Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Podívejte se na veškerý náš obsah pro malé firmy na Nápověda a vzdělávání pro malé firmy.
Použití Microsoftu 365 pro firmy ke zmírnění a správě dodržování předpisů GDPR
Obecné nařízení o ochraně osobních údajů (GDPR) je nařízení Evropské unie (EU), které nařizuje, jak má organizace nakládat s osobními údaji. Pokud vaše firma prodává, poskytuje služby nebo zaměstnává občany Evropské unie, pak se vás GDPR dotkne.
Jako správce malé firmy si pravděpodobně kladete otázku "Jak mám začít"? To může platit zejména v případě, že vaše firma nezachází s osobními údaji jako s hlavní obchodní aktivitou nebo pokud je gdpr pro vás zcela nové.
Můžete začít tím, že si projdete tento článek, který vám pomůže pochopit, co gdpr je, proč k němu došlo a jak může Microsoft 365 pro firmy pomoct vaší organizaci dodržovat nařízení GDPR.
Obsahuje také odpovědi na běžné otázky týkající se GDPR, které můžou mít malé firmy, a upozorňuje na kroky, které mohou malé firmy podniknout, aby se připravily na GDPR.
Důležité
Řešení a doporučení Microsoftu 365 v tomto článku jsou nástroje a zdroje, které vám můžou pomoct se správou a ochranou vašich dat, ale nejsou zárukou dodržování předpisů GDPR. Je na vás, abyste posoudili svůj vlastní stav dodržování předpisů. V případě potřeby se obraťte na své vlastní právní a/nebo profesionální poradce.
Rychlý přehled GDPR
GDPR je nařízení EU, které aktualizuje a rozšiřuje dřívější směrnici o ochraně osobních údajů (DPD), která byla poprvé přijata v roce 1995. GDPR se zabývá ochranou osobních údajů jednotlivce, ať už jde o klienta, zákazníka, zaměstnance nebo obchodního partnera. Cílem GDPR je posílit ochranu osobních údajů pro občany EU bez ohledu na to, jestli mají bydliště v EU nebo jinde. Nařízení stanoví očekávání a radí, jak je dosáhnout. Organizace musí mít zavedená opatření, která splňují požadavky GDPR.
GDPR se týká všech dat a způsobu jejich použití. Data si můžete představit jako životní cyklus. Cyklus začíná shromažďováním dat, pokračuje při jejich ukládání a používání (zpracování) a končí, když je úplně odstraníte ze svých systémů.
GDPR se zabývá následujícími typy dat:
Osobní údaje: Pokud můžete propojit data s jednotlivcem a identifikovat je, pak se tato data považují za osobní s ohledem na GDPR. Mezi osobní údaje patří jméno, adresa, datum narození a IP adresa. GDPR považuje i zakódované informace (označované také jako "pseudonymní" informace) za osobní údaje, a to bez ohledu na to, jak jsou tato data nejasná nebo technická, pokud je možné je propojit s jednotlivcem.
Citlivé osobní údaje Jedná se o data, která k osobním údajům přidávají další podrobnosti. Mezi příklady patří náboženství, členství v odborech, etnický původ atd. Mezi citlivé osobní údaje patří také biometrické údaje a DNA. Podle GDPR mají citlivá data přísnější pravidla ochrany než osobní údaje.
Podmínky GDPR
V GDPR se často odkazuje na některé termíny. Je důležité těmto pojmům rozumět.
Souhlas:
GDPR uvádí: "Zpracování osobních údajů by mělo být navrženo tak, aby sloužilo lidstvu." GDPR doufá, že tohoto cíle dosáhne použitím souhlasu při zpracování osobních údajů. To by mohlo být jednoduché dotazování zákazníků, jestli chtějí dostávat e-mailové zprávy od vaší společnosti. Znamená to také, že když chcete používat data k marketingu, na vašem webu už žádná zaškrtávací políčka pro odhlášení. Musíte přijmout výslovný souhlas pomocí "jasného afirmativního jednání". A budete také muset vést záznamy o tom, kdy byl souhlas přijat nebo odvolán.
Práva subjektů údajů:
GDPR stanoví práva subjektů údajů, což znamená, že v souvislosti s jejich osobními údaji mají zákazníci, zaměstnanci, obchodní partneři, klienti, smluvní partneři, studenti, dodavatelé a tak dále právo:
Buďte informováni o jejich datech: Musíte informovat jednotlivce o tom, jak používáte jejich údaje.
Mít přístup k jejich datům: Jednotlivcům musíte udělit přístup ke všem jejich datům, která máte v držení (například pomocí přístupu k účtu nebo nějakým ručním způsobem).
Požádejte o nápravu dat: Jednotlivci vás můžou požádat o opravu nepřesných dat.
Požádejte o odstranění dat: Toto právo, označované také jako "právo na výmaz", umožňuje jednotlivci požádat, aby všechny osobní údaje, které společnost shromáždila, byly odstraněny ve všech systémech, které je používají nebo které je sdílejí.
Žádost o omezené zpracování: Jednotlivec může požádat o potlačení nebo omezení jeho dat. Platí ale jenom za určitých okolností.
Přenositelnost dat: Jednotlivec může požádat o přenos svých dat do jiné společnosti.
Objekt: Jednotlivec může vznést námitky proti tomu, že se jeho data používají k různým účelům, včetně přímého marketingu.
Požádejte, abyste nepodléhali automatizovanému rozhodování, včetně profilace: GDPR má striktní pravidla týkající se používání dat k profilaci lidí a automatizaci rozhodnutí na základě této profilace.
Postup přípravy na GDPR
Tato část popisuje kroky, které může malá firma podniknout, aby se připravila na GDPR. Velká část informací o těchto krocích byla poskytnuta prostřednictvím sedmi kroků, aby se podniky připravily na obecné nařízení o ochraně osobních údajů, které poskytuje Úřad pro publikace Evropské unie.
Dobrým způsobem, jak mohou malé firmy začít s GDPR, je zajistit, aby při shromažďování osobních údajů použily následující klíčové principy:
- Shromažďujte osobní údaje s jasně definovanými účely pro to, k čemu je používáte, a nepoužívejte je k ničemu jinému. Pokud například řeknete klientům, aby vám poskytli své e-mailové adresy, aby mohli získat vaše nové nabídky nebo propagační akce, můžete jejich e-mailové adresy používat jenom pro tento konkrétní účel.
- Neshromažďujte více dat, než potřebujete. Pokud například vaše firma vyžaduje poštovní adresu, abyste mohli doručit zboží, potřebujete adresu zákazníka a jméno, ale nemusíte znát rodinný stav dané osoby.
Krok 1: Znalost osobních údajů, které v rámci své firmy shromažďujete a používáte, a důvodů, proč je potřebujete
Jako malá firma byste jako jeden z prvních kroků měli provést inventarizaci osobních údajů, které v rámci firmy shromažďujete a používáte, a proč jsou potřeba. To zahrnuje data o vašich zaměstnancích i zákaznících.
Můžete například potřebovat osobní údaje o zaměstnancích na základě pracovní smlouvy a z právních důvodů (například vykazování daní ve službě Internal Revenue Service).
V dalším příkladu můžete spravovat seznamy jednotlivých zákazníků, kteří jim budou posílat oznámení o speciálních nabídkách, pokud s tím souhlasí.
Funkce Microsoftu 365, které vám můžou pomoct v kroku 1
Microsoft Purview Information Protection vám může pomoct zjišťovat, klasifikovat a chránit citlivé informace ve vaší společnosti. Pomocí vytrénovatelných klasifikátorů můžete identifikovat a označit typy dokumentů, které obsahují osobní údaje.
Krok 2: Informujte své zákazníky, zaměstnance a další jednotlivce, když potřebujete shromáždit jejich osobní údaje
Jednotlivci musí vědět, že zpracováváte jejich osobní údaje a za jakým účelem. Pokud například zákazník potřebuje vytvořit profil zákazníka pro přístup k online webu vaší firmy, ujistěte se, že jste uvedli, co chcete s jeho informacemi dělat.
Není ale potřeba informovat jednotlivce, když už vědí, jak budete data používat. Například když vám poskytne adresu domů pro doručení, které si objednali.
Musíte také být schopni informovat jednotlivce na požádání o osobních údajích, které u nich máte, a umožnit jim přístup k jejich údajům. Uspořádání dat usnadňuje jejich poskytování v případě potřeby.
Krok 3: Uchovávejte osobní údaje pouze po dobu, po kterou je to nutné
Pokud jde o údaje zaměstnanců, uchovávejte je po dobu trvání pracovního poměru a pro související právní povinnosti. V případě zákaznických dat je uchovávejte po dobu trvání vztahu se zákazníkem a pro související právní povinnosti (například pro daňové účely). Data odstraňte, pokud už nejsou potřebná pro účely, pro které jste je shromáždili.
Funkce Microsoftu 365, které vám můžou pomoct v kroku 3
Zásady uchovávání informací a popisky vám můžou pomoct uchovávat osobní údaje po určitou dobu a odstraňovat je, když už nejsou potřeba.
Krok 4: Zabezpečení osobních údajů, které zpracováváte
Pokud ukládáte osobní údaje v IT systému, omezte přístup k souborům obsahujícím tato data, například pomocí silného hesla. Pravidelně aktualizujte nastavení zabezpečení vašeho systému.
Poznámka
GDPR nepředepisuje použití žádného konkrétního IT systému, ale stanoví, že systém má odpovídající úroveň zabezpečení. Další informace najdete v článku 32 GDRP: Zabezpečení zpracování .
Pokud ukládáte fyzické dokumenty s osobními údaji, ujistěte se, že nejsou přístupné neoprávněným osobám.
Pokud se rozhodnete ukládat osobní údaje v cloudu, například prostřednictvím Microsoftu 365, máte funkce zabezpečení, jako je možnost pomoci při správě oprávnění k souborům a složkám, centralizovaná zabezpečená umístění pro ukládání souborů (knihovny dokumentů OneDrivu nebo SharePointu) a šifrování dat při odesílání nebo načítání souborů.
Funkce Microsoftu 365, které vám můžou pomoct v kroku 4
Pomocí funkce Nastavit dodržování předpisů můžete chránit citlivé informace vaší firmy. Správce dodržování předpisů vám pomůže začít hned! Můžete například vytvořit a nasadit zásady ochrany před únikem informací , které používají šablonu GDPR.
Krok 5: Uchovávání dokumentace k aktivitám zpracování dat
Připravte si krátký dokument vysvětlující, jaké osobní údaje máte a z jakých důvodů. V případě potřeby možná budete muset dokumentaci zpřístupnit vnitrostátnímu úřadu pro ochranu osobních údajů.
Tyto dokumenty by měly obsahovat níže uvedené informace.
| Informace | Příklady |
|---|---|
| Účel zpracování údajů | Upozorňování zákazníků na speciální nabídky, jako je poskytování doručení domů; platících dodavatelů; mzdové a sociální pojištění pro zaměstnance |
| Typy osobních údajů | Kontaktní údaje zákazníků; kontaktní údaje dodavatelů; údaje o zaměstnancích |
| Kategorie dotčených subjektů údajů | Zaměstnanců; Zákazníci; Dodavatelů |
| Kategorie příjemců | úřady práce; daňové úřady |
| Období úložiště | osobní údaje zaměstnanců do ukončení pracovní smlouvy (a souvisejících právních povinností); osobní údaje zákazníka až do ukončení klientského/smluvního vztahu |
| Technická a organizační bezpečnostní opatření na ochranu osobních údajů | systémová řešení IT pravidelně aktualizována; zabezpečené umístění; řízení přístupu; šifrování dat; zálohování dat |
| Zda jsou osobní údaje předávány příjemcům mimo EU | Použití procesoru mimo EU (například úložiště v cloudu); umístění údajů zpracovatele; smluvní závazky |
Smluvní závazky společnosti Microsoft v souvislosti s GDPR najdete v dodatku k ochraně dat služeb Microsoft Online Services, který poskytuje závazky společnosti Microsoft týkající se ochrany osobních údajů a zabezpečení, podmínky zpracování dat a podmínky GDPR pro služby hostované společností Microsoft, ke kterým se zákazníci přihlašují v rámci multilicenční smlouvy.
Krok 6: Ujistěte se, že vaši subdodavatelé respektují pravidla
Pokud podsmlouvate zpracování osobních údajů jiné společnosti, použijte pouze poskytovatele služeb, který zaručuje zpracování v souladu s požadavky GDPR (například bezpečnostní opatření).
Krok 7: Přiřazení osoby, která bude dohlížet na ochranu osobních údajů
Aby bylo možné lépe chránit osobní údaje, organizace možná budou muset jmenovat pověřence pro ochranu osobních údajů (DPO). Pokud ale zpracování osobních údajů není základní součástí vaší firmy nebo pokud jste malá firma, nemusíte jmenovat pověřence pro ochranu osobních údajů. Pokud například vaše firma shromažďuje data o vašich zákaznících pouze pro doručování domů, neměli byste jmenovat DPO. I když potřebujete využít DPO, můžou být tyto povinnosti přiřazeny stávajícímu zaměstnanci společně s jeho dalšími úkoly. Nebo si můžete podle potřeby na tuto povinnost najmout externího konzultanta.
Obvykle nemusíte provádět posouzení dopadu na ochranu dat. To je vyhrazené pro firmy, které představují větší riziko pro osobní údaje (například pokud provádí rozsáhlé monitorování veřejně přístupné oblasti, jako je sledování pomocí videa).
Pokud jste malá firma, která spravuje mzdy zaměstnanců a seznam klientů, obvykle nemusíte provádět posouzení dopadu na ochranu dat.
Běžné dotazy týkající se GDPR pro malé firmy
Jsem jediným vlastníkem - opravdu se musím starat o GDPR?
GDPR se týká údajů, které zpracováváte, nikoli počtu zaměstnanců, které máte. Týká se společností všech velikostí, dokonce i živnostníků. Společnosti s méně než 250 zaměstnanci však mají určité výjimky, například omezené vedení záznamů, ale pouze v případě, že jste si jistí, že zpracování dat nemá vliv na práva jednotlivce a jedná se o občasné zpracování.
Například zpracování neosobních údajů by bylo vyloučeno nebo by bylo nutné omezit opatření. Pokud ale zpracováváte data, která jsou považována za "citlivá data zvláštní kategorie", i když se jedná pouze o příležitostné zpracování, budete muset toto zpracování dat zaznamenat. Definice "příležitostného zpracování" je vágní, ale má se vztahovat na data, která se používají jednou nebo zřídka.
Měli byste se také ujistit, že osobní údaje, které shromažďujete, jsou chráněny. To znamená, že ho potřebujete zašifrovat a zajistit, aby byl přístup k němu řízen alespoň pomocí hesla. Když budete mít zákaznická data na počítači v tabulce bez ochrany, nesplníte očekávání GDPR.
Jak zjistím, jestli je web naší společnosti v souladu s GDPR?
První otázka, kterou si musíte položit, je: Shromažďujete osobní údaje kdekoli na svém webu? Můžete mít třeba formulář kontaktu, který požádá o jméno a e-mailovou adresu. Pokud chcete posílat marketingové e-maily, nezapomeňte přidat zaškrtávací políčko pro přihlášení, které přesně vysvětluje, k čemu budete data používat. Pouze v případě, že příjemce toto políčko zaškrtne, můžete jeho osobní údaje používat pro marketingové účely.
Zkontrolujte také, jestli je chráněná databáze, ve které jsou uložená data. Poradit vám s tím bude vaše společnost poskytující hosting webů nebo dodavatel cloudového úložiště. Pokud používáte Microsoft 365 pro firmy, ukládání dat je v souladu s GDPR.
Moje společnost je mimo Evropu. Týká se nás GDPR opravdu?
GDPR je nařízení, které chrání občany EU. Pokud vaše společnost jedná s občany EU nyní nebo pokud doufáte, že v budoucnu, bude to mít vliv na vás. To platí jak pro občany žijící ve státě EU, tak pro ty, kteří žijí jinde.
Podívejte se na následující příklady:
Společnost v USA, která pronajímá auta občanům EU, bude muset při shromažďování a zpracování dat zákazníků splňovat požadavky GDPR. Společnost bude muset přijmout souhlas, když převezme data zákazníka a zajistí bezpečné uložení dat. Bude také muset zajistit, aby zákazník mohl uplatnit všechna svá práva subjektu údajů.
Australská společnost prodává produkty online a její uživatelé si nastavují online účty. Na občany EU, kteří si otevřou účet, se vztahují práva a souhlas subjektů údajů GDPR. Společnost bude muset zajistit, aby zákazník mohl uplatnit všechna svá práva subjektu údajů.
Mezinárodní charitativní organizace shromažďuje data o dárcích a používá je k rozesílal aktualizacím a žádostem o dary. GDPR uvádí: "... zpracování osobních údajů pro účely přímého marketingu může být považováno za prováděné z důvodu oprávněného zájmu." Odpovědnost je však na organizaci, aby prokázala, že její zájmy jsou nadřazené zájmům subjektu údajů. Společnost (nebo v tomto případě charitativní organizace) by měla být vždy informovaná, explicitní a vyjádřit výslovný souhlas.
GDPR platí také v případě, že se zákaznická data přesouvají přes hranice. Pokud k ukládání dat používáte cloud computing, budete se muset ujistit, že služba je plně v souladu s GDPR. Může se to zkomplikovat, pokud se úložiště dat nachází v umístěních, která mají špatné záznamy o ochraně dat. Pokud používáte Microsoft 365 pro firmy, máme k dispozici správnou právní dokumentaci, která pokrývá požadavky GDPR.
Jistě, data shromažďujeme, ale ukládá je nějaká jiná společnost. Vyvádí mě to z chytu?
Podle GDPR platí, že pokud shromáždíte údaje, do určité míry se vás to týká. GDPR má koncept zpracovatele údajů a správce údajů:
Kontroler dat: Jednotlivec nebo organizace (můžete mít společné správce), který rozhoduje o tom, jak, co a proč se data shromažďují. Můžou ho ukládat pomocí cloudových serverů jiné společnosti. Například web, který shromažďuje zákaznická data, je správcem.
Zpracovatel dat: Jednotlivec nebo organizace, která ukládá data jménem správce a na vyžádání je zpracovává. Například úložiště dat Microsoft 365 Apps pro firmy funguje jako zpracovatel a je plně v souladu s GDPR.
Organizace nebo systém může fungovat jako kontroler i procesor. Microsoft 365 pro firmy může fungovat jak podle GDPR, tak i v souladu s nařízením GDPR.
Můžu dál rozesílat marketingové e-maily svým starým zákazníkům?
Musíte se ujistit, že vaši zákazníci, i ti, které máte už léta, souhlasili s používáním svých dat k marketingu. Je možné, že jste už dříve zaznamenali souhlas a záznam, který ho chcete zobrazit. Pokud ano, můžete pokračovat v marketingu. Pokud ne, musíte od zákazníka získat oprávnění, abyste mu mohli pokračovat v marketingu. Obvykle to zahrnuje odeslání e-mailu s žádostí zákazníků, aby přešli na váš web a vybrali možnost vyjádření souhlasu s přijímáním budoucích e-mailů.
Musím se při náboru nových zaměstnanců starat o GDPR? A co aktuální zaměstnanci?
GDPR nemá vliv jenom na zákaznická data. vztahuje se také na data zaměstnanců. Noví rekruti se často nacházejí pomocí platforem sociálních médií, jako je LinkedIn. Ujistěte se, že bez jejich výslovného svolení neukládáte žádná potenciální náborová data.
Pokud jde o stávající zaměstnance a nové smlouvy zaměstnanců, podpis na konci smlouvy nemusí nutně předpokládat souhlas, zejména pokud je ve smlouvě použita neafirmativní klauzule. V takovém případě musíte zaznamenat souhlas explicitním způsobem přidruženým k klauzuli . To, co to znamená, závisí na vaší smlouvě o zaměstnanci, ale v některých případech můžete použít "legitimní zájem" a přidat oznámení o zpracování dat zaměstnanců, abyste měli jistotu, že vaši zaměstnanci vědí, co s jejich daty uděláte.
Řešení problémů s ochranou osobních údajů pomocí Microsoftu 365 pro firmy
Dodržování gdpr znamená zajistit ochranu osobních údajů. GDPR má koncept označovaný jako ochrana osobních údajů podle návrhu a ve výchozím nastavení. To znamená, že ochrana dat by měla být "připevněná" do systému a produktu, aby uspokojení ochrany osobních údajů bylo druhou povahou.
Stejně jako jejich větší protějšky i malá firma potřebuje pohodlí bez obětování zabezpečení. Microsoft 365 pro firmy je určený pro společnosti s méně než 300 zaměstnanci. Malé společnosti můžou používat cloudové nástroje Microsoftu ke zvýšení produktivity firmy. S Microsoftem 365 pro firmy může malá firma spravovat e-maily, dokumentaci a dokonce i schůzky a události. Má také integrovaná bezpečnostní opatření a správu zařízení, které jsou nezbytné pro dodržování předpisů GDPR.
Microsoft 365 pro firmy vám může s procesem GDPR pomoct následujícími způsoby:
Objevte: Důležitým krokem k dodržování předpisů GDPR je znalost dat, která máte.
Spravovat: Řízení přístupu k datům a správa jejich používání je nedílnou součástí GDPR. Microsoft 365 pro firmy chrání obchodní data na základě zásad, které chcete na zařízení použít. Správa zařízení je nezbytná v době, kdy zaměstnanci pracují na dálku. Microsoft 365 pro firmy obsahuje funkce správy zařízení, které zajišťují ochranu dat na všech zařízeních. Můžete například určit, že všechna zařízení s Windows 10 ve vaší firmě budou chráněná přes Windows Defender.
Chránit: Microsoft 365 pro firmy je navržený pro zabezpečení. Jeho správa zařízení a ovládací prvky ochrany dat fungují ve vaší podnikové síti, včetně vzdálených zařízení, a pomáhají tak udržovat data v bezpečí. Microsoft 365 pro firmy nabízí ovládací prvky, jako je nastavení ochrany osobních údajů v kancelářských aplikacích Microsoft 365 a šifrování dokumentů. S Microsoftem 365 pro firmy můžete provádět monitorování dodržování předpisů GDPR, abyste měli jistotu, že máte nastavenou správnou úroveň ochrany.
Sestavy: GDPR klade velký důraz na vykazování. Dokonce i firma s jedním zaměstnancem, pokud tato firma zpracovává velké objemy dat, musí dokumentovat a vykazovat své postupy. Microsoft 365 pro firmy má problémy s požadavky na vytváření sestav pro menší organizace.
Nástroje, jako jsou protokoly auditu, umožňují sledovat a vykazovat přesun dat. Sestavy zahrnují klasifikaci dat, která shromáždíte a uložíte, co s daty děláte, a přenosy dat.
Zákazníci, zaměstnanci a klienti si stále více uvědomují důležitost ochrany osobních údajů v datech a očekávají, že společnost nebo organizace budou toto soukromí respektovat. Microsoft 365 pro firmy vám poskytuje nástroje, které vám umožní dosáhnout a udržovat dodržování předpisů GDPR bez obrovského otřesu ve vaší firmě.
Další kroky
Pokud se chcete připravit na GDPR, tady je několik návrhů pro další kroky, které je potřeba provést:
Vyhodnoťte svůj program GDPR pomocí kontrolních seznamů pro odpovědnost Readiness.
Prošetřete Microsoft 365 pro firmy jako řešení pro dosažení a udržování souladu s GDPR.
Důležité
Získejte právní poradenství vhodné pro vaši společnost nebo organizaci.
Další zdroje informací
Přehled centra zabezpečení Microsoftu pro GDPR
Oficiální blog Microsoftu: Závazek Microsoftu k GDPR
Stránky Evropské komise: