Hlavní navigace

Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR?

Jana Knížková

Nařízení GDPR udává jasná pravidla, jak vést evidenci zákazníků. Týká se to firem, které si vytvářejí spisy s kontakty na klienty, s jejich objednávkami atd.

Doba čtení: 2 minuty

Nařízení GDPR začne platit v pátek 25. května 2018Ministerstvo průmyslu a obchodu společně s Asociací malých a středních podniků a živnostníků ČR připravilo Manuál pro přípravu malých a středních firem na GDPR. Ten obsahuje celou řadu příkladů z praxe. 

Jak je to v případě, že si firma vede evidenci, která obsahuje kontakty na zákazníka, který si u ní objednal produkt, informace o samotné objednávce a její realizaci, případně fakturační údaje?

Firma zabývající se truhlářskou výrobou se chystá na GDPR. Kvůli tomu, aby  zjednodušila naplňování svých povinností správce, se rozhodla přejít od papírové evidence svých zákaznických spisů na evidenci elektronickou. 

Papírovou evidenci nahradila firma elektronickou

Doposud ke každému obchodnímu případu vedla papírový spis. Ten obsahoval všechny kontakty klienta, jeho objednávku, všechny informace o realizaci zakázky a konečnou fakturu včetně případných nároků z vad výrobků či jiných reklamací. 

Čtěte další případ z praxe: Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR?

Současně jednotliví pracovníci na prodejně, kteří přijímali objednávky, a na účetním oddělení, kteří realizovali fakturaci, vedli evidenci zákazníků ve svých počítačích. Evidence dokumentů o realizaci zakázky byla vedena pouze papírově. 

Firma se rozhodla pořídit si nový informační systém pro správu zákaznických dat, kterým by nahradila dosavadní roztříštěnou evidenci. Od jeho zavedení si mimo jiné slibovala zjednodušení sledování obchodních případů a zamezení duplicitám při vedení evidence. Pracovníci přijímající objednávky i účetní si vedle databáze klientů i nadále vedli evidence objednávek a faktur ve svých počítačích. 

Čtěte také: Mohou pokuty za porušení GDPR ohrozit vaši firmu?

Dle nařízení GDPR nebylo možné zajistit naplňování zásady přesnosti osobních údajů a multiplicita evidencí fakticky pokračovala. Do počítače, v němž byla nainstalována nová klientská databáze, měl přístup neomezený okruh pracovníků, kteří se střídali na směnách. 

Nebyla dodržena míra zabezpečení

Dle další zásady GDPR, která byla v tomto případě porušena, nebyly osobní údaje odpovídajícím způsobem zabezpečeny. Nový klientský systém byl k dispozici na základě uživatelského jména a hesla pouze přesně vymezenému okruhu zaměstnanců, a to jak v počítačích, tak i v dalších firemních zařízeních jako mobilní telefony. Všichni zaměstnanci pohybující se v terénu navíc měli k dispozici tablety, na kterých zaznamenávali do systému informace o realizované dodávce a montáží výrobků. V rámci implementace nově přijaté interní směrnice se žádné osobní údaje zákazníků nepohybovaly v papírové ani elektronické podobě mimo klientský systém. Pokud takové duplicity byly zjištěny, informace byly okamžitě zaneseny do systému a duplicitní evidence skartována. 

WT 100 tip v článku obecný

Nařízení GDPR jasně požaduje, aby byla zajištěna jednotnost evidence zpracovávaných osobních údajů, jejich správnost a úplnost a současně i odpovídající míra zabezpečení. 

Příklad z praxe byl převzat z Příručky pro přípravu malých a středních firem na GDPR