„Já to pořád nechápu a to jsem byl na dvou školeních!“ nebo „Co a jak mám změnit kvůli tomu GDPR u sebe? Pořád v tom plavu.“ nebo „Já snad kvůli GDPR online podnikání zavřu!“. Tyhle a ještě horší věty slyším v posledních měsících čím dál častěji. Jakoby doteď žádný zákon na ochranu osobních údajů u nás vůbec neexistoval.
Pokud podnikáte v Čechách nebo na Slovensku, nějakým způsobem jste sbírali od lidí emaily a následně je nějakým způsobem využívali (například jste na ně posílali své emaily), tak jste tak jako tak spadali pod zákon č. 101/2000 Sb. (ZOOU), o ochraně osobních údajů. Možná jste o něm nevěděli, nebo ho ignorovali. Budiž. Pojďme se podívat v čem se od něj Nařízení (EU) 2016/679 (GDPR) liší.
Doteď se každý zpracovatel osobních údajů musel registrovat na Úřadu pro ochranu osobních údajů. Musel vyplnit dokument jaké údaje, od koho, kde a za jakým účelem bude zpracovávat a pak byl zaevidován. Nově povinnost registrace odpadá, ale je nahrazena povinností zpracovat vlastní Prohlášení o zpracování osobních údajů (POOU) a případně směrnice, které zajistí ochranu osobních údajů a s nimi seznámit návštěvníky webu.
Podle ZOOU byla nutná registrace na UOOU.
GDPR nevyžaduje registraci na UOOU, ale nařizuje zpracování Prohlášení o zpracování osobních údajů, které musí fyzická osoba snadno dohledat ve chvíli, než vám své osobní údaje svěří.
Zatímco stávající Zákon na ochranu osobních údajů dával přednost souhlasu se zpracováním osobních údajů, s příchodem GDPR se stává souhlas se zpracováním jednou z možností. Požádat fyzickou osobu o souhlas se zpracováním musíte až v případě, že pro váš konkrétní účel zpracování nemůžete použít žádný z dalších důvodů.
Podle ZOOU bylo možné získat souhlas odsouhlasením obchodních podmínek. Nechtěli jste dát souhlas se zpracováním osobních údajů? Bez odsouhlasení obchodních podmínek nebyl umožněn prodej.
V komunikaci musel být aplikován princip OPT-OUT. Člověk mohl být zařazen do newsletteru na základě veřejně dostupných informací nebo poté, co se stal zákazníkem. Pokud se ale chtěl odhlásit, muselo mu to být “snadno” umožněno. Například odhlašovacím odkazem nebo odpovědí na daný email “Chci vyřadit z rozesílky” apod.
GDPR výslovně říká, že získání souhlasu se zpracováním osobních údajů musí být dobrovolné. Z obchodních podmínek proto musí zmizet odstavce, ve kterých člověk automaticky souhlasil se zpracováním. Souhlas v nich nemá co dělat. Odsouhlasením obchodních podmínek se totiž z člověka stává zákazník a GDPR nám umožňuje zpracovávat jeho údaje na základě právního důvodu plnění smlouvy.
Další z obecných povinností u získávání souhlasu je doložitelnost, kdo, kdy a jak vyslovil souhlas. V GDPR online prostředí je tuto doložitelnost splnit v podstatě jen zavedením DOUBLE OPT-IN prvku. To znamená, že člověk, který nám na webu vyplnil formulář a uvedl emailovou adresu, musí v prvním emailu, který mu pošleme znovu POTVRDIT svůj souhlas.
Jedině tak totiž je možné zabránit tomu, aby nám někdo nepovolaný vložil do našeho formuláře osobní údaje někoho jiného. Pouze vlastník příslušné emailové schránky nám může potvrdit svůj souhlas.
ZOOU stačilo “nějak” informovat návštěvníka, že mu budeme zasílat obchodní sdělení.
GDPR nařizuje výrazně komplexnější informační povinnost. Musíte podat jasnou a srozumitelnou informaci ještě před tím, než člověk zadá údaje do kompatibilního GDPR online formuláře. A které informace jsou nezbytné? Minimálně
Podle ZOOU bylo nutné získat předchozí souhlas od lidí, kteří nejsou našimi zákazníky a tak jsme se setkávali s univerzální formulkou: „Kliknutím na tlačítko Objednat souhlasíte se zasíláním obchodních sdělení“. Měli jste zájem o nějaký obsah zdarma a zároveň jste vyjádřili svůj souhlas se zasíláním newsletteru.
S příchodem GDPR musíte vyslovit svůj svobodný a informovaný souhlas s každým jednotlivým účelem zpracování. Tlačítkem vyjadřujete svůj souhlas se zasíláním obsahu zdarma a například dalším zaškrtávacím políčkem můžete vyslovit souhlas se zasíláním newsletteru.
☐ Souhlasím se zasíláním obchodních sdělení
Toto políčko nesmí být ve výchozím stavu zaškrtnuté. Nemůžete si tak “vynutit” na nepozorném návštěvníkovi souhlas.
☑ Souhlasím se zasíláním obchodních sdělení
Co se pro vás mění, pokud zasíláte obchodní nabídky třetích stran? Rozhodně potřebujete další souhlas. Pod vaším formulářem musí být dvě zaškrtávací políčka.
☐ Souhlasím se zasíláním obchodních sdělení
☐ Souhlasím se zasíláním obchodních sdělení třetích stran
S dobou zpracování nebylo podle ZOOU nebylo seznamovat návštěvníky webu a tak jste mohli s údaji pracovat bez časového omezení. To se mění. GDPR zohledňuje přiměřenost doby zpracování a také lhůty stanovené příslušnými zákony zejména č. 563/1991 Sb., o účetnictví, č. 280/2009 Sb., daňový řád, č. 235/2004 Sb., o dani z přidané hodnoty a další. V praxi GDPR online podnikání tak časové omezení pro zasílání obchodních sdělení nastavujeme od 2 do 5 let.
ZOOU informovanost návštěvníka neřešil.
GDPR zohledňuje maximální dobu zpracování a nařizuje informovat o této době návštěvníka webu ještě předtím, než vám udělí souhlas.
Na UOOU se evidovali další subjekty, kterým jsme osobní údaje předávali. Bylo tak možné sledovat, kam se data od nás potulují dál. GDPR v případě předávání dat „dál“ stanoví, že s každým zpracovatelem musíte mít zpracovatelskou smlouvu. V ní jsou stanovené povinnosti mezi vámi a zpracovatelem, ale zodpovědnost za bezpečnost osobních údajů nesete vždy vy.
Dále GDPR rozlišuje zpracovatele v EU a mimo ni. Předávání dat mimo EU jako potencionálně riziková činnost vyžaduje splnění zvláštních pravidel.
ZOOU povinnost uvádět zpracovatele v registraci na UOOU.
GDPR povinnost mít uzavřenou s každým zpracovatelem zpracovatelskou smlouvu a plnění zvláštních pravidel při předávání dat mimo EU.
GDPR online podnikání příliš neomezuje. Jen ubydou některé nekalé praktiky, které byly na hraně již dříve, a spoléhalo se na to, že “to nikdo stejně nekontroluje”. S příchodem likvidačních mnohamilionových pokut se konečně bezpečnost našich osobních údajů začne brát vážně.
Teď když už víte, co se mění, můžeme přejít k Desateru GDPR na webu, které musí každý online marketér bezpečně znát.