GDPR a compliance jsou dnes prakticky povinnou výbavou každé firmy, která zpracovává osobní údaje – ať už jde o web s formulářem, e-shop, HR agendu, CRM, kamerový systém, marketing nebo práci s dodavateli. Nejde jen o „papíry“. Správně nastavené GDPR snižuje riziko sankcí, zjednodušuje spolupráci s partnery a zvyšuje důvěru klientů.
Co je GDPR a compliance
GDPR je evropská regulace ochrany osobních údajů. Určuje, kdy a jak můžete osobní údaje sbírat, ukládat, předávat a zabezpečit, jak informovat osoby o zpracování a jak reagovat na jejich žádosti.
Compliance v kontextu GDPR znamená praktický systém pravidel a kontrol, aby firma dlouhodobě dodržovala požadavky: dokumentace, procesy, role, školení, smlouvy, bezpečnost a řízení incidentů.
Klíčové znaky funkčního GDPR/compliance:
-
Právní základ pro každé zpracování (souhlas, smlouva, povinnost, oprávněný zájem).
-
Transparentní informace pro zákazníky a zaměstnance (privacy notice).
-
Smluvní pořádek s dodavateli (zpracovatelské smlouvy, instrukce, audity).
-
Bezpečnost a řízení přístupů (kdo má k čemu přístup a proč).
-
Procesy pro žádosti subjektů údajů (přístup, výmaz, omezení, námitky).
-
Incident management (co dělat při úniku, kdy oznamovat, jak dokumentovat).
Pro koho je GDPR a compliance vhodné
• E-shopy a služby s online objednávkami, platbami, dopravou a marketingem
• Firmy s CRM, newslettery, remarketingem, lead-gen formuláři
• Zaměstnavatelé: HR, mzdová agenda, nábor, docházka, benefity
• Realitní, finanční a poradenské firmy s citlivými daty klientů
• IT firmy a SaaS: správa uživatelů, logy, analytika, subdodavatelé
• Společnosti s kamerovým systémem, přístupovými kartami, bezpečnostními službami
• Skupiny firem a franchisy, kde se data sdílí napříč entitami
Výhody služby GDPR a compliance
-
Snížení rizika sankcí a sporů díky provázané dokumentaci a procesům.
-
Rychlejší obchod: partnerům a korporacím doložíte, že máte pořádek v datech.
-
Menší chaos uvnitř firmy: jasné role, přístupy, postupy, odpovědnosti.
-
Bezpečnější marketing: souhlasy, segmentace, retence a auditovatelnost.
-
Připravenost na incident: když se stane problém, neřešíte ho improvizací.
Co typicky zahrnuje GDPR balíček pro web/firmu
Pro web a marketing
-
Zásady ochrany osobních údajů (privacy notice) v rozsahu podle reálných procesů.
-
Nastavení souhlasů a marketingových právních základů (souhlas vs. oprávněný zájem).
-
Interní pravidla pro práci s leady a kontakty (retence, evidence, odhlášení).
Pro firmu (interně)
-
Mapování zpracování a záznamy o činnostech zpracování (RoPA).
-
Smluvní dokumenty s dodavateli (DPA / zpracovatelské ujednání, předávání dat).
-
Směrnice pro zaměstnance: přístupy, hesla, zařízení, sdílení, práce mimo kancelář.
-
Postupy pro žádosti subjektů údajů (workflow, lhůty, odpovědi, šablony).
-
Incident response: evidence, vyhodnocení rizika, postup eskalace, dokumentace.
-
DPIA/posouzení vlivu (kde je relevantní) a nastavení opatření.
Jak probíhá služba krok za krokem
-
Vstupní audit a scoping: co firma reálně dělá s daty (web, HR, CRM, dodavatelé).
-
Gap analýza: co chybí, co je rizikové, co je nutné upravit priorizovaně.
-
Nastavení právních základů: pro marketing, zákazníky, zaměstnance, partnery.
-
Dokumentace: privacy notice, interní směrnice, RoPA, šablony odpovědí, DPA.
-
Implementace do praxe: přístupy, retence, role, odpovědnosti, schvalovací procesy.
-
Školení týmu: krátké, srozumitelné a použitelné pro reálné situace.
-
Kontrolní checklist: co hlídat měsíčně/kvartálně, aby compliance „drželo“.
-
Průběžná podpora (volitelné): nové kampaně, nové dodavatele, incidenty, kontroly.
Prémiové orientační ceny
Ceny jsou v prémiovém segmentu a finálně se odvíjí od velikosti firmy, počtu procesů a dodavatelů.
• GDPR Start (web + marketing základ): od 24 900 Kč
• GDPR Pro (firma + HR + smluvní balíček): od 49 900 Kč
• GDPR Premium (skupina firem / složité IT + DPIA + procesy): od 89 900 Kč
• Průběžný compliance servis: od 9 900 Kč / měsíc
Časté otázky (FAQ)
Stačí mi „vzorové“ GDPR dokumenty z internetu?
Vzor často neodpovídá vašim procesům. Největší riziko je rozpor mezi papíry a realitou – při incidentu nebo kontrole to bývá problém.
Kdy potřebuji souhlas a kdy stačí oprávněný zájem?
Záleží na účelu. Marketing je typicky nejcitlivější část. Nastavujeme to tak, aby firma měla obhajitelný právní základ a zároveň funkční marketing.
Musím mít pověřence (DPO)?
Ne vždy. DPO je povinný jen pro vybrané typy organizací a zpracování. V praxi je důležité vyhodnotit, zda povinnost máte, a kdo bude plnit odpovědnosti interně.
Co jsou záznamy o činnostech zpracování a proč je řešit?
Je to strukturovaná evidence toho, jaké údaje zpracováváte, proč, na jakém základě, jak dlouho a komu je předáváte. Pomáhá to při kontrolách i při řízení incidentů.
Co když mi zákazník napíše žádost o výmaz nebo přístup k údajům?
Musíte mít proces: ověření identity, vyhledání dat v systémech, rozhodnutí o výmazu/omezení, odpověď ve lhůtě a evidence. Připravíme šablony i workflow.
Jak řešit cookies a analytiku na webu?
Nejde jen o banner. Důležité je, jak se souhlasy ukládají, jak se spouští skripty a jak se eviduje odvolání souhlasu. Připravíme právní část a doporučení pro technickou implementaci.
Co dělat při úniku dat nebo napadení účtu?
Nejdůležitější je nepanikařit a postupovat podle plánu: zastavit únik, vyhodnotit dopad, zdokumentovat, rozhodnout o oznámení a přijmout opatření. Incident plán nastavujeme dopředu, aby se neřešil chaoticky.
Proč si klienti vybírají Yudey
• Pracujeme prakticky: dokumenty vždy navazují na reálné procesy firmy.
• Umíme propojit právo, provoz a IT realitu, aby compliance nebylo „na oko“.
• Dodáváme jasný systém: checklist, role, šablony, incident postupy.
• Přístup „prémiově“: rychlost, odpovědnost, kvalita, diskrétnost.
Domluvte si konzultaci k GDPR a compliance
Pošlete nám stručně: obor, zda máte web/e-shop, kolik lidí ve firmě, jaké systémy používáte (CRM, účetnictví, HR) a zda děláte marketing (newslettery, reklamy). Připravíme konkrétní návrh balíčku, rozsah prací a harmonogram.