Zkratka, která si v poslední době pro sebe ukradla nejvíc pozornosti. GDPR anebo General Data Protection Regulation je všeobecné nařízení na ochranu osobních údajů. Jde o nařízení Evropské unie, které upravuje a nahrazuje dosavadní zákon o ochraně osobních údajů. To by byla definice na začátek.
Rádi bychom rovnou zdůraznili, že společnost Staffino už delší dobu před 25. květnem 2018, kdy začalo nařízení platit, splnilo všechny tyto podmínky a je teda GDPR Compliant.
„Bezpečnost a ochrana dat vaší společnosti a vašich klientů je pro nás stejně důležitá jako i pro vás. I proto jsme naše řešení, naše systémy a procesy dlouhé měsíce připravovali tak, aby byly plně v souladu s novým nařízením GDPR,“ říká CEO společnosti Staffino Tomáš Rosputinský.
Staffino je připravené splnit všechny přísné požadavky nařízení. „Nebudeme ti, co nařízení dobíhají na poslední chvíli, právě naopak. Jsme připravení vám pomoct s jejich interpretací na oblast CX a managementu zákaznické zkušenosti. Celým procesem nás provedla renomovaná advokátská kancelář Glatzova & Co, i díky které věříme, že naši klienti budou i nadále bezpečně sbírat data o zákaznické zkušenosti na svých pracovištích či prodejních místech,“ dodává Ivan Dvoran, Chief Data Analyst v Staffině.
Je třeba říct, že Staffino přijalo všechna organizační a technická opatření, opatření na úrovni zpracování a ukládání dat a taktéž komunikace s uživatelem (zákazníkem).
Oproti doteď platnému Zákonu na ochranu osobních údajů nastalo pár změn:
- GDPR rozšiřuje okruh tradičních osobních údajů (např. jméno a příjmení) o nové typy údajů jako jsou IP adresa anebo soubory cookies. Nový zákon zároveň blíže vymezuje specifické kategorie osobních údajů, přičemž rodné číslo do této kategorie už nebude spadat.
- Nový zákon zpřísňuje náležitosti souhlasu se zpracováním osobních údajů, který musí být konkrétní, svobodný, informovaný a jednoznačný. Přednastavené zaškrtnutí políčka pro udělení souhlasu se zpracováním osobních údajů anebo vázání tohoto souhlasu na uzavření smlouvy či přijetí obchodních podmínek proto nebude možné. Provozovatel musí být navíc vždy schopný prokázat, že souhlas splňující výše uvedené podmínky byl skutečně udělený, proto se doporučuje používání tzv. double-opt-in při potvrzování souhlasu.
- Nový zákon už neupravuje povinnost vypracovávat bezpečnostní projekt, povinnost vést evidenci informačního systému anebo povinnost oznamovat informační systémy Úřadu na ochranu osobních údajů. Namísto toho se zavádí povinnost vést záznamy o zpracovatelských činnostech (zejména u zaměstnavatelů zaměstnávajících aspoň 250 zaměstnanců) a povinnost vykonat tzv. posouzení vlivu plánovaných zpracovatelských operací na ochranu osobních údajů, která je prakticky jen velmi těžko uchopitelná.
- Nový zákon zavádí dotknutým osobám právo požadovat transfer osobních údajů v strukturované podobě od jednoho provozovatele k jinému (např. přes rozhraní API anebo úložiště údajů).
- Nový zákon v určitých případech zpřísňuje možnosti zpracovávání osobních údajů dětí do 16 let, ke kterému se vyžaduje souhlas zákonného zástupce (tzv. rodičovský souhlas se zpracováváním osobních údajů)
- Nový zákon zavádí povinnost stanovit tzv. zodpovědnou osobu na ochranu osobních údajů (namísto dosavadního dobrovolného pověření) v zákonem stanovených případech. Po novém se mění taky postavení a kompetence zodpovědné osoby.
- Nový zákon o ochraně osobních údajů zpřísňuje povinnost vymazat osobní údaje na žádost dotyčné osoby, a to tak, že při splnění zákonem stanovených podmínek musí být její osobní údaje vymazané nejen u provozovatele, ale i u dalších subjektů, které tyto údaje zpracovávají.
- Nový zákon upravuje formu a náležitosti smlouvy mezi provozovatelem a zprostředkovatelem, a to tak, že do smlouvy přibude minimálně 9 nových povinností, resp. prohlášení zprostředkovatele.
- Nový zákon zavádí povinnost nahlašovat bezpečnostní incidenty (ztráta či krádež údajů) Úřadu na ochranu osobních údajů do 72 hodin od zjištění incidentu.
- Nový zákon zavádí přísnější pokuty za porušení povinností spojených se zpracováváním a ochranou osobních údajů, a to až do výšky 20 000 000 EUR anebo do výšky 4 % celkového světového ročního obratu za předcházející účetní rok.
Teď si řekneme pár faktů, proč Staffino splňuje všechny podmínky GDPR.
OPRÁVNĚNÝ ZÁJEM
Co se týče souhlasu se zveřejněním osobních údajů zaměstnanců či zákazníků bere se do úvahy oprávněný zájem společnosti za účelem zkvalitnění služeb.
