Co pro vás GDPR znamená v praxi?

Publikováno

V tomto článku se dozvíte, jak bude vypadat GDPR v praxi a jaké konkrétní změny v online službách přináší. GDPR zavádí rovnocennou vymahatelnost práva v rámci celé EU, stejné sankce pro všechny a těsnější spolupráci dozorových orgánů. A to jak mezi sebou, tak i s jednotlivými subjekty, kterých se nařízení týká.

Největším strašákem a z části i důvodem, proč je kolem GDPR takové šílenství, je výše pokuty za jeho porušení. Ta bude nově až 20 mil. Kč, což je výrazně více, než dosud za podobné prohřešky v ČR hrozilo. S osobními údaji nemohly společnosti volně nakládat ani dosud, ale GDPR zavádí nová zpřísnění a vyšší pokuty za porušení podmínek.

Co je považováno za osobní údaj?

  • Jméno a příjmení (v případě, že podle jména lze poznat konkrétní osobu)
  • Přesná adresa, kterou lze identifikovat určitou fyzickou osobu.
  • Poloha
  • Elektronický identifikátor
  • Zdravotní údaje
  • Příjem
  • Fotka
  • Telefonní číslo (jeden z nejvíce citlivých osobních údajů)
  • Číslo bankovního účtu fyzické osoby
  • Datum narození vč. jména je osobní údaj
  • E-mail (jak pracovní, tak osobní)
  • IP adresa (statická IP je osobní údaj, dynamická v rámci vnitřní sítě není)
  • ...a další


Co je tedy osobní údaj? Jedná se o informace, které mohu legálními postupy přiřadit k určité osobě. Třeba v rámci IP adresy, cookies či vyhledávání na Google a podobně.

Podkategorií osobních údajů jsou citlivé údaje: náboženství, sexuální orientace, zdravotní stav, váha, rasový původ, členství v odborech a politický názor. To jsou údaje, se kterými je potřeba pracovat ještě obezřetněji.

Za osobní údaj považuje GDPR i věci, které by nás dříve nenapadly, jako různé on-line identifikátory či metadata (třeba e-mail, IP adresa nebo tzv. cookie v zařízení uživatele). Zcela novou kategorií budou genetické a biometrické údaje. Všechny tyto informace budeme nyní muset ochránit před případným únikem.
 

Správce vs. zpracovatel

GDPR při zpracovávání osobních údajů rozlišuje dvojí postavení - správce a zpracovatel. Správce nese hlavní zodpovědnost a při porušení pravidel dostane největší sankci. Správce říká, co se bude zpracovávat a za jakým účelem. V případě společné databáze jsme i společní správcové a neseme stejnou zodpovědnost. Je pak povinnost oznámit, kdo bude za data odpovídat.

Správce osobních údajů musí dokumentovat, že zpracovává pouze údaje nezbytné k danému účelu. To je v případě e-shopu třeba jméno, e-mail a adresa pro doručení zásilky. Tuto dokumentaci budete pravidelně předkládat vybranému dozorovému orgánu.

Údaje podle GDPR můžete zpracovávat buď na základě souhlasu, nebo na základě těchto důvodů

  • Plnění smlouvy - případně, že na e-shopu uživatel vyplňuje své osobní údaje - jméno, dodací adresa, e-mail, atd.
  • Oprávněný zájem - nabídka již stávajícímu zákazníkovi, která nabízí produkt nebo službu související s předchozím nákupem
  • Životní zájmy člověka
  • Veřejný zájem

GDPR nezasáhne pouze samotné provozovatele e-shopů, ale i navazující společnosti a služby. Pokud vám marketingové kampaně, soutěže, akce nebo newslettery vytváří externí firma, budete nově muset posoudit, zda má oprávnění zpracovávat osobní údaje, které ke kampaním potřebuje. Pokud ne, nesmí tyto činnosti dále vykonávat.

To se týká i například Google analytics, který je zpracovatelem osobních údajů. Máte s ním mít uzavřenou smlouvu. Smlouvu si nastavíte v nastavení účtu > dodatek zpracování osobních údajů. Ten si uzavřete, vytiskněte a uschovejte.
 

Jak na newslettery?

Významnou změnou bude také udělování jednoznačného a ničím nepodmíněného souhlasu ke zpracování osobních dat. Ve světě e-shopů toto nařízení ovlivní zejména zasílání newsletterů. Nově nebude možné poskytnutí služby nebo nákup podmínit také souhlasem se zasíláním obchodních sdělení. Od tohoto května musí být tyto dvě věci od sebe odděleny a pokud má zákazník dostávat newslettery, musí s tím vyslovit souhlas.

Zákazníkům, kteří vám neudělili souhlas, můžete newslettery posílat jen pokud se jedná o předchozího zákazníka, který už od vás odebral zboží a služby a budete mu posílat obdobné zboží a služby.

Ve všech newsletterech musí být správná identifikace. Pokud newsletter zasílá například firma FEO, tak by tam mělo být uvedeno, že newsletter zasílá:

FEO digital agency s.r.o.
Olomoucká 1005/166
627 00 Brno-Černovice
IČ: 27749461

Nutnost souhlasu se netýká pouze newsletterů, ale i poptávkových formulářů, nacenění služeb, různých kalkulátorů, soutěží, recenzí produktů a podobně. Zkrátka všude, kde se vyplňuje email nebo jiné osobní údaje a nejedená se přímo o nákup zboží nebo služby.
 

Právo být zapomenut

GDPR také posiluje právo občanů získat informace o nakládání s jejich osobními údaji. Novinkou je právo požádat o smazání či zapomenutí osobních údajů, pokud už není zřejmý právní důvod pro jejich uchování a zpracování.

Jak požadovat souhlas se zpracováním údajů?

Už jsme říkali, že souhlas nesmíte podmiňovat poskytnutím služby. Ale i samotný souhlas má své náležitosti. Nestačí mít napsané pouze “souhlasíte se zpracováním a shromažďováním svých osobních údajů”, ale musíte mít napsané, co konkrétně shromažďujete a za jakým účelem.

Co musí být v souhlasu se zpracováním osobních údajů?

  • Komu e-mail poskytuji
  • Co s ním budu dělat
  • V jaké databázi bude
  • Jak dlouho v databázi bude
  • Jaká práva mám, atd.


Souhlas musí být aktivní, aby bylo člověku jasné, jaké údaje a za jakým účelem člověk uděluje. Třeba formou pop-up okna, kde si to zákazník může přečíst a souhlasit se zpracováním osobních údajů.

Dalším místem je registrační formulář. I v něm je třeba souhlasu se zpracováním osobních údajů. V registračním formuláři nesmí být předzaškrtnuto "Souhlasím s podmínkami užití", ani žádná podobná formulace.

Jednou větou: Souhlas vždy musí být jasný, zřejmý a dokonale informativní – nesmí nic zamlčet.

Souhlas se zpracováním osobních údajů není časově neomezený. Zapomeňte tak na spojení např. “Osobní údaje budou zpracovávány po dobu neurčitou”. Souhlas se zpracováním údajů pro marketingové účely by neměl být platný déle než zhruba 3 roky. Lhůta není sice pevně určena, ale smyslem nařízení je, aby nebyla doživotní.
 

Co když přijde kontrola?

Pokud dodržíte vše, co jsme zdůraznili v tomto článku, měli byste mít skoro vyhráno. Kontrolory bude nejvíce zajímat, zda máte všechny informace a smlouvy v pořádku a v papírové podobě a jak jsou u vás data zpracovávana a uchována. Co po vás bude kontrola chtít?

  • Zpracovatelská smlouva
  • Smlouva společných správců
  • Informace, souhlasy
  • Záznamy o činnostech zpracování
  • Doklad o GDPR školení zaměstnanců
  • Procesy ve firmě (ochrana proti úniku údajů)
     

Závěr

Před e-shopy nyní stojí několik výzev. V první řadě si musí upravit své interní procesy tak, aby odpovídaly novému nařízení.

Musíte vyřešit bankovní účty, faktury a většinu papírových dokumentů, procesy, zaměstnance, přístupy uvnitř systému i zvenčí nebo IT strukturu. Nejdříve je třeba začít s auditem. Zjistěte, co sbíráte za data, co ukládáte, co zpracováváte a za jakým účelem to všechno děláte. Pak proveďte analýzu potřebnosti DPO (Data Protection Officer). Pokud zjistíte, že DPO potřebujete (což se klasických e-shopů netýká), následující kroky už by měl řídit on.

Dále zkontrolujte, kde data ukládáte a jaké je jejich zabezpečení. Nezapomeňte ani na to, komu je případně předáváte. Pak zpracujte bezpečnostní analýzu. Ta vám ukáže problematická místa, která byste měli opravit. Nakonec se podívejte na práva subjektu a nastavte, jak bude možné tato práva u vás uplatňovat.

Teprve nyní je čas psát směrnici o ochraně osobních údajů, definovat si pravidla o nakládání s osobními údaji a sepsat texty souhlasu. Toto vše samozřejmě platí i u papírových smluv, e-mailových zpráv, nahrávek telefonních hovorů prostě u všeho, kde se vyskytují osobní údaje v jakékoli formě.

GDPR je velká bublina a velký byznys. Poměrně přísná pravidla nakládání s osobními údaji platí již dnes. GDPR je pouze prohlubuje a zvyšuje sankce za jejich nedodržování. Pokud však k osobním údajům přistupujete zodpovědně již dnes, neměl by pro vás přechod na GDPR být bolestivý, protože část procesů a opatření u vás již nejspíše funguje.

 

Získávejte důležité informace včas

Jednou za pár týdnů Vám pošleme přehled událostí z digitálního světa. Odhlásit se můžete kdykoli.