POZOR!!! je to tady ochrana dat - co budeme dělat.
Seriózně, začínáme se setkávat s tím, že se nás ptáte, jak jsme připraveni na tuto šílenou normu, která nás všechny zničí, nebo ne? Máme štěstí, než jsme začali projekt CerebroAd.com, tak jsme již tušili, že se chystá a věříme, že děláme a budeme dělat vše pro to, abychom byli pro Vás seriózním partnerem.
Otázkou je, jak se bude vykládat. Opravdovým problémem je to, že si delší dobu budeme muset počkat na precedenty, které potřebují na vznik čas a tyto otázky jsou pro nás částečnou nejistotou.
Musíme začít zeširoka a zároveň vyvrátit základní mýtus, že GDPR má něco společného se Cyber security. Nicméně pro nás jsou to spojené nádoby a i cyber security maximálně respektujeme. Je zde jedna malá nevýhoda, nemůžeme prozradit praktické postupy, kterými se řídíme, takže obecně alespoň základní principy.
1) naše servery jsou zabezpečeny na úrovni TIER 3, v červnu budeme přecházet na TIER 5. Toto zabezpečení bohužel nikdo v Čechách neposkytujme za přijatelné peníze a naše data se odstěhují do Německa
2) komunikace je všude šifrována, znáte pod pojmem HTTPS
3) administrátorský přístup na servery je možný pouze z naší vnitřní sítě (VPN) z konkrétních IP adres
4) všechna data, která vidíte u nás v rozhraní se vypisují přes API, které je neveřejné - stejně to dělá i Google
5) data vypsaná v rozhraní přes API jsou v oddělené aplikaci - podobně je zabezpečen Gmail
Do konce roku Vám poprvé znepříjemníme život otravnou, ale velmi bezpečnou dvojitou autentifikací do našeho rozhraní.
Informace výše uvedené se přímo nedotýkají GDPR, chrání zejména nás, aby data byla v maximálním možném bezpečí.
Ohledně GDPR, rádi bychom Vás informovali, že jsme již dnes plně v souladu se zákonem: č. 101/2000 Sb. U ÚOOÚ jsme se chtěli dokonce nepovinně registrovat do veřejného rejstříku, ale nebylo nám to doporučeno díky brzkému příchodu GDPR.
GDPR chrání osobní údaje uživatelů a to je dobře. Můžeme uvést příklad: "Paní z úřadu práce "posílala" návrhy pracovních smluv uchazečům přes Úschovna.cz ve veřejném odkazu". To opravdu není správné řešení.
Nicméně jak je to s osobními údaji uživatelů?
Níže uvádíme základní rozdělení dat, jak ho vnímáme my a jehož metodikou se budeme řídit my.
Existují 4 typy dat:
Anonymní
Pseudonymizovaná
Osobní
Citlivá
O uživatelích máme mnoho informací, které jednotlivě nemají větší váhu.
Ono je sice hezké, že víte, že Vás banner viděl uživatel pod číslem xxxyyyxxxzzzyyyxxx, který má danou IP, resolution, browser... Ale dohromady Vám toho řekne asi stejně, jako, že ten člověk na ulici je oblečený.
Tato informace je pro nás 100% anonymní a proto nepodléhá režimu GDPR o informování uživatele o sběru těchto dat.
Pokud se tento uživatel opakovně, (do platnosti normy předpokládáme desetkrát), setká s naším kódem, tak neprodleně v momentu, kdy přijde na stránku klienta, kterému data uživatele náleží. CerebroAd.com mu na stránkách klienta zobrazí informaci o nakládání s jeho daty se dvěma možnostmi.
1) získat přehled o všech informacích, které o něm sbíráme a nyní držíme v databázi
2) umožníme uživateli optout - tuto možnost nabízíme již dnes zde
Na stejné stránce bude mít uživatel možnost smazat své data. To znamená, že o něm smažeme v režimu "delete 1" všechny doposud nasbírané informace.
Tyto uživatele můžeme přirovnat k člověku na ulici, o kterém víme, že pravidelně chodí na jedno místo a od první chvíle, kdy jsme se s ním setkali má stále stejný telefon, jsou pro nás Pseudonymní. To znamená, že něco o nich víme, ale nepřiřazujeme k nim jakékoliv osobní údaje, například: email, adresa, číslo telefonu atd.
Osobní data řešíme pouze v případě, když na žádost klienta začneme párovat osobní data s pseudonymizovanými. Toto řešení bude mít vždy vlastní a upravený právní režim. (CRM atd.)
V neposlední řadě bychom rádi připomněli, že se snažíme zajímat o dění v businessu a jsme členy SPIRu, uvažujeme o členství v OBA a certifikaci ISO – aktuality na našem linkedin.
Ano, není to jednoduché, ale v prvním díle našeho povídání o GDPR jsme vám chtěli hlavně říct: KEEP CALM and Prepare for GDPR. Jinými slovy, musíme se pořád učit a sbírat informace z trhu co nejdříve.
Pozitivní je, že k našim uživatelům budeme vždy korektní a jednoznačně je informovat o datech, které o nich sbíráme a jak s nimi nakládáme.