GDPR začne platit za 7 týdnů! Než začnete jakákoliv nová data sbírat nebo z paniky mazat již sesbírané emaily a trhat vizitky na stole, ještě chvíli počkejte. Nejdříve si řekneme jaká data a za jakých podmínek sbírat můžete a také, jaký je rozdíl mezi zpracováním a spravováním osobních dat.

V prvním díle této malé minisérie, jsem psal o tom co GDPR je, co jsou osobní data a k čemu je dobrý bezpečnostní audit (GDPR startuje za 8. týdnů - část 1.). Už na něm děláte? Dnešní článek na tuto analýzu volně navazuje.

Vždy NEmusíte mít souhlas

Nadpis je možná dvojsmyslný a aby nebyl zavádějící, hned jej vysvětlím. Mířím k tomu, že existuje více důvodů, proč některá osobní data o uživatelích/zákaznících chceme sbírat. Minimálně pokud mám s někým jednat o obchodu, musím si přeci někam poznamenat jeho telefon a jméno, email, případně adresu. A pokud mu vystavím fakturu, když si ode mne něco koupí, tak jí přece hned neroztrhám, když mě dle GDPR požádá o “výmaz” svých dat.

Tip: Zkuste donést na Finanční úřad ke kontrole faktury a smlouvy bez jmen a adres, budou hodně rádi 🙂 Prosím nedělat, byl to pouhý žert….

Jak je tedy vidět, některá data zpracovávat musíme a některá jen chceme! Takových důvodů pro sběr dat je tedy více a uvádím zde ty, které se mi podařilo sesbírat:

• zákonné zájmy (účetnictví, DPH, zaměstnanci, sociální a zdravotní pojištění, atd.)
• plnění smlouvy nebo jednání o smlouvě
• oprávněný zájem
• veřejný zájem
• životní zájmy člověka

Záměrně jsem označil první tři tučně, protože s těmito se ve své praxi setkáme asi nejčastěji.

Souhlas nebo poučení

Pro naše účely se dá říci, že pokud nějaký zákon, vyhláška či nařízení ukládá údaje zpracovávat, nemusím mít od dané osoby aktivně daný souhlas, vyjádřený např. jak jsme zvyklí na internetu se zaškrtávacím políčkem. To stejné platí pokud je zpracovávám z důvodu plnění smlouvy, oprávněného zájmu nebo i z ostatních důvodů.

Kde bude nutné užití souhlasu téměř vždy, je u sběru dat citlivých viz předchozí článek.

Poučení

V těch jednodušších případech tedy stačí danou osobu tzv. informovat / poučit. Na internetových stránkách odkážete uživatele na stránku, která se jmenuje např. Zásady ochrany osobních údajů. U písemné smlouvy by mělo být poučení podobné s odkazem na určitou přílohu nebo taktéž na stránky společnosti.

Souhlas

Kdyby to ovšem s těmi zákonnými a oprávněnými zájmy bylo vždy tak jednoduché, asi bych dnes takový článek nemusel psát. Za plnění smlouvy a oprávněné důvody se totiž sice skryje hodně důvodů, proč si nějaký email nebo telefon ponechat uložený. Jenže problém nastává tehdy, chcete-li tento osobní údaj použít.

Tedy např. pokud jste nechali návštěvníka webu stáhnout si váš supergeniální e-book a požádali jste o email, abyste mu e-book mohli doručit, nemůžete mu na tento email posílat další nabídky! Proč? No protože jste uvedli jiný důvod sběru osobních údajů. Dle mého názoru si jej můžete ponechat v databázi pro případ, že by uživatel reklamoval doručení, ale takový email je vám v marketingu k ničemu. Klidně jej smažte.

Pokud ovšem chcete poslat vašemu současnému platícímu zákazníkovi informaci o tom, že bude odstávka on-line systému, který u vás využívá, na to souhlas nepotřebujete. Máte na to právo v rámci plnění smlouvy.

Už je to jasnější? Pojďme dále...

Délka zpracování

Jiný příklad z realitní branže: zasílání nabídek volných nemovitostí ke koupi rok poté, co si klient nevybral jeden z vámi nabízených bytů. Zde bude velmi na hraně zejména určit časovou lhůtu jakéhosi “jednání o budoucí smlouvě”. Je to pořád ještě jednání se zájemcem nebo on to již vnímá jako spam?

V rámci GDPR by toto měla řídit určitá vnitřní směrnice nebo nastavená interní pravidla. Pro každý zpracovávaný osobní údaj byste tedy měli řešit následující otázky:

• jaké údaje zpracováváte (neměli byste zpracovávat více údajů než je nutné)
• na základě jakého účelu
• je nutné mít souhlas nebo stačí poučení
• jak dlouho mohu data uchovávat

GDPR a marketing

Všichni se na GDPR připravujeme právě proto, abychom mohli o našich zákaznících zpracovávat efektivně maximum “minimálního” množství osobních údajů správně a zákonně je mohli využít k marketingovým účelům.

Pro většinu marketingových účelů je vždy potřeba souhlas. Upozorňuji “většinu” a to těch, které potřebuje používat většina marketingových specialistů. Jedná se zejména o remarketing, retargeting, profilování zákazníků, sběr cookies, o data ze sociálních sítí atd.

(Nerozumíte-li těmto výrazům, je dobré si popovídat s vašimi markeťáky, zda je vůbec k něčemu potřebují a využívají tato data nyní.)

Osobně doporučuji, abyste vše diskutovali s právníky, kteří poradí i v komplikovanějších záležitostech. V realitách se nejčastěji setkáme asi s těmito případy (přikládám pár ukázek):

• registrace na blogu/webu, budete posílat jen nové články - poučení
• registrace na blogu/webu, budete posílat i reklamní nabídky - souhlas
• chcete posílat zájemci informace o nemovitostech, které byste mu mohli zprostředkovat nebo prodat - poučení (do max 3 měsíců)
• zasílání nabídek delší dobu bych již podložil souhlasem
• chcete posílat zákazníkovi, který přes vás koupil byt, informace o pojištění, fondech a cestovním pojištění - spíše souhlas (produkt je hodně odlišný)
• sběr informací o chování na webu (cookies) - poučení (pokud neklikne že “souhlasí”, neměli byste sběr provádět)

POZOR: Ani právníci si doposud nejsou jisti, jak budou úřady rozhodovat. V článcích vycházím z názorů a výkladů, které jsem různě posbíral. Bez dalšího prověření právníkem prosím neaplikujte bezhlavě!

Správce vs zpracovatel

Napadá vás jaký je rozdíl mezi těmito dvěma osobami? První rozdíl spočívá v tom, že správce je ten kdo říká jaká data, za jakým účelem a jak dlouho se budou zpracovávat. Zpracovatel toto fyzicky provádí - i když třeba zpracovává jen část dat správce. Zpracovatel by neměl s daty dále nakládat, sbírat další, rozšiřovat, používat apod. - už by to pak byl také správce.

Druhý a ten hlavní rozdíl je v zodpovědnosti. Tím, na jehož hlavu bude dopadat nejvíce odpovědnosti je právě správce. Bohužel tyto 2 osoby je od sebe někdy těžké rozlišit. Pokud pracujete v realitách jako investor, realitní makléř, finanční poradce apod. budete téměř vždy a výhradně správci.

Dejte si ale pozor, každý správce musí mít se zpracovateli osobních údajů uzavřenou písemnou smlouvu, jinak zde hrozí sankce. Smlouva právě mimo jiné řeší práva a závazky obou stran. Opět zjednodušeně platí, že zpracovatel je každá třetí strana (subjekt), která mi dodává určitou službu, kam osobní údaje ukládám.

POZOR ta služba není na první pohled zcela zřejmá! A že vám vaše data nikdo nezpracovává?

Zpracovatel

Mezi typické zpracovatele, se kterými běžně dennodenně spolupracujeme patří:

• účetní firma - která pracuje se smlouvami a fakturami
• IT firma - která spravuje váš web kde sbíráte osobní údaje
• Chat - dodavatel chatovacího modulu, který na webu slouží ke kontaktování zákazníky
• Email - emailový klient/služba (Seznam.cz, Gmail.com apod.)
• Cloud - ukládáte si data na Dropbox apod.
• Mailing - posíláte pravidelně hromadné maily např. Mailchimp nebo Smartemailing
• další aplikace, do kterých ukládáte data nebo kontaktní údaje o lidech
• atd.

Aby toho nebylo málo, tak jako správce ještě zodpovídáte za to, že jste si vybrali takového Zpracovatele, který dle nařízení o GDPR zpracovává data jen na území Evropské Unie.

ÚKOL 1: K bezpečnostní analýze z minulého týdne si doplňte informace o účelu, právním důvodu a délce zpracování osobních údajů. Údaje, které k ničemu nepotřebujete nemá smysl zpracovávat!

ÚKOL 2: Sepište si seznam partnerů (Zpracovatelů), kteří pro vás zpracovávají osobní údaje  a chtějte po nich písemnou smlouvu mezi Správcem (vámi) a Zpracovatelem (3. strana).

Tip: U elektronických služeb ji často najdete v “Nastavení” dané služby nebo v sekci týkající se GDPR a ochrany osobních údajů.

V příštím článku se podíváme na to, jak tedy správně získávat kontakty z webových stránek, co je double-opt-in, digitální stopa apod.

Předchozí díl je zde: GDPR startuje za 8 týdnů (1. část)

Pokračování série je zde: GDPR jak správně sbírat kontakty z webu 3. část