GDPR 2018: strašák nebo pomocník?

Mnozí z vás už jistě slyšeli o velkých změnách, které se dotknou kohokoliv, kdo zpracovává osobní údaje fyzických osob – t.j. osobní data sbírá, ukládá na serverech, používá dál na přímý marketing, nebo při dodání tovaru a služeb. Z každé strany se na nás hrnou články, které „straší“ hlavně výškou pokuty za porušení nového evropského nařízení GDPR. Sumy, o kterých se píše na odborných portálech, jsou pro drtivou většinu z nás likvidační a chápu, že spoustu lidí už jen při slovu GDPR chytá zoufalství.

První rébus – co vlastně to tajemné GDPR znamená?

GDPR = General Data Protection Regulation, tedy nařízení o ochraně osobních údajů (fyzických osob) je účinné od 25.05.2018. Od uvedeného data je potřebné mít ve firmě vše v souladu s GDPR.

Cílem uvedené změny je chránit fyzické osoby obzvlášť při použití nových technologií, jakými je automatizované zpracování osobních údajů = automatické emaily cílovým skupinám; zaškrtnutí jediného checkboxu, kde je souhlas se zpracováním osobních údajů sloučený se souhlasem s obchodními podmínkami; sbírání osobních údajů za magnet zadarmo (newsletter, ebook) a jejich použití na jiný účel, atd.

Konec teorie – pojďme na věc!

Nová právní úprava se na vás vztahuje, pokud tedy zpracováváte údaje fyzických osob úplně, nebo částečně automatizovanými prostředky, stejně jako manuálně, ale takto zpracované údaje jsou určené na to, aby se stali součástí informačního systému. V takovém případě jste na účely GDPR tzv. správce a hlavní zodpovědnost za korektnost zpracování osobních údajů je na vás. A to i v případě, že máte smlouvy s dalšími zpracovateli – například účetní, poskytovatel cloudových služeb, poskytovatel email marketingu apod.

Upozornění: Je důležité, aby vaše servery a servery vašich zpracovatelů byly v EU. Pokud budou umístěné mimo EU, proces zesouladění způsobu zpracování osobních údajů s GDPR je mnohem složitější. Nařízení se na vás jako správce v EU vztahuje bez ohledu na to, či zpracování vykonáváte v EU, nebo mimo EU.

Co všechno je osobní údaj?

Osobní údaj  dotyčné osoby v lidské řeči cokoliv, co dokáže identifikovat danou fyzickou osobu, tedy:

• klasika v podobě jména a příjmení – i když samo o sobě nemusí identifikovat konkrétní osobu, např. údaj Jan Novák, kterých je v ČR opravdu hodně a takové jméno samo o sobě osobním údajem není;
• datum narození, IČO;
• ale je to i fotografie, telefonní číslo, číslo bankovního účtu fyzické osoby (u firmy to už osobní údaj není), adresa trvalého bydliště ve spojení se jménem a příjmením, emailová adresa (i všeobecně znějící emailová adresa, když vám z ní někdo napíše a podepíše se) v mnohých případech i IP adresa, záznam o chování konkrétní osoby na internetu (webové logy),
• info o věku, pohlaví, sexuální orientaci, zdravotním stavu (jako extra citlivé údaje) když jsou přiřazeny k dané osobě apod.

Jednou z mála pozitivních zpráv při výčtu těchto osobních údajů je, že tzv. E-privacy nařízení týkající se úpravy nové cookies politiky bude účinné nejdříve až od roku 2020, tedy je nadále v pořádku, když máte na stránce tzv. cookie banner s tlačítkem souhlasit s použitím cookies.

V kostce: jaké máte povinnosti?

Správce je podle GDPR povinný osobní údaje zpracovávat následovně:

1. zákonným způsobem, spravedlivě a transparentně – kdykoliv moci prokázat soulad se zákonem a GDPR, mít dlouhodobé souhlasy, double opt-in forma souhlasu, apod.;
2. jen na konkrétně určený, výslovně uvedený a oprávněný účel – např. pokud jsou údaje poskytnuté jen na účel objednávky, není možné je použít na marketingové účely;
3. v přiměřeném rozsahu a omezené na nevyhnutelný rozsah daný účelem – stačí mi na můj účel (např. marketing) jen email od klienta, nebo potřebuji i jeho jméno a příjmení?
4. v správném znění, podle potřeby aktualizovat a zabezpečit bezodkladný výmaz nesprávných osobních údajů;
5. uchovávat osobní údaje jen v době nevyhnutné na uvedený účel, např. na účely marketingu se akceptuje doba 3 let, některé zdroje uvádějí až 5 let, neakceptuje se čas neurčitý;
6. zaručit přiměřenou bezpečnost údajů přes hesla, šifrovaní; zde patří i povinnost oznámit úřadu porušení ochrany osobních údajů do 72 hodin po tom, jak jste se o něm dozvěděli.

Váš klient (fyzická osoba) už při uskutečňovaní objednávky musí vědět jaké údaje od něho potřebujete, na jaký účel, co ho bude čekat v e-mailové schránce, po jak dlouhou dobu budete jeho osobní údaj takto používat a v neposlední řadě jaké má práva.

Na začátek vám doporučuji projít si svoje databáze a zamyslet se, které skupiny osobních údajů vašich klientů nevyhnutelně potřebujete, na jaký účel je používáte (zda jde o vás marketing/marketing třetích stran/ podobných produktů, které si váš zákazník už zakoupil) a na jak dlouhou dobu dané osobní údaje potřebujete. Je důležité zmapovat, zda údaje potřebujete na plnění smlouvy (dodání zakoupeného zboží) a také zda vám údaje dává úplně cizí osoba, nebo už existující zákazník.

Brzy se vám opět ozvu 🙂

Všechny díly seriálu o GDPR:

1. GDPR 2018: strašák nebo pomocník? (právě čtete)
2. GDPR a zpracování osobních údajů: stačí souhlas?
3. GDPR: o čem všem informovat zákazníka?
4. GDPR: právo na zapomnění a další práva I.
5. GDPR: právo na zapomnění a další práva II.
6. GDPR a analýza chování zákazníků