Proč kvůli GDPR online podnikání nezavřít

24.4. 2018Miloslav Látal7746x0 Komentářů

„Já to pořád nechápu a to jsem byl na dvou školeních!“ nebo „Co a jak mám změnit kvůli tomu GDPR u sebe? Pořád v tom plavu.“ nebo „Já snad kvůli GDPR online podnikání zavřu!“. Tyhle a ještě horší věty slyším v posledních měsících čím dál častěji. Jakoby doteď žádný zákon na ochranu osobních údajů u nás vůbec neexistoval.

Co přichází za změny?

Pokud podnikáte v Čechách nebo na Slovensku, nějakým způsobem jste sbírali od lidí emaily a následně je nějakým způsobem využívali (například jste na ně posílali své emaily), tak jste tak jako tak spadali pod zákon č. 101/2000 Sb. (ZOOU), o ochraně osobních údajů. Možná jste o něm nevěděli, nebo ho ignorovali. Budiž. Pojďme se podívat v čem se od něj Nařízení (EU) 2016/679 (GDPR) liší.

Registrace

Doteď se každý zpracovatel osobních údajů musel registrovat na Úřadu pro ochranu osobních údajů. Musel vyplnit dokument jaké údaje, od koho, kde a za jakým účelem bude zpracovávat a pak byl zaevidován. Nově povinnost registrace odpadá, ale je nahrazena povinností zpracovat vlastní Prohlášení o zpracování osobních údajů (POOU) a případně směrnice, které zajistí ochranu osobních údajů a s nimi seznámit návštěvníky webu.

Podle ZOOU byla nutná registrace na UOOU.

GDPR nevyžaduje registraci na UOOU, ale nařizuje zpracování Prohlášení o zpracování osobních údajů, které musí fyzická osoba snadno dohledat ve chvíli, než vám své osobní údaje svěří.

Souhlas

Zatímco stávající Zákon na ochranu osobních údajů dával přednost souhlasu se zpracováním osobních údajů, s příchodem GDPR se stává souhlas se zpracováním jednou z možností. Požádat fyzickou osobu o souhlas se zpracováním musíte až v případě, že pro váš konkrétní účel zpracování nemůžete použít žádný z dalších důvodů.

Podle ZOOU bylo možné získat souhlas odsouhlasením obchodních podmínek. Nechtěli jste dát souhlas se zpracováním osobních údajů? Bez odsouhlasení obchodních podmínek nebyl umožněn prodej.

V komunikaci musel být aplikován princip OPT-OUT. Člověk mohl být zařazen do newsletteru na základě veřejně dostupných informací nebo poté, co se stal zákazníkem. Pokud se ale chtěl odhlásit, muselo mu to být “snadno” umožněno. Například odhlašovacím odkazem nebo odpovědí na daný email “Chci vyřadit z rozesílky” apod.

GDPR výslovně říká, že získání souhlasu se zpracováním osobních údajů musí být dobrovolné. Z obchodních podmínek proto musí zmizet odstavce, ve kterých člověk automaticky souhlasil se zpracováním. Souhlas v nich nemá co dělat. Odsouhlasením obchodních podmínek se totiž z člověka stává zákazník a GDPR nám umožňuje zpracovávat jeho údaje na základě právního důvodu plnění smlouvy.

Další z obecných povinností u získávání souhlasu je doložitelnost, kdo, kdy a jak vyslovil souhlas. V GDPR online prostředí je tuto doložitelnost splnit v podstatě jen zavedením DOUBLE OPT-IN prvku. To znamená, že člověk, který nám na webu vyplnil formulář a uvedl emailovou adresu, musí v prvním emailu, který mu pošleme znovu POTVRDIT svůj souhlas.

Jedině tak totiž je možné zabránit tomu, aby nám někdo nepovolaný vložil do našeho formuláře osobní údaje někoho jiného. Pouze vlastník příslušné emailové schránky nám může potvrdit svůj souhlas.

Informační povinnost

ZOOU stačilo “nějak” informovat návštěvníka, že mu budeme zasílat obchodní sdělení.

GDPR nařizuje výrazně komplexnější informační povinnost. Musíte podat jasnou a srozumitelnou informaci ještě před tím, než člověk zadá údaje do kompatibilního GDPR online formuláře. A které informace jsou nezbytné? Minimálně

  • kdo údaje bude zpracovávat (zpracovatel, tedy kdo jste vy)
  • jaké údaje budou zpracovávány (email, křestní jméno – méně je více :))
  • jak dlouho budou zpracovávány (jak dlouho budete návštěvníka “držet”)
  • proč údaje potřebujete (účel zpracování)
  • informace o právech návštěvníka (stačí ve zkratce a s odkazem na plný text vašeho Prohlášení o zpracování osobních údajů)

Účel zpracování

Podle ZOOU bylo nutné získat předchozí souhlas od lidí, kteří nejsou našimi zákazníky a tak jsme se setkávali s univerzální formulkou: „Kliknutím na tlačítko Objednat souhlasíte se zasíláním obchodních sdělení“. Měli jste zájem o nějaký obsah zdarma a zároveň jste vyjádřili svůj souhlas se zasíláním newsletteru.

