GDPR pro samouky II: na co všechno si dát pozor?

Dne 10. 1. 2018 Byznys

Pokud vám GDPR dělá vrásky, určitě nejste sami. Toto nařízení se totiž týká prakticky všech firem – a obzvlášť těch pohybujících se v marketingu. Proto jsme se rozhodli věnovat této problematice sérii blogových článků, ve které postupně projdeme ty nejdůležitější momenty nového evropského Obecného nařízení o ochraně osobních údajů.

V předchozím díle naší série jsme si vyjasnili základní pojmy a fakta spojená s GDPR. Nyní se podíváme na konkrétní dopady tohoto nařízení a z toho vyplývající povinnosti.

 

Kdy a jak můžete s osobními údaji nakládat?

Samotné zpracování osobních údajů je právně definováno jako jakákoliv činnost s osobními údaji – to znamená jak činnost automatizovaná, tak prováděná jinými prostředky (třeba i „ruční” zaznamenávání údajů při rozhovoru se zákazníkem). Pod tuto definici pak logicky spadá i veškeré shromažďování, mazání, zveřejňování nebo zálohování osobních dat.

 

GDPR_2.jpg

Sběr dat z webů a e-shopů bude kvůli GDPR podléhat přísnějším pravidlům.

Zdroj: unsplash.com

Ke zpracování osobních údajů pochopitelně potřebujete nějaké oprávnění. Kdy je můžete bezpečně zpracovávat? Jedině na základě některého z těchto 6 právních titulů:

  1. plnění smlouvy (objednávka, smlouva o dílo)
  2. zákon (mzdy, pracovní smlouvy, dohody o provedení práce)
  3. oprávněný zájem (sem patří přímý marketing, posílání newsletterů...)
  4. souhlas subjektu údajů (zpravidla formulář na webové stránce)
  5. veřejný zájem (bezpečnostní kamery v parku, na dálnici, kontrola dokladů při cestě do zahraničí…)
  6. životně důležité zájmy člověka (když jde doslova o život)

Nás jakožto marketéry zajímají hlavně první čtyři právní tituly – plnění smlouvy, zákon, oprávněný zájem a (ze všeho nejvíc) souhlas.

Souhlas potřebujete, když nemáte žádný jiný právní titul ke zpracování osobních údajů. Je ale důležité vědět, kdy lze tyto informace zpracovávat na základě některého jiného oprávnění. Preventivní plošné vyžadování souhlasu ukazuje na nešikovné a nesprávné zpracovávání osobních údajů.

Možná vás hned napadla otázka: „Pokud se ale bez souhlasu neobejdu, tak jak má správně vypadat?“

Není to ale tak snadné, souhlas totiž musí být:

• Svobodný – to znamená nepodmíněný (postoj “take it or leave it” už nebude možný).

• Aktivní – vyskakovací pop-up okno, double opt-in způsobem (tzn. s dvojím potvrzením).

• Vyčleněný – jeho skrytí do všeobecných obchodních podmínek už nikomu neprojde. Stejně tak už není možné „přilepit” souhlas se zpracováním osobních údajů k jakémukoliv jinému souhlasu nebo formuláři.

• Jednoduchý – žádné těžkopádné právní texty, vše musí být napsáno „po lopatě“, tedy jasně, stručně a srozumitelně.

•  Evidovaný – souhlas musíte mít někde zaznamenaný a vědět, kdy jste jej získali, abyste mohli vše doložit případné kontrole.

• Informativní – musí být zcela jasné, komu se souhlas uděluje, proč, na jak dlouho a s jakými právy.

•  Odvolatelný – odvolat souhlas musí být stejně jednoduché jako jej udělit. Tady ale musíte dávat pozor na to, za jakým účelem osobní údaj zpracováváte. Pokud totiž zpracování osobního údaje vyplývá ze zákona, souhlas nebude možné jednoduše odvolat.

Krom náležitostí týkajících se formulování souhlasu (nejen) na webových stránkách a e-shopech musíte pamatovat i na práva subjektů údajů a zohlednit je na svém webu i při komunikaci se zákazníky.

Subjekt údajů má právo:

• Být informován a mít přístup k poskytnutým údajům i jejich opravě. Jako správce/zpracovatel tedy musíte jasně uvést, kam nebo na koho se může subjekt obrátit s žádostí o vydání informací o svých osobních údajích a způsobu jejich zpracování.

• Vznést námitky, omezit zpracování údajů a zažádat o jednoduché a absolutní vymazání údajů. Opět musí být zřetelně uvedeno, kam se subjekt s těmito požadavky má obrátit.

•  Na bezplatnou přenositelnost údajů ve strukturovaném, běžně používaném a strojově čitelném formátu.

•  Podat stížnost u Úřadu pro ochranu osobních údajů.

Pokud dojde k jakémukoliv úniku osobních údajů, má správce údajů povinnost ohlásit incident Úřadu o ochraně osobních údajů – a to nejpozději do 72 hodin od zjištění.

Proto my jakožto digitální agentura (zpracovatel údajů) musíme mít s našimi klienty (správci údajů) uzavřenou smlouvu o zpracování dat. Stejně tak musíme evidovat veškeré informace a souhlasy k jejich zpracování. Týká se to i záznamů o činnostech spojených se zpracováním osobních údajů. Všechny uvedené dokumenty totiž bude chtít vidět případná kontrola z ÚOOÚ.

Jde vám ze všech těch informací, povinností a sankcí hlava kolem? Nezoufejte, ve třetím díle naší série o GDPR vám poradíme, jak se na novou legislativu systematicky připravit. A pokud máte dotaz nebo vás zajímá cokoliv ohledně digitálního marketingu, dejte nám vědět.

 

Tým specialistů In creative

ZPĚT NA VÝPIS BLOGU chci nezávaznou konzultaci

Naše kompetence