GDPR audit pro SaaS: Jak bezpečně předat uživatelská data kupujícímu

Proč je GDPR audit u SaaS kritický

SaaS aplikace zpracovává osobní údaje uživatelů: jména, e-maily, platební údaje, chování v aplikaci. Při prodeji se mění správce nebo zpracovatel těchto dat — to vyžaduje specifické právní kroky.

1. Mapování osobních údajů

Jaká data SaaS typicky zpracovává

Vytvořte záznamy o zpracování

Dle čl. 30 GDPR musíte mít záznamy o činnostech zpracování:

• Účel zpracování
• Kategorie subjektů a údajů
• Příjemci (sub-zpracovatelé)
• Doba uchovávání
• Technická a organizační opatření

2. Právní základy zpracování

Ověřte pro každou kategorii dat

1. Souhlas — máte doložitelný opt-in? (newsletter, cookies)
2. Plnění smlouvy — data nutná pro provoz služby
3. Oprávněný zájem — analytika, bezpečnost
4. Zákonná povinnost — fakturace, daňové záznamy

3. Převod dat na kupujícího

Scénáře podle typu transakce

Při změně správce (Asset Deal)

1. Informujte uživatele — e-mail o změně správce
2. Aktualizujte Privacy Policy
3. Umožněte opt-out — pro marketingová data
4. Aktualizujte DPA (Data Processing Agreements) se sub-zpracovateli
5. Revalidujte souhlasy — pokud jsou vázány na konkrétního správce

4. Sub-zpracovatelé

Typičtí sub-zpracovatelé SaaS aplikace:

• Cloud hosting — AWS, Google Cloud, Azure
• E-mail služby — SendGrid, Mailgun
• Platební brána — Stripe, Comgate
• Analytika — Mixpanel, Amplitude
• Customer support — Zendesk, Intercom

Ověřte, zda mají platné DPA a zda je převoditelné na nového vlastníka.

5. Checklist GDPR auditu

• ☑ Záznamy o zpracování (čl. 30 GDPR)
• ☑ Privacy Policy aktuální a úplná
• ☑ Cookie consent implementovaný
• ☑ DPA se všemi sub-zpracovateli
• ☑ Proces pro práva subjektů (přístup, výmaz, portabilita)
• ☑ Bezpečnostní opatření (šifrování, přístupová práva)
• ☑ Plán reakce na bezpečnostní incident
• ☑ DPO jmenován (pokud povinný)