Minule jsme psali o tom, co to GDPR je a jak se vás dotkne. A jak jsme slíbili, potápíme se hlouběji a na hladinu vynášíme praktické informace o zákonnosti a bezpečnosti zpracování osobních údajů, právech subjektů údajů i dopadech na online byznys.
A pro uklidnění – s RAYNETem to zvládnete. Ukázky toho, jak si s GDPR poradit, vám přineseme v dalším článku.
Malé vysvětlení právničtiny na začátek
Subjekt údajů je fyzická nebo právnická osoba, o které zpracováváte nebo uchováváte osobní údaje. Je to tedy prakticky kdokoliv, koho máte ve svém CRM, tabulce s kontakty nebo ve složce se zaslanými životopisy.
GDPR a zákonnost
Nikdo kvůli GDPR nepřestane zpracovávat osobní údaje. Nově si ale musíte krýt záda jedním ze zákonných důvodů:
- Souhlas: subjekt údajů vám vědomě povolí osobní údaje zpracovat. Tento způsob má největší váhu.
- Smlouva: ve smlouvě jasně uvedete skutečnost, že osobní data zpracujete. Ale žádné kamuflování, o tom si hned povíme níže.
- Právní povinnost: například na zpracování mzdové agendy.
- Životně důležitý zájem: zpracování údajů je nezbytné pro ochranu životně důležitých zájmů. Tady ale už zabíháme do extrémních scénářů.
- Veřejný zájem: zpracování je nezbytné pro splnění úkolu ve veřejném zájmu. Pokud ale nejste James Bond, spoléhejte raději na snadněji obhajitelné důvody.
A v neposlední řadě důvod dává i oprávněný zájem správce.
Kouzelná formulka, že? Přijde vhod ve chvíli, kdy mezi správcem a subjektem údajů existuje relevantní vztah – typicky například přímý marketing. Proti vztahu může ale subjekt údajů vznést námitku a na jeho žádost musí správce osobní údaje smazat.
Malé smluvní okénko
Aby souhlas byl souhlasem, tak nesmí být pouze ve smlouvě. Podle ÚOOÚ jsou totiž položky smlouvy navázané na nějaké protiplnění a není je snadné odvolat či zrušit (což by ale u souhlasu se zpracováním osobní údajů mělo být umožněno). Na souhlas tak raději vždy používejte samostatnou listinu.
A ještě jedna perlička – pokud už k některým informacím souhlas se zpracováním máte, nedávejte souhlas znovu do smlouvy. Subjektu údajů tím totiž uvádíte v omyl, že může souhlas odvolat. Což sice udělat může, ale údaje se o něm budou zpracovávat i nadále.
Teď určitě přemýšlíte, co to pro vás bude znamenat v praxi.
Jeden by si řekl, že zkrátka získá souhlas. Stačí jej zamaskovat do smlouvy nebo obchodních podmínek a je hotovo. Chyba lávka – souhlas musí být:
- pro konkrétní účel a na určitou dobu,
- informovaný,
- výslovný a jednoznačný,
- svobodný
- a odlišný od jiných záležitostí.
Zamaskování do jiného dokumentu tedy nepřipadá v úvahu.
A tato „svatá pětka“ neplatí jen pro nové souhlasy, ale aktualizovat musíte i ty stávající.
Trocha práce tedy čeká všechny. Jen si představte, kde všude budete muset potvrdit, že se zpracováním souhlasíte. E-shopy, newsletterové seznamy, věrnostní kluby. A mnoho dalších.
Mít souhlas je sice hezká věc, ale jak vlastně dokážete, že ho máte? Jako správci údajů musíte být schopní doložit, že souhlas:
- souvisí s konkrétním zájmem,
- udělila příslušná osoba a to
- na příslušnou dobu, ve které údaje zpracováváte.
A nejdůležitější – osoba, která souhlas udělila, ví, jak budete s osobními údaji nakládat.
GDPR a bezpečnost
Čeká na vás také splnění požadavků na zabezpečení. Jak přesně je splnit Zákon o ochraně osobních údajů neporadí, trochu ale napoví registrační formulář ÚOOÚ.
A svoje k tomu říká i GDPR v článku 32.
Ve zkratce řečeno:
Nejen správce, ale i zpracovatel, musí přijmout vhodná opatření, ať už technická nebo organizační, aby zajistili ochranu úměrnou riziku.
A teď zase trochu méně právnicky a více lidsky. V praxi se požadavky na zabezpečení projeví například jako:
- pravidelné testování a vyhodnocování míry zabezpečení,
- pseudonymizace a šifrování,
- obnova dostupnosti údajů a přístupu k nim v případě výpadku,
- a další požadavky.
Zvýšenou pozornost budete muset nově věnovat i chybám v systému. Bezpečnostní incidenty týkající se osobních údajů musíte nahlásit do 72 hodin na ÚOOÚ a také všem vašim klientům nebo zaměstnancům, o jejichž data by mohlo jít.
GDPR a práva subjektů údajů
S GDPR přichází i pozitivní změna pro uživatele. Portfolio jejich práv se značně rozšíří a všechny kroky ochrany osobních údajů by od května 2018 měly být transparentnější pro podnikatele i uživatele.
1. Právo na přístup
Kdo?, Co?, Kde?, Proč? a Na jak dlouho? Jako správce i zpracovatel musíte subjektu údajů poskytnou odpovědi na všechny tyto otázky o zpracování jejich osobních údajů.
2. Právo na opravu a přenos
Bez řečí a zbytečných průtahů musíte opravit nepřesné (subjektivně i objektivně) osobní údaje, poskytnout jejich kopii nebo potvrzení o jejich zpracování.
3. Právo na výmaz a právo být zapomenut
Subjekt údajů může požadovat vymazání osobních údajů hned z několika důvodů.
- Údaje splnily svůj účel a už je nepotřebujete.
- Subjekt se odvolá proti použití údajů nebo vznese námitku.
- Došlo k protiprávnímu zpracování údajů.
- Vyplývá to z právní povinnost EU.
- Nemáte rodičovský souhlas.
Vymazání ovšem nestačí, musíte o něm subjekt informovat.
4. Právo vznést námitku
Pokud subjekt údajů zjistí, že o něm zpracováváte data i bez jeho souhlasu, má právo vznést námitku. Vy jako správci dat v tu chvíli musíte přenést osobní údaje tohoto subjektu do jiné databáze.
Údaje máte povinnost držet odděleně od ostatních údajů subjektů než se rozhodne o zamítnutí nebo uznání námitky.
A co děti, mají si kde... Souhlasit?
Když máte e-shop s cool obaly na telefon, určitě u vás nenakupují jen plnoletí zákazníci. A jak jde o souhlas nezletilých, je potřeba do hry pozvat ještě rodiče.
- <13 let : nákup pouze se souhlasem rodiče
- 13-15 let : nákup pouze se souhlasem rodiče, a nebo jinak podle vnitrostátní úpravy
- 16 let> : nákup bez souhlasu rodiče
A jak to všechno ovlivní svět e-commerce?
GDPR a dopady na online byznys
Už víte, co všechno jsou osobní údaje. V online světě k nim ale přihoďte ještě:
- lokační údaje,
- síťové identifikátory jako je IP adresa, cookies, MAC adresy,
- nebo identifikátory pro reklamní sítě.
Online nomádi si musí dát především pozor na to, jakým způsobem získají souhlas uživatele se zpracováním osobních údajů.
Své k tomu řekne především ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích, které doplní GDPR a ustanoví, jak ho vlastně používat v internetových vodách.
Zatím z něho vyplývá, jak souhlas na webu získat a co už je daleko za zákonnou GDPR hranou.
| Co ANO? | Co NE? |
|---|---|
| • zaškrnutí políčka | • předem zaškrtnutá políčka |
| • jiné prohlášení, jednání nebo souhlas | • mlčení znamená souhlas |
| • formulka „Používáním software souhlasíte s…“ |
Suma sumárum, do firemního kamene vytesejte 3 zlatá pravidla:
- Souhlas musí být udělený aktivně, samostatně a srozumitelně.
- Naopak nesmí být závislý nebo propojený s jiným souhlasem.
- Jak lehké je souhlas udělit, tak lehké je ho zase vzít zpět.
Doufáme, že z nových informací nemáte příliš velkou hlavu. Jak už jsme předesílali, příští článek shrne řešení GDPR v RAYNET CRM.