S příchodem GDPR musíte vyslovit svůj svobodný a informovaný souhlas s každým jednotlivým účelem zpracování. Tlačítkem vyjadřujete svůj souhlas se zasíláním obsahu zdarma a například dalším zaškrtávacím políčkem můžete vyslovit souhlas se zasíláním newsletteru.

☐ Souhlasím se zasíláním obchodních sdělení

Toto políčko nesmí být ve výchozím stavu zaškrtnuté. Nemůžete si tak “vynutit” na nepozorném návštěvníkovi souhlas.

☑ Souhlasím se zasíláním obchodních sdělení

 

Co se pro vás mění, pokud zasíláte obchodní nabídky třetích stran? Rozhodně potřebujete další souhlas. Pod vaším formulářem musí být dvě zaškrtávací políčka.

☐ Souhlasím se zasíláním obchodních sdělení
☐ Souhlasím se zasíláním obchodních sdělení třetích stran

Doba zpracování

S dobou zpracování nebylo podle ZOOU nebylo seznamovat návštěvníky webu a tak jste mohli s údaji pracovat bez časového omezení. To se mění. GDPR zohledňuje přiměřenost doby zpracování a také lhůty stanovené příslušnými zákony zejména č. 563/1991 Sb., o účetnictví, č. 280/2009 Sb., daňový řád, č. 235/2004 Sb., o dani z přidané hodnoty a další. V praxi GDPR online podnikání tak časové omezení pro zasílání obchodních sdělení nastavujeme od 2 do 5 let.

ZOOU informovanost návštěvníka neřešil.

GDPR zohledňuje maximální dobu zpracování a nařizuje informovat o této době návštěvníka webu ještě předtím, než vám udělí souhlas.

Předávání údajů dalším subjektům

Na UOOU se evidovali další subjekty, kterým jsme osobní údaje předávali. Bylo tak možné sledovat, kam se data od nás potulují dál. GDPR v případě předávání dat „dál“ stanoví, že s každým zpracovatelem musíte mít zpracovatelskou smlouvu. V ní jsou stanovené povinnosti mezi vámi a zpracovatelem, ale zodpovědnost za bezpečnost osobních údajů nesete vždy vy.

Dále GDPR rozlišuje zpracovatele v EU a mimo ni. Předávání dat mimo EU jako potencionálně riziková činnost vyžaduje splnění zvláštních pravidel.

ZOOU povinnost uvádět zpracovatele v registraci na UOOU.

GDPR povinnost mít uzavřenou s každým zpracovatelem zpracovatelskou smlouvu a plnění zvláštních pravidel při předávání dat mimo EU.

GDPR online není to tak horké, jak to vypadá

GDPR online podnikání příliš neomezuje. Jen ubydou některé nekalé praktiky, které byly na hraně již dříve, a spoléhalo se na to, že “to nikdo stejně nekontroluje”. S příchodem likvidačních mnohamilionových pokut se konečně bezpečnost našich osobních údajů začne brát vážně.

Teď když už víte, co se mění, můžeme přejít k Desateru GDPR na webu, které musí každý online marketér bezpečně znát.

 

Tagy:
Miloslav Látal
Jsem tvůrce počítačových programů a díky mně dnes už i běžní lidé bez technického talentu dokáží ovládnout své počítače sami na potřebné úrovni. V mých online kurzech se naučí pracovat s počítačem jak úplný začátečník, ze kterého se stane pokročilý uživatel, tak i když jste zkušenější, tak si rozšíříte své schopnosti a bude z vás expert. Možná, že ale máte jen nějaký problém s počítačem, nebo nějakou aplikací. V tomto případě využijte možnost konzultací.
Podobné články
Jak na GDPR při prodeji Jak na GDPR při prodeji?

„Musí být povinné zaškrtávátko v prodejním formuláři nebo ne?“ nebo „Jak mám…

gdpr na webu Desatero GDPR na webu

Těžká doba pro online marketéra? Je opravdu GDPR na webu likvidační? Nemyslím…

nákup fotek ze zahraničních fotobank Jak na nákup fotek ze zahraničních fotobank

Na téma fotobanka a DPH se často zapomíná. Přitom může mít později…

Komentáře

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů