GDPR – jaká data a proč můžete sbírat – 2. část

GDPR začne platit za 7 týdnů! Než začnete jakákoliv nová data sbírat nebo z paniky mazat již sesbírané emaily a trhat vizitky na stole, ještě chvíli počkejte. Nejdříve si řekneme jaká data a za jakých podmínek sbírat můžete a také, jaký je rozdíl mezi zpracováním a spravováním osobních dat.

V prvním díle této malé minisérie, jsem psal o tom co GDPR je, co jsou osobní data a k čemu je dobrý bezpečnostní audit (GDPR startuje za 8. týdnů - část 1.). Už na něm děláte? Dnešní článek na tuto analýzu volně navazuje.

Vždy NEmusíte mít souhlas

Nadpis je možná dvojsmyslný a aby nebyl zavádějící, hned jej vysvětlím. Mířím k tomu, že existuje více důvodů, proč některá osobní data o uživatelích/zákaznících chceme sbírat. Minimálně pokud mám s někým jednat o obchodu, musím si přeci někam poznamenat jeho telefon a jméno, email, případně adresu. A pokud mu vystavím fakturu, když si ode mne něco koupí, tak jí přece hned neroztrhám, když mě dle GDPR požádá o “výmaz” svých dat.

Tip: Zkuste donést na Finanční úřad ke kontrole faktury a smlouvy bez jmen a adres, budou hodně rádi 🙂 Prosím nedělat, byl to pouhý žert….

Jak je tedy vidět, některá data zpracovávat musíme a některá jen chceme! Takových důvodů pro sběr dat je tedy více a uvádím zde ty, které se mi podařilo sesbírat:

  • zákonné zájmy (účetnictví, DPH, zaměstnanci, sociální a zdravotní pojištění, atd.)
  • plnění smlouvy nebo jednání o smlouvě
  • oprávněný zájem
  • veřejný zájem
  • životní zájmy člověka

Záměrně jsem označil první tři tučně, protože s těmito se ve své praxi setkáme asi nejčastěji.

Souhlas nebo poučení

Pro naše účely se dá říci, že pokud nějaký zákon, vyhláška či nařízení ukládá údaje zpracovávat, nemusím mít od dané osoby aktivně daný souhlas, vyjádřený např. jak jsme zvyklí na internetu se zaškrtávacím políčkem. To stejné platí pokud je zpracovávám z důvodu plnění smlouvy, oprávněného zájmu nebo i z ostatních důvodů.

Kde bude nutné užití souhlasu téměř vždy, je u sběru dat citlivých viz předchozí článek.

Poučení

V těch jednodušších případech tedy stačí danou osobu tzv. informovat / poučit. Na internetových stránkách odkážete uživatele na stránku, která se jmenuje např. Zásady ochrany osobních údajů. U písemné smlouvy by mělo být poučení podobné s odkazem na určitou přílohu nebo taktéž na stránky společnosti.

Souhlas

Kdyby to ovšem s těmi zákonnými a oprávněnými zájmy bylo vždy tak jednoduché, asi bych dnes takový článek nemusel psát. Za plnění smlouvy a oprávněné důvody se totiž sice skryje hodně důvodů, proč si nějaký email nebo telefon ponechat uložený. Jenže problém nastává tehdy, chcete-li tento osobní údaj použít.

Tedy např. pokud jste nechali návštěvníka webu stáhnout si váš supergeniální e-book a požádali jste o email, abyste mu e-book mohli doručit, nemůžete mu na tento email posílat další nabídky! Proč? No protože jste uvedli jiný důvod sběru osobních údajů. Dle mého názoru si jej můžete ponechat v databázi pro případ, že by uživatel reklamoval doručení, ale takový email je vám v marketingu k ničemu. Klidně jej smažte.

Pokud ovšem chcete poslat vašemu současnému platícímu zákazníkovi informaci o tom, že bude odstávka on-line systému, který u vás využívá, na to souhlas nepotřebujete. Máte na to právo v rámci plnění smlouvy.

Už je to jasnější? Pojďme dále...

Délka zpracování

Jiný příklad z realitní branže: zasílání nabídek volných nemovitostí ke koupi rok poté, co si klient nevybral jeden z vámi nabízených bytů. Zde bude velmi na hraně zejména určit časovou lhůtu jakéhosi “jednání o budoucí smlouvě”. Je to pořád ještě jednání se zájemcem nebo on to již vnímá jako spam?

V rámci GDPR by toto měla řídit určitá vnitřní směrnice nebo nastavená interní pravidla. Pro každý zpracovávaný osobní údaj byste tedy měli řešit následující otázky:

  • jaké údaje zpracováváte (neměli byste zpracovávat více údajů než je nutné)
  • na základě jakého účelu
  • je nutné mít souhlas nebo stačí poučení
  • jak dlouho mohu data uchovávat

GDPR a marketing

Všichni se na GDPR připravujeme právě proto, abychom mohli o našich zákaznících zpracovávat efektivně maximum “minimálního” množství osobních údajů správně a zákonně je mohli využít k marketingovým účelům.

Pro většinu marketingových účelů je vždy potřeba souhlas