Prípadová štúdia GDPR
Klientom je obchodná firma zo severného Slovenska, ktorá prevádzkuje i hotel. Hostia hotela využívajú aj wellness procedúry priľahlého liečebného domu. Hotel zamestnáva 25 ľudí a má aj zamestnancov formou „živnosti“ na pozíciách Obchodnýc zástupca, Recepčná a Chyžná.
GDPR im ako „hotový balík pre hotely“ ponúkol poskytovateľ webu, na našu ponuku na dokumentáciu GDPR a jej implementáciu nereflektovali, nakoľko im bolo povedané, že nič nepotrebujú zverejňovať, resp. na GDPR je postačujúce to, čo im webmaster dal na web podľa šablóny.
Keďže sú našimi dlhoročnými klientmi v oblasti PZS, tak sme boli v pravidelnom kontakte a vedeli o našich všetkých službách , ktoré poskytujeme klientom.
V roku 2019 sme sa začali rozprávať opäť aj o GDPR, lebo konateľ začínal mať pocit, že asi to nebude mať asi všetko v poriadku, nakoľko sa v jeho okolí vyskytli kontroly v oblasti Ochrany osobných údajov. Obavu vyvolávalo aj to, že hostia žiadali čoraz častejšie odpovede na otázky, prečo si odpisujú ich osobné údaje, prečo sú ich fotky zverejnené na sociálnych sieťach, keď oni nevedeli, že ich niekto v objekte hotela fotil. Na webovej stránke boli zverejnene dokonca aj fotky z wellnessu z realizácie procedúr.
Recepčné (neznalé v legislatíve GDPR) hľadali v zákonoch čo majú povedať na ich otázky a podnety, keď sa obrátili webmastra s radou o pomoc, tak im samozrejme nevedel pomôcť, nakoľko robia len so univerzálnou šablónou GDPR pre hotely. Najviac dopytov a podnetov na Ochranu osobných údajov bývalo obyčajne po víkende, keď zákazníkom boli odoslané maily a sms s otázkou na spokojnosť s ubytovaním a so službami. Za jeden týžden to raz bolo viac ako 30 dotazov, na ktoré museli recepčné odpovedať.
Začali sa objavovať maily s otázkami od dodávateľov a partnerov, že či dodržujú nariadenie ochrany osobných údajov a nech ich vymažú z databáz, resp nech im už nič neposielajú.
Táto spoločnosť (okrem hotela) predávajú svoje produkty aj cez ESHOP, ktorý mal implementované len základné pravidlá GDPR (opäť podľa šablóny). Pri rýchlom audite ochrany osobných púdajov v spoločnosti sme upozornili konateľa na zásadné nedostatky, taktiež na reálnu hrozbu pokuty vo výške 20.000 € pri väčších firmách až do výšky 4% ročného obratu.
Po audite sme sa dohodli, že sa v novom roku zvážime možnosti spolupráce v oblasti GDPR. Blížil sa záver roka, všade stres a doťahovanie nedokončených vecí.
V priebehu krátkej doby volal vystrašený konateľ spoločnosti, lebo dostal pokutu za eshop, okrem iných nedostatkov aj za to, že v obchodných podmienkach na webe mal skryté podmienky ochrany osobných údajov. Ďalej mu bolo vytknuté, že ma len všeobecné informácie (a nekonkrétne) o ochrane osobných údajov. Obchodná inšpekcia ho upozornila na to, že dáva aj podnet na ÚOOÚ SR, lebo informácie o spracovaní osobných údajov v hoteli nemali vypracované ani zverejnené.
Nakoľko ubytovacie zariadenia mal v pláne kontrol ÚOOÚ, ohlásili sa na kontrolu v priebehu prvého polroka 2020. Podali sme klientovi pomocnú ruku. Ako prvá bola naplánovaná analýza skutočného stavu GDPR. Po niekoľkých hodinách spoločne strávených s konateľom sme sa zhodli na tom, že jednoduchšie bude vypracovať všetko nanovo, poskytneme na vyriešenie informačnej povinnosti naše cloudové riešenie, čo je technicky najrýchlejšia možnosť zverejnenia pre dotknuté osoby.
V expresnom termíne a režime sme vypracovali celú dokumentáciu GDPR pre celú spoločnosť (vrátane hotela a eshopu), následne sme naplánovaliu implementáciu a zapracovanie do chodu firmy.
Do plánovanej kontroly sa podarilo všetko dať do poriadku a 100% stavu, kontrola zo strany úradu dopadla bez námietok.
Kľúčové parametre zmeny
a) za obdobie spolupráce sme vypracovali dokumentáciu GDPR pre všetky prevádzky spoločnosti, implemetovali sme ich do reálnej praxe prevádzok a vykonávame servisné služby, kontrola dopadla bez pokuty.
b) za obdobie spolupráce sme zásadne znížili počet podnetov na uplatnenie svojich práv v oblasti OOÚ o viac ako 90%, čo pre klienta znamenalo úsporu prácnosti v tejto oblasti ročne o cca 90-110 hod práce.
Vďaka našej spolupráci, vypracovanej dokumentácii GDPR a jej implementácii sme vytvorili predpoklady pre ochranu osobných údajov vo všetkých prevádzkach tejto spoločnosti.
Referencia konateľa spoločnosti
Keď som videl, koľko problémov a starostí budem mať s GDPR, tak som rád , že mám po svojom boku MG GDPR ako odbornú podporu. Pochopil som, že to čo som chcel od asistentky a recepčných, aby robili samé , bolo nad rámec ich pracovnej činnosti a vedomostí v odbornej oblasti a zbytočne som ich stresoval.
Počet dopytov na otázky ohľadne zverejňovaním informácií klesol odhadom o 90% informačnú povinnosť mám zverejnenú na webe cez cloude firmy MG. Recepčné nie sú v strese, klesla fluktuácia na tomto poste a nemusel som stále zaúčať nové zamestnankyne. Uvedomil som si, že stres bol hlavný dôvod na to, že recepčné nevydržali na tejto pozícií.Takže som sa zbavil stresu z neustálej výmeny zamestnankýň, z vysokých pokút a to len vďaka vám. Ďakujem.
Spätná väzba od tímu GDPR
Po chaotickom a rýchlom začiatku kde sme začínali úplne od nuly, to nakoniec všetko dobre dopadlo a spracovanie osobných údajov sme nastavili v súlade s nariadením. V pravidelných intervaloch kontrolujeme dodržiavanie zásad ochrany osobných údajov a poskytujeme aj poradenstvo.
Okrem GDPR sme začali spoluprácu aj na ďalšie služby. Konateľ sa bez obáv venuje svojej obchodnej činnosti, lebo odborné povinnosti má zastrešené odborníkmi. Po tejto skúsenosti nás odporučil aj svojim známym. Spolupráca s klientami z jeho odporúčania je tak isto na veľmi dobrej úrovni, nakoľko konatelia sú už pripravení na to , čo sa bude diať.
V pravidelných kvartálnych kontrolách GDPR pokračujeme stále, aby predišiel ďalším starostiam a stresom. Návštevy sú v príjemnej atmosfére a veľmi sa teším na každú jednu návštevu.