Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.
GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.
Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji –zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.
GDPR začne v celé EU platit jednotně od 25. května 2018.
Proč GDPR vzniklo
Hlavním smyslem GDPR má být co nejvyšší ochrana osobních údajů zákazníků, zaměstnanců a dodavatelů proti jejich zneužívání. Cílem je, aby občané měli větší kontrolu a přehled nad tím, co se děje s jejich daty. Zpracování všech údajů bude s GDPR daleko přísnější.
GDPR vzniklo rovněž proto, že současné zákony o ochraně osobních údajů jsou již více jak 20 let staré a neaktuální. S tím souvisí třeba rozšíření pojmu „osobní údaje“, do kterého nyní spadají data jako je e-mail, IP adresa či cookies. Nově zde bude patřit také kategorie s tzv. biometrickými a genetickými údaji.
Co to znamená pro podnikatele
Pro fungování GDPR bude potřeba upravit stávající způsob zpracování údajů. Nařízení s sebou ponese samozřejmě také nezbytnou administrativní zátěž, např. různé dokumenty o zpracování údajů.
Pravidla budou opravdu přísná, za nedodržení hrozí velmi vysoké (pro některé podnikatele až likvidační) pokuty, které se mohou vyšplhat až na 20 000 000 eur (což je zhruba 540 000 000 Kč).
Co to znamená pro občany
Všichni, na které nové nařízení míří (zákazníci, klienti, zaměstnanci, dodavatelé, …) budou mít nad tím, co se děje s jejich osobními daty nejen větší přehled, ale také pravomoc (např. výmaz či úprava osobních údajů).
Co nás čeká?
Hlavní změny, které nové nařízení přinese, se dají shrnout bodově:
- Získání souhlasu se zpracováním osobních údajů
- Vedení záznamů o zpracování osobních údajů
- Rozšířené požadavky na obsah smluv mezi správcem a zpracovatelem osobních údajů
- Větší odpovědnost zpracovatele osobních údajů
- Nová práva subjektů údajů (fyzických osob)
- Významně vyšší možné sankce
- Důkazní a oznamovací povinnost
Osobní údaje
(informace které se pojí ke konkrétní fyzické osobě)
- Jméno a příjmení
- Adresa
- Datum narození
- Telefonní číslo a e-mailová adresa
- IP adresa a soubory cookies
- Bankovní účet, IČO (fyzické osoby, nikoli firemní)
- Historie objednávek, prohlížené zboží na e-shopu
- Recenze a diskuzní příspěvky
Jméno a příjmení samo o sobě není osobní údaj
Správce a zpracovatel
- Správce = e-shop
- Správce odpovídá za zpracování osobních údajů
- Zpracovatel = e-shopová platforma, newsletterové a další softwary, marketingový dodavatel, dopravci, ……
- Se všemi svými zpracovateli musíte mít zpracovatelskou smlouvu
- Zpracovatelská smlouva vymezuje, jak může zpracovatel nakládat s osobními údaji
Zpracování
Zpracovávat osobní údaje můžete pouze ze dvou důvodů
- Zákon říká, že můžete/musíte
- Máte k tomu souhlas uživatele
Nechtějte souhlas, kde máte zákonný nárok.
Zákonné důvody
- Plnění smlouvy – osobní údaje které potřebujete pro doručení objednávky (splnění smlouvy)
- Oprávněný zájem – neurčitý pojem, ale např. přímý marketing, základní analytika, osobní údaje potřebné pro soudní spor apod.
Na cokoli dalšího je třeba souhlas uživatele
Informační povinnost
Dokument plnící informační povinnost (zákonná možnost zpracování) musí obsahovat tyto informace:
- Kdo (správce, zpracovatel, pověřenec a další)
- Co (jaké údaje potřebuji pro daný účel)
- Za jakým účelem potřebuji osobní údaje zpracovat
- Jak dlouho budu údaje zpracovávat
- Proč (zákonný důvod)
- Práva
Souhlas musí být:
- Vyčleněný
- Informovaný
- Přiměřený
- Aktivní
- Dobrovolný
- Evidován
Aktivní souhlas musí být uveden jako zvláštní dokument s možností aktivního potvrzení a nemůže být součástí obchodních podmínek.
Zákazník má právo na:
- Informace o zpracování
- Opravu
- Výmaz
- Přenos
- Omezené zpracování
- Vznést námitku proti zpracování (včetně proti oprávněným zájmům)
Příklady z praxe
Objednávkový formulář
- Než zákazník odešle objednávku, musí být informován se zpracováním osobních údajů. Protože údaje zpracovávám na základě zákona z důvodu plnění smlouvy, nebudu vyžadovat souhlas, ale pouze o tom informuji.
- V tomto případě může být informace dole v liště s odkazem na informační povinnost, nebo v obchodních podmínkách.
Registrace nového zákazníka
- Před registrací musí zákazník udělit aktivní souhlas, tzn. musí aktivně odkliknout souhlas se zpracováním osobních údajů.
Příklady z praxe
Kontaktní formulář
- Stačí informovat o zpracování osobních údajů, není nutný aktivní souhlas
Newsletter
- Pokud zasílám na stávající zákazníky, stačí pouze informovat o zpracování osobních údajů (jde o oprávněný zájem) a dát možnost se kdykoli z odběru odhlásit.
- Pokud se chce k odběru přihlásit nový zákazník, musí udělit aktivní souhlas.
Recenze
- Zde je nutný aktivní souhlas
Analytické nástroje
- Základní měření je v pořádku. Na složitější nastavení už bude třeba aktivní souhlas.
Propojení na aplikace a sociální sítě
- Je nutný aktivní souhlas.
Praktické poznámky
- Pozor na Facebook pluginy a widgety! – tahají na pozadí data o vašich návštěvnících
bez vašeho vědomí a jejich souhlasu
- Základní analytika je váš oprávněný zájem – pozor ale na pokročilejší analytiku
a profilování
- U Heuréky není jasno, zda informaci nebo souhlas – bude záležet na postoji ÚOOÚ
- ePrivacy snad do konce roku 2018
Pověřenec pro 90 % e-shopů nebude potřeba
Další důležité odkazy, videa a návody: