Vytváření rezervací v SuperSaaS a nový zákon o ochraně osobních údajů v EU (GDPR)

Soukromí

25. května 2018 vstoupí v platnost Obecné nařízení o ochraně osobních údajů (GDPR). Cílem GDPR je posílení zabezpečení a ochrany osobních údajů v EU a harmonizace legislativy EU v oblasti ochrany údajů. Služba SuperSaaS bude v souladu s GDPR, jakmile toto nařízení v roce 2018 vstoupí v účinnost. Používáte-li rezervační systém pro ukládání osobně identifikovatelných údajů, budete patrně muset podniknout některé kroky pro splnění nové legislativy.

Co je Obecné nařízení o ochraně osobních údajů?

Obecné nařízení o ochraně osobních údajů (GDPR) je nová evropská legislativa týkající se ochrany soukromí, která vejde v platnost 25. května 2018. GDPR nahradí směrnici EU o ochraně osobních údajů a má za cíl harmonizovat legislativu na ochranu osobních údajů v celé Evropské unii.

Cílem nové legislativy je zlepšení zabezpečení osobních údajů a harmonizace právních předpisů. Nová opatření zahrnují:

  • Transparentnost při shromažďování, analýze a používání osobních údajů
  • Jednotlivci mohou požadovat přístup ke svým údajům, či jejich opravu nebo odstranění
  • Omezení zpracování, shromažďování a uchovávání osobních údajů pouze na konkrétní a oprávněné účely
  • Pravidla pro informování orgánů a zákazníků v případě porušení zabezpečení údajů
  • Jednotná harmonizovaná legislativa pro všechny organizace v Evropské unii

Jaké jsou vaše povinnosti jakožto zákazníka společnosti SuperSaaS?

Zákazníci společnosti SuperSaaS budou zpravidla vystupovat jako správci údajů všech osobních údajů v rezervačních rozvrzích a formulářích. SuperSaaS je zpracovatel údajů a zpracovává osobní údaje jménem správce údajů, když vy nebo některý z vašich koncových uživatelů používáte systém SuperSaaS. Správce údajů určuje účel a prostředky zpracování osobních údajů, zatímco zpracovatel údajů údaje zpracovává jménem správce údajů.

Vzhledem k tomu, že vaše odpovědnost jakožto správce údajů závisí na typu ukládaných informací a na jejich účelu, nemůžeme zde poskytnout konkrétní pokyny. Obecně lze říci, že správci údajů jsou zodpovědní za provádění vhodných technických a organizačních opatření pro zajištění a prokázání toho, že jakékoli zpracování údajů probíhá v souladu s GDPR. Povinnosti správců se týkají zásad, jako jsou zákonnost, omezení účelu a přesnost, jakož i zachování práv subjektů údajů s ohledem na jejich údaje. Jste-li správcem údajů, pokyny týkající se vašich povinností na základě GDPR naleznete v sekci o GDPR na webových stránkách orgánu pro ochranu osobních údajů ve vaší zemi. Můžete rovněž vyhledat právní poradenství týkající se vašeho postavení a povinností dle GDPR, které je specificky přizpůsobené pro vaši situaci.

Pro zákazníky společnosti SuperSaaS mohou být užitečné následující body:

  • Na svém účtu můžete povolit šifrování SSL (https) (na stránce Nastavení přístupu).
  • Lze zkontrolovat, kdo má přístup k informacím na vašem účtu (na stránce Uživatelé správa).
  • Můžete si nastavit, jak dlouho jsou údaje o zákaznících a rezervacích uchovávány (na stránce Informace o využití).
  • Pokud informace ze služby SuperSaaS synchronizujete s třetí stranou, například prostřednictvím webhooku, budete pravděpodobně muset zkontrolovat, že tato strana splňuje GDPR, nebo propojení s nimi zakázat (na stránce Webhooky).
  • Na stránce „Přístup“ můžete nastavit, které údaje o zákaznících mají být viditelné ostatním uživatelům (případně skrýt všechny údaje). Systém poté vyzkoušejte jako běžný uživatel a zkontrolujte, že funguje tak, jak má.
  • Bude pro vás patrně nutná Smlouva o zpracování dat (DPA), která splňuje požadavky nařízení GDPR. Zákazníci společnosti SuperSaaS si mohou stáhnout návrh Zpracovatelské smlouvy, a připravit se tak na květen.

Co společnost SuperSaaS udělala, aby splnila požadavky nařízení GDPR?

SuperSaaS již splňuje současnou směrnici EU o ochraně údajů, kterou bude GDPR nahrazovat. Až nařízení GDPR vstoupí v květnu 2018 v platnost, budeme plně v souladu s dodatečnými požadavky. Zde jsou některé z činností, které jsme již provedli nebo jsou v procesu realizace:

  • Veškeré údaje o zákaznících jsou uloženy na serverech uvnitř Evropské unie. Naše servery jsou umístěny v nejmodernějších datových centrech s nepřetržitým monitoringem a zabezpečením.
  • Zákazníci uvidí, které jejich údaje jsou v našich systémech uloženy, a budou moci požádat o odstranění.
  • Tam, kde při ukládání vašich údajů používáme pro zpracování dat služby třetích stran, zajistíme, abychom s těmito stranami měli uzavřeny dohody o zpracování dat a zajistíme, že se nacházejí uvnitř EU.
  • Máme zaveden proces, který definuje, kteří z našich zaměstnanců mají k údajům zákazníků přístup, včetně odpovídajícího opatření v případě, že tito zaměstnanci svou pozici opustí.

Pokud máte otázky týkající se našich pracovních postupů v souvislosti s GDPR, neváhejte nás kontaktovat.