Skratka, ktorá si v poslednom čase pre seba ukradla najviac pozornosti. GDPR alebo General Data Protection Regulation je všeobecné nariadenie na ochranu osobných údajov. Ide o nariadenie Európskej únie, ktoré upravuje a nahrádza doterajší zákon o ochrane osobných údajov. Toľko formulka na začiatok.
Radi by sme rovno zdôraznili, že spoločnosť Staffino už dlhšie pred 25. májom 2018, kedy začalo nariadenie platiť, splnilo všetky tieto podmienky a je teda GDPR Compliant.
„Bezpečnosť a ochrana dát vašej spoločnosti a vašich klientov je pre nás rovnako dôležitá, ako aj pre vás. Aj preto sme naše riešenie, naše systémy a procesy dlhé mesiace pripravovali tak, aby boli plne v súlade s novým nariadením GDPR,“ hovorí CEO spoločnosti Staffino Tomáš Rosputinský.
Staffino je pripravené splniť všetky prísne požiadavky nariadení. „Nebudeme tí, čo nariadenia dobiehajú na poslednú chvíľu, práve naopak. Sme pripravení vám pomôcť s ich interpretáciou na oblast CX a manažmentu zákazníckej skúsenosti. Celým procesom nás previedla renomovaná advokátska kancelária Glatzova & Co, aj vďaka ktorej veríme, že naši klienti budú aj naďalej bezpečne zbierať dáta o zákazníckej skúsenosti na svojich pracoviskách či miestach predaja,“ dodáva Ivan Dvoran, Chief Data Analyst v Staffine.
Treba povedať, že Staffino prijalo všetky organizačné a technické opatrenia, opatrenia na úrovni spracovania a ukladania dát a taktiež komunikácie s používateľom (zákazníkom).
Oproti doteraz platnému Zákonu na ochranu osobných údajov nastalo zopár zmien:
- GDPR rozširuje okruh tradičných osobných údajov (napr. meno a priezvisko) o nové typy údajov ako sú IP adresa alebo súbory cookies. Nový zákon zároveň bližšie vymedzuje osobitné kategórie osobných údajov, pričom rodné číslo do tejto kategórie už nebude spadať.
- Nový zákon sprísňuje náležitosti súhlasu so spracovaním osobných údajov, ktorý musí byť konkrétny, slobodný, informovaný a jednoznačný. Prednastavené zaškrtnutie políčka pre udelenie súhlasu so spracovaním osobných údajov alebo viazanie tohto súhlasu na uzavretie zmluvy či prijatie obchodných podmienok preto nebude možné. Prevádzkovateľ musí byť navyše vždy schopný preukázať, že súhlas splňujúci vyššie uvedené podmienky bol skutočne udelený, preto sa odporúča používanie tzv. double-opt-in pri potvrdzovaní súhlasu.
- Nový zákon už neupravuje povinnosť vypracovávať bezpečnostný projekt, povinnosť viesť evidenciu informačného systému alebo povinnosť oznamovať informačné systémy Úradu na ochranu osobných údajov. Namiesto toho sa zavádza povinnosť viesť záznamy o spracovateľských činnostiach (najmä u zamestnávateľov zamestnávajúcich aspoň 250 zamestnancov) a povinnosť vykonať tzv. posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov, ktorá je prakticky len veľmi ťažko uchopiteľná.
- Nový zákon zavádza dotknutým osobám právo požadovať transfer osobných údajov v štruktúrovanej podobe od jedného prevádzkovateľa k inému (napr. cez rozhranie API alebo úložisko údajov).
- Nový zákon v určitých prípadoch sprísňuje možnosti spracúvania osobných údajov detí do 16 rokov, ku ktorému sa vyžaduje súhlas zákonného zástupcu (tzv. rodičovský súhlas so spracúvaním osobných údajov)
- Nový zákon zavádza povinnosť ustanoviť tzv. zodpovednú osobu na ochranu osobných údajov (namiesto doterajšieho dobrovoľného poverenia) v zákonom stanovených prípadoch. Po novom sa mení tiež postavenie a kompetencie zodpovednej osoby.
- Nový zákon o ochrane osobných údajov sprísňuje povinnosť vymazať osobné údaje na žiadosť dotknutej osoby, a to tak, že pri splnení zákonom stanovených podmienok musia byť jej osobné údaje vymazané nielen u prevádzkovateľa, ale aj u ďalších subjektov, ktoré tieto údaje spracúvajú.
- Nový zákon upravuje formu a náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, a o tak, že do zmluvy pribudne minimálne 9 nových povinností, resp. prehlásení sprostredkovateľa.
- Nový zákon zavádza povinnosť nahlasovať bezpečnostné incidenty (strata či krádež údajov) Úradu na ochranu osobných údajov do 72 hodín od zistenia incidentu.
- Nový zákon zavádza prísnejšie pokuty za porušenie povinností spojených so spracúvaním a ochranou osobných údajov, a to až do výšky 20 000 000 EUR alebo do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok.
Teraz si povieme zopár faktov, prečo Staffino spĺňa všetky podmienky GDPR.
OPRÁVNENÝ ZÁUJEM
Čo sa týka súhlasu so zverejnením osobných údajov zamestnancov či zákazníkov sa berie do úvahy oprávnený záujem spoločnosti za účelom skvalitnenia služieb.
