Téměř 92 % společností používá databázi k ukládání informací o stávajících nebo potenciálních zákaznících. Pravděpodobně již víte, že systém, který k ukládání všech údajů o zákaznících používáte, musí být v souladu s nařízením GDPR. Na jaké oblasti ochrany dat zákazníků byste se měli zaměřit především?
1. Přestaňte o GDPR uvažovat jako o nepříteli
Od doby, kdy GDPR vstoupilo v platnost, stačilo jeho porušování významně narušit důvěru spotřebitelů k firmám. Množství pokut, které musely některé společnosti náhle zaplatit, způsobilo rozruch v mnoha oblastech podnikání. Důvěra však zůstala klíčovou komoditou a nařízení GDPR nemá být jen další otravnou byrokratickou zátěží pro váš podnik – ve skutečnosti vám může pomoct vybudovat důvěryhodný vztah se zákazníky.
Zkuste ho brát jako vodítko, které zabrání tomu, aby vám zákazníci své údaje neposkytovali nebo vaši firmu úplně opustili. Začít můžete například zřízením portálů pro ochranu osobních údajů, kde budou mít vaši zákazníci přístup ke svým poskytnutým údajům a budou moci udělit souhlas s personalizovanými službami, které jsou pro ně přínosné.
Můžete také aktivně zpracovat prohlášení o ochraně osobních údajů v čtivější podobě, protože počet lidí, kteří čtou prohlášení v plném rozsahu, je stále poměrně nízký. Podle průzkumu Evropské komise z roku 2019 čte prohlášení o ochraně osobních údajů až do konce pouze 13 % z 27 000 dotázaných lidí. Většina z nich čtení vzdá, protože jsou tato prohlášení příliš dlouhá nebo příliš složitá na pochopení. Všechny společnosti, které fungují online a záleží jim na jejich digitální identitě, by měly poskytovat prohlášení o ochraně osobních údajů, která jsou stručná, transparentní a snadno srozumitelná všem uživatelům.
2. Ujistěte se, že vy i vaši kolegové rozumíte pojmu „osobní údaje“
Zní to zvláštně nebo příliš jednoduše? Mezi firmami stále dochází k nepochopení tohoto pojmu, proto je nezbytné správně definovat, co to osobní údaje jsou.
Dnes každý z nás zanechává na internetu datové stopy svého osobního života, podobně jako za sebou Jeníček a Mařenka zanechávali drobky chleba, aby našli cestu domů. Kdokoli ale může tyto drobky sesbírat a použít ke sledování. Osobní údaje se netýkají pouze bankovních účtů, rodných čísel, e-mailů a kontaktních informacích. Patří mezi ně také veškeré informace, podle kterých můžeme fyzické osoby identifikovat, včetně příspěvků na sociálních sítích, profilových obrázků a IP adres našich zařízení.
IT odborník Jaroslav Oster například zdůrazňuje, že pochopení těchto nuancí by mělo být součástí efektivního školení o GDPR. „Malé a střední firmy postupně začínají chápat, že informační bezpečnost nelze budovat bez odpovídajícího proškolení zaměstnanců – hlavních uživatelů informačních systémů firmy,“ vysvětluje.
3. Vyberte si dobrého DPO
Pokud vaše podnikání zahrnuje pravidelné a systematické monitorování subjektů údajů nebo v rámci hlavní činnosti zpracovává velké množství zvláštních kategorií osobních údajů, pak musíte jmenovat pověřence pro ochranu osobních údajů (DPO). Hlavní odpovědností DPO je zajistit, aby všechny procesy, které se dotýkají údajů zákazníků, byly v souladu s GDPR – to se týká i údajů vašich zaměstnanců, poskytovatelů služeb nebo jakýchkoli dalších osob, s nimiž vaše firma přichází do styku.
Jak si však takovou osobu vybrat? DPO musí rozumět praktickým důsledkům nařízení o ochraně osobních údajů a vědět, jak posoudit úroveň rizika spolu s vhodnými řešeními, která předloží vedení. Proto by měl mít DPO také dobře rozvinuté přesvědčovací a vyjednávací komunikační schopnosti.
4. Uchovávejte důkazy o souladu s předpisy
Dříve či později budete možná vyzváni, abyste vysvětlili, jak vaše firma pracuje s daty. Používáte údaje o zákaznících skutečně k účelu, ke kterému byly shromážděny? Dobře. A jste připraveni to zákonodárci prokázat?
Měli byste nepřetržitě sledovat všechny oblasti, které se dat dotýkají, od jejich sběru až po použití. Pokuste se zavést technologie a procesy pro prevenci úniku dat, které vaší organizaci pomohou, a to jak sladit informace napříč systémy a procesy, tak vybudovat silnější kontrolní mechanismy, které dokáží sledovat datové stopy. Nezapomínejte na data, která ukládáte offline. To je obzvláště důležité během jakékoli krize, která ovlivňuje způsob, jakým provozujete své podnikání, jako byla například pandemie COVID-19.
5. Neponechávejte dodržování GDPR na jednom oddělení
Přenechání odpovědnosti za dodržování předpisů pouze IT oddělení není správným řešením. GDPR se týká mnoha různých oblastí podnikání a všichni vaši zaměstnanci by měli být proškoleni, aby pochopili, jak GDPR ovlivňuje je i zákazníky.
Pokud máte vlastní IT tým, je jistě schopen zvládnout některé klíčové kroky, které vedou k lepšímu dodržování nařízení GDPR. Pokud však musí zvládnout IT tým vše, může být zahlcen. Vaši IT zaměstnanci musí také udržovat přehled o opravách chyb, monitorovat hrozby a být připraveni reagovat na případné bezpečnostní incidenty. Zodpovědné chování všech zaměstnanců do značné míry uleví IT pracovníkům.
6. Pozor na neúmyslné šíření informací o zákaznících na internetu
Sledování úniků dat přineslo mnoho překvapivých informací. K úniku citlivých údajů například často dochází z pouhé nedbalosti. Kromě toho jsou tato data někdy nahrávána na veřejné servery pro bezplatné sdílení souborů, odkud si je může kdokoli stáhnout. A existují také darknety, kde mohou být data dokonce prodána. Podle nařízení GDPR mají vaši zákazníci právo vědět, jaké údaje jsou o nich shromažďovány, a dokonce mají právo na výmaz těchto záznamů. Ujistěte se, že jste přijali dostatečná bezpečnostní opatření, abyste zabránili úniku dat.