jan Slanina z Creative Docku a ilustruje to na příkladu vývoje softwaru, kde je nutné se už od fáze designu snažit o co nejšetrnější zásah do soukromí uživatelů.
Přemýšlejte také o tom, jaké cloudové a jiné nástroje budete používat, a komu budete osobní údaje svých zákazníků či zaměstnanců předávat.
Počítejte s tím, že budete muset vytvořit záznamy o zpracování osobních údajů. V zákoně je sice podmínka, že firmy do 200 zaměstnanců je vytvářet nemusí, ale hned vzápětí je uvedeno, že se to netýká pravidelně zpracovávaných dat, což ale v podnikatelském prostředí nastává prakticky vždy - obchodní údaje, zaměstnanecké údaje, marketingové kampaně atp. Na tohle budete potřebovat minimálně sešit, kde bude napsáno „zpracovávám údaje A, B, C pro účely X.”
2. Udělejte krok zpátky
Zkuste se na svůj projekt podívat s odstupem a zhodnoťte z pohledu budoucích uživatelů, jestli jim zásahem do soukromí neubližujete. Vyhněte se pasti, kdy své uživatele sledujete mnohem víc, než je potřeba, a snažte se jim spíše dělat radost.
Například životní pojištění Mutumutu, které vzniklo v Creative Docku, má přístup k datům o sportovních aktivitách svých uživatelů skrze různé mobilní aplikace. Nezpracovává ale všechna data, ke kterým by přístup mít mohl - vybírá si pouze rozsah, který potřebuje k vyhodnocení, zda uživatel splnil počet kroků za den, a má tím pádem nárok na slevu za zdravý životní styl. Nesleduje, kde uživatel běhal, v jakých botách a v jaké tepové frekvenci. Právě proto, aby nebylo soukromí uživatelů zbytečně narušováno.
3. Bezpečnost v kostce
Vaší povinností je zajistit bezpečnost osobních údajů, které zpracováváte. GDPR uvádí čtyři základní oblasti, které si můžeme v jedné větě stručně shrnout:
⬛ Pseudonymizace a šifrování: Pokud vyloženě nepotřebujeme identifikovat konkrétního člověka, tak jeho osobní údaje evidujeme pod pseudonymem a v šifrované podobě, abychom ho ochránili v případě jejich úniku.
⬛ Důvěrnost, integrita, dostupnost: Data musí být dostupná a chráněná proti přepsání - určitě si umíte představit, kolik paseky by to třeba v nemocnici mohlo napáchat.
⬛ Obnova a ochrana před incidenty: údaje bude potřeba zálohovat, aby nás o ně první požár nebo technická závada nepřipravila.
⬛ Pravidelné testování: Neusínáme na vavřínech a periodicky hodnotíme, jestli nelze ochranu osobních údajů nějak vylepšit.
4. Pozor na HR a údaje uchazečů
„Personální údaje jsou už ve fázi náboru poměrně citlivé. Někdo třeba nechce, aby se vědělo, že hledá novou práci, dokud není ruka v rukávu,” uvádí Jan Slanina. Proto by údaje o uchazečích a jejich životopisy měly být uchovávány jen pro účely naplnění konkrétního pracovního místa. Jakmile doběhne vybranému kandidátovi zkušební doba, údaje ostatních uchazečů by měla firma neprodleně smazat.
Mailbox a data v mobilním telefonu jsou z pohledu GDPR velmi problematické, protože zaměstnavatel nesmí bezdůvodně monitorovat, jak je jeho zaměstnanci používají, a jestli dodržují precizně napsané HR předpisy. A upřímně, kdo z nás myslí na to, aby pravidelně odmázaval emaily s osobními údaji, které už nezbytně nutně nepotřebuje?
I proto Startupjobs.cz neposílá CVčka a kontaktní údaje kandidátů po emailu. Veškerá správa kandidátů probíhá ve webové aplikaci. Pokud kandidáti neudělí souhlas s kontaktováním za jinými účely, než je konkrétní nabídka, jejich data se po obsazení pozice anonymizují.
5. Vyberte si odborníka, ne podvodníka
Se vznikem GDPR se vyrojily desítky konzultantů, kteří své klienty nejdřív pořádně vystraší, aby jim hned vzápětí nabídli kouzelný balíček, jež je na GDPR připraví. To je obvykle ten nejhorší případ - odborníci se shodují, že je potřeba detailně poznat individuální situaci firmy a najít místa, kde dochází ke zpracování osobních údajů. Na to žádný balíček nepomůže.
Pokud nechcete naletět podvodníkovi, konzultujte GDPR se svým právníkem, se kterým konzultujete ostatní právní aspekty firmy. Ušetříte balík peněz, protože právník už vaši firmu a její procesy zná, a i když nebude v GDPR úplně ostřílený, budete mít jistotu, že nikomu nenaletíte.
6. Noční můra - kontrola!
Existují především dva druhy kontrol - první je pravidelná neboli systémová kontrola. Ta se obvykle týká bank, registrů dlužníků a jiných velkých hráčů. Malých podniků se bude týkat spíš kontrola mimo plán, obvykle iniciovaná konkrétní stížností.
V první řadě je nejlepší obranou prevence! Dejte svým zákazníkům možnost se ptát a řešit, jak jejich osobní údaje zpracováváte. Pokud jim vaše vysvětlení nestačí, vyjděte jim vstříc a jejich data smažte, nebo nezpracovávejte. Tímto se dá riziko kontroly prakticky eliminovat, protože stížnost zákazníci posílají až potom, co neuspěli jinými cestami.
A pokud kontrola přijde, řekne si dopředu, co od vás chce. Určitě bude chtít záznamy o zpracování osobních údajů, takže je mějte připravené. Čekejte, že bude kontrolováno, zda plníte, co jste uvedli, zda údaje náležitě chráníte, zda je po nezbytně nutné době mažete.
GDPR rozhodně nepodceňte a berte ochranu osobních údajů svých zákazníků a zaměstnanců vážně - nejen kvůli strachu z kontrol a pokut, ale i kvůli tomu, že jde o velmi citlivou komoditu, která za ochranu stojí.
Autor: Matyáš Vejskal