Pro jeho potvrzení se dělá tzv. Balanční test (Test proporcionality). Vykonání balančního testu není povinností zprostředkovatele (čímž Staffino ve vztahu k zaměstnancům/ zákazníkům firem je), ale je povinností provozovatele klientů STAFFINO.
My jsme však takovýto balanční test připravili a rádi ho Vašemu právnímu oddělení poskytneme 🙂
SBĚR HODNOCENÍ PŘES TŘETÍ STRANU
S našimi klienty uzavíráme smlouvy o zpracovávání osobních údajů. STAFFINO vystupuje jako zprostředkovatel klienta (provozovatele), který ho v smlouvě písemně pověří, aby v jeho jméně zpracovával osobní údaje za účelem sběru hodnocení. Vzor naší smlouvy je v souladu s GDPR.
Zákazník klienta nemusí souhlasit se zprostředkovateli klienta. Zprostředkovatelé anebo jejich kategorie by mu však měly být oznámeny provozovatelem např. prostřednictvím Privacy Policy.
ODHLÁŠENÍ Z ODBĚRU
Uživatelé (zákazníci) se můžou odhlásit (unsubscribe) ze zasílání žádostí o zanechání hodnocení: konkrétního klienta, a i všech klientů.
ZVEŘEJŇOVÁNÍ HODNOCENÍ
STAFFINO dohlíží na práva zaměstnanců, a proto nezveřejňuje hodnocení, která jsou negativní.
STAFFINO tak dodržuje nejen pravidla ochrany osobních údajů, ale taktéž Občanský zákoník a ochranu osobnosti zaměstnance.
V naší práci aplikujeme všeobecné principy ochrany osobnosti zaměstnance a zveřejňujeme jen pozitivní hodnocení, která mají zaměstnance motivovat.
I pozitivní hodnocení však můžou být namítané, a to ze strany klienta, zákazníka i zaměstnance. Každý takový případ individuálně posoudíme a namítané hodnocení v případě opodstatněného podnětu odstraníme.
Způsoby hodnocení
Sami od sebe (tzv. spontánní feedback)
Přihlásí se do naší aplikace a po akceptování podmínek mají možnost ohodnotit konkrétního zaměstnance pobočky. Při spontánním hodnocení zákazník publikuje hodnocení stejně jako při komentování anebo hodnocení na jiné sociální síti, pod svým jménem a fotografií, které má zveřejněné na stránce, přes kterou se přihlásil (například na facebooku).
Na naše doporučení (tzv. vyžádaný feedback)
Na rozdíl od spontánního feedbacku se při vyžádaném feedbacku zobrazí jen křestní jméno zákazníka a žádné jiné osobní údaje. Jeho hodnocení proto není možno přiřadit ke konkrétní osobě a nejedná se proto o osobní údaje.
OPT OUT
Zákazník může požádat o aplikaci absolutní námitky – opt out:
- Může namítat POUZE zveřejnění / skryje se veřejné hodnocení bez posuzování
- Může namítat vymazání / vymaže se celé hodnocení bez posuzování
STAFFINO umožňuje anonymizaci dat zákazníků pro zvýšenou ochranu soukromí.
PŘÍKLAD: Zákazník Veronika hodnotila před X týdny zaměstnance / pobočku banky a rozhodne se, že
- Namítá zveřejnit hodnocení pro veřejnost
- Chce smazat jedno konkrétní hodnocení
- Chce zanonymizovat jedno konkrétní hodnocení
- Chce smazat celý svůj profil
Jak se promítlo GDPR do našeho webového rozhraní?
1. Cookies – Při první návštěvě je uživatel informovaný o využívání Cookies a sběru dalších dat.
2. Podmínky používání služby – Ať už zákazník zanechá hodnocení spontánně anebo vyžádané, je obeznámený se Všeobecnými obchodními podmínkami (Terms of Service) a Prohlášením o ochraně osobních údajů (Privacy Policy). Odevzdání hodnocení je podmíněné souhlasem s podmínkami.
3. Registrace nového uživatele
4. Proč není třeba zaškrtnout aktivní souhlas? Protože nezpracováváme osobní údaje na základě souhlasu, ale oprávněného zájmu s cílem zkvalitňování služeb.
5. Management T&C a Privacy policy – Právní dokumenty jsou ukládány na samostatné veřejné podstránce.
- Dokumenty budou kategorizované podle jazyka, verziované a označené datem zveřejnění
- Aktuální/platná verze dokumentů bude zobrazená primárně
- Registrovaní uživatelé dostávají upozornění o změnách v dokumentech na e-mail
6. Interní směrnice shrnující základní pravidla pro ochranu osobních údajů v společnosti STAFFINO
Kromě zajištění procesní a právní stránky s ohledem na zpracování osobních údajů, samotné informace a osobní údaje o klientech a od klientů jsou zabezpečené na dostatečné úrovni tak, aby nedošlo k jejich vyzrazení, ztrátě, zničení či nepovolené změně.
Interní směrnice jasně definuje základní pravidla pro zjištění informační bezpečnosti, především s ohledem na osobní údaje.
[[zoho_form_1]]