Unikum blog

GDPR a základní checklist pro váš business

GDPR je pojem, o kterém se začíná stále více mluvit a to nejen ve světě online marketingu. O co se vlastně jedná? GDPR (General Data Protection Regulation), do češtiny překládáno jako Obecné nařízení na ochranu osobních údajů je nařízení EU, které zásadně upravuje a zpřísňuje způsob, jakým budou získávány, ukládány a zpracovávány osobní údaje.

GDPR, jež vstoupí v platnost 25.5.2018, se obecně snaží o posílení práv subjektů údajů, jinými slovy chce docílit toho, že nad daty by neměli rozhodovat ti, kdo je sbírají, ale ti, jimž patří.

Obecně tedy GDPR bude klást na organizace následující nároky:

  • Data musí zpracována transparentně.
  • Musí být jasně daná struktura zpracovávání údajů.
  • V některých případech bude nutné jmenovat pověřence pro ochranu osobních údajů neboli tzv. DPO (Data Protection Officer)
  • Právo/povinnost na výmaz osobních údajů na vyžádání.
  • Evidovat účely zpracování osobních údajů.
  • Ohlašovat incidenty týkající se zpracovávaných osobních údajů.
  • Posuzovat vliv okolností na ochranu osobních údajů (například po implementaci nového IT systému)

Povinnost jmenovat DPO se bude v konečném důsledku týkat většiny organizací, přičemž nezáleží na tom, jestli se jedná o korporát a nebo pouze o menší eshop. Základní podmínkou je to, že dochází ke sběru a zpracování osobních údaje. I když se člověk může v první chvíli zaleknout toho, že bude muset najmout nového zaměstnance, který bude expertem v oblasti ochrany osobních údajů, či využít služeb drahých externích specialistů, není výběr DPO zase tak složitou záležitostí. GDPR totiž umožňuje jmenovat jako DPO některého ze stávajících zaměstnanců, při čemž by však nemělo docházet ke konfliktu zájmů.

Co se týče nároků na vzdělání a odbornost DPO, tak toto GDPR jasně nevymezuje, mělo by se pouze jednat o osobu, která má znalosti v ochraně osobních údajů. Obecně, jak bylo řečeno na konferenci GDPR v emailovém marketingu, by měly být znalosti DPO úměrné velikosti organizace.

Ve zkratce pak bude mít DPO za úkol, kromě zmapování aktuálního způsobu, jakým dochází ke sběru osobních údajů a jakým jsou tato data ukládána a zabezpečena, také zjistit, jestli data sesbíraná v minulosti vyhovují podmínkám GDPR. Konkrétním příkladem, který bude se bude dotýkat oblasti marketingu, bude ověření toho, u kterých osob byl udělen souhlas se zpracováním a také zjistit, jakým způsobem k získání těchto dat došlo.

Dalším důležitým bodem, který je třeba zmínit je to, že GDPR se bude úzce prolínat s již platným Zákonem o informační společnosti, který klade jasná pravidla na to, jakým způsobem mohou být zasílána obchodní sdělení. Jelikož je pro obchodní sdělení nezbytná náležitost identifikace subjektu, je nutné, aby před zasláním odpovídalo náležitostem GDPR.

Zasílání s příchodem GDPR bude možné pouze pokud bude založené na některém z definovaných právních základů, z nichž pro podnikatele a marketéry jsou nejdůležitější tyto dva:

  • Souhlas
  • Oprávněný zájem

Doporučeným řešením je získání souhlasu, protože lze předem zaručit, že dojde ke splnění všech podmínek podle GDPR. Nicméně, zasílat obchodní sdělení lze i na základě oprávněného zájmu, což podle GDPR znamená, že je zasílání možné, pokud nabízíme vlastní výrobky nebo služby. Tím tedy odpadá často diskutovaná povinnost zpětného získávání souhlasů se zasíláním.

I když se zdá, že 25.5.2018 je stále ještě daleko, doporučujeme se začít připravovat na příchod GDPR s předstihem. Pro někoho to může být otázka pouze několika málo hodin, ale zároveň se pro jisté organizace může jednat o projekt, jehož zpracování zabere měsíce.

Pro ulehčení budoucího přechodu na GDPR tedy může posloužit následující checklist:

  • Zjistěte, jakým způsobem a kde jsou data ukládána a jakým způsobem jsou zabezpečena.
  • Pokud možno zjistěte, kdo všechno má k datům přístup.
  • Dohledejte, jakým způsobem k získání dat došlo.
  • Dohledejte, zda máte k jednotlivým osobním údajům souhlas se zpracováním.

Tyto body by měly spadat do povinností DPO, nicméně není na škodu si je zkusit vyjasnit vlastním úsilím a zmapovat tak alespoň částečně současnou situaci.

Jelikož již několikrát bylo zmíněno získávání souhlasů se zpracováním, pokusím se nastínit, jak by měla vypadat jeho správná podoba.

  • Souhlas musí být udělen jasnou a především aktivní akcí – Mimo hru je tedy jakékoliv předzaškrtávání polí.
  • Aktivní akcí se rozumí využití principu Double opt-in, kdy zákazník na webu odsouhlasí zpracování svých osobních údajů, při čemž je mu následně zaslán na email potvrzovací link. Kliknutím na tento link dojde k vědomému potvrzení souhlasu spolu s ověřením, že se skutečně jedné o emailovou adresu dané osoby, čímž se minimalizuje riziko toho, že by docházelo ke zneužívání údajů cizí osobou.
  • Dále nesmí nastat tzv. „take it or leave it“ situace, kdy by při odmítnutí zpracování údajů byl zákazníkovi odmítnut nárok na službu či produkt.
  • Souhlas musí být veden odděleně, v žádném případě nesmí být skryt v obecných obchodních podmínkách atd.
  • Souhlas musí být informovaný – zákazník musí vědět, za jakým účelem ke zpracování osobních údajů dochází spolu s tím, komu budou tyto údaje sloužit.
  • Vždy přítomný by měl být také link na privacy policy – Privacy policy by měly obsahovat informace ohledně toho, jakým způsobem budou využívány cookies (Prokliknutím z mailu vzniká provázanost s cookies).
  • Patičky emailů by měly obsahovat kontakt spolu s dalšími informacemi o společnosti a to i na úkor celkového vzhledu emailu.

Závěrem je třeba dodat pravděpodobně jeden z nejdůležitějších bodů GDPR a tím je, že data nikdy nesmí být použita za jiným účelem, než za kterým byla sesbírána.

Pokud se chcete dozvědět o GDPR doporučuji si přečíst například článek 46 otázek a odpovědí ke GDPR a také sledovat blog Mgr. Evy Škorničkové GDPR prakticky.