Pre jeho potvrdenie sa robí tzv. Balančný test (Test proporcionality). Vykonanie balančného testu nie je povinnosťou sprostredkovateľa (čím Staffino vo vzťahu k zamestnancom/ zákazníkom firiem je), ale je povinnosťou prevádzkovateľa klientov STAFFINO.
My sme však takýto balančný test pripravili a radi ho Vášmu právnemu oddeleniu poskytneme 🙂
ZBER HODNOTENÍ CEZ TRETIU STRANU
S našimi klientmi uzatvárame zmluvy o spracúvaní osobných údajov. STAFFINO vystupuje ako sprostredkovateľ klienta (prevádzkovateľa), ktorý ho v zmluve písomne poverí, aby v jeho mene spracúval osobné za účelom zberu hodnotení. Vzor našej zmluvy je v súlade s GDPR.
Zákazník klienta nemusí súhlasiť so sprostredkovateľmi klienta. Sprostredkovatelia alebo ich kategórie by mu však mali byť oznámené prevádzkovateľom napr. prostredníctvom Privacy Policy.
ODHLÁSENIE Z ODBEROV
Používatelia (zákazníci) sa môžu odhlásiť (unsubscribe) zo zasielania žiadostí o zanechanie hodnotenia: konkrétneho klienta a aj všetkých klientov.
ZVEREJŇOVANIE HODNOTENÍ
STAFFINO dohliada na práva zamestnancov a preto nezverejňuje hodnotenia, ktoré sú negatívne.
STAFFINO tak dodržiava nielen pravidlá ochrany osobných údajov, ale taktiež Občiansky zákonník a ochranu osobnosti zamestnanca.
V našej práci aplikujeme všeobecné princípy ochrany osobnosti zamestnanca a zverejňujeme len pozitívne hodnotenia, ktoré majú zamestnancov motivovať.
Aj pozitívne hodnotenia však môžu byť namietané, a to zo strany klienta, zákazníka aj zamestnanca. Každý taký prípad individuálne posúdime a namietané hodnotenie v prípade opodstatneného podnetu odstránime.
Spôsoby hodnotenia
Sami od seba (tzv. spontánny feedback)
Prihlásia sa do našej aplikácie a po akceptovaní podmienok majú možnosť ohodnotiť konkrétneho zamestnanca prevádzky. Pri spontánnom hodnotení zákazník publikuje hodnotenie rovnako, ako pri komentovaní alebo hodnotení na inej sociálnej sieti, pod svojim menom a fotografiou, ktoré má zverejnené na stránke, cez ktorú sa prihlásil (napríklad na facebooku).
Na naše odporúčanie (tzv. vyžiadaný feedback)
Na rozdiel od spontánneho feedbacku sa pri vyžiadanom feedbacku zobrazí len krstné meno zákazníka a žiadne iné osobné údaje. Jeho hodnotenie preto nemožno priradiť ku konkrétnej osobe a nejedná sa preto o osobné údaje.
OPT OUT
Zákazník môže požiadať o aplikáciu absolútnej námietky – opt out:
- Môže namietať IBA zverejnenie / skryje sa verejné hodnotenie bez posudzovania
- Môže namietať výmaz / vymaže sa celé hodnotenie bez posudzovania
STAFFINO umožňuje anonymizáciu dát zákazníkov pre zvýšenú ochranu súkromia.
PRÍKLAD: Zákazník Veronika hodnotila pred X týždňami zamestnanca / prevádzku banky a rozhodne sa, že
- Namieta zverejniť hodnotenia pre verejnosť
- Chce zmazať jedno konkrétne hodnotenie
- Chce zanonymizovať jedno konkrétne hodnotenie
- Chce zmazať celý svoj profil
Ako sa premietlo GDPR do nášho webového rozhrania?
1. Cookies – Pri prvej návšteve je používateľ informovaný o využívaní Cookies a zbere ďalších dát.
2. Podmienky používania služby – Či už zákazník zanechá hodnotenie spontánne alebo vyžiadané, je oboznámený so Všeobecnými obchodnými podmienkami (Terms of Service) a Vyhlásenie o ochrane osobných údajov (Privacy Policy). Odovzdanie hodnotenia je podmienené súhlasom s podmienkami.
3. Registrácia nového používateľa
4. Prečo netreba zaškrtnúť aktívny súhlas? Lebo nespracúvame osobné údaje na základe súhlasu, ale oprávneného záujmu s cieľom skvalitňovania služieb.
5. Manažment T&C a Privacy policy – Právne dokumenty sú ukladané na samostatnej verejnej podstránke.
- Dokumenty budú kategorizované podľa jazyka, verziované a označené dátumom zverejnenia
- Aktuálna/platná verzia dokumentov bude zobrazená primárne
- Registrovaní používatelia dostávajú upozornenie o zmenách v dokumentoch na e-mail
6. Interná smernica zhrňujúca základné pravidlá pre ochranu osobných údajov v spoločnosti STAFFINO
Okrem zaistenia procesnej a právnej stránky s ohľadom na spracovanie osobných údajov, samotné informácie a osobné údaje o klientoch a od klientov sú zabezpečené na dostatočnej úrovni tak, aby nedošlo k ich vyzradeniu, strate, zničeniu či nepovolenej zmene.
Interná smernica jasne definuje základné pravidlá pre zistenie informačnej bezpečnosti, predovšetkým s ohľadom na osobné údaje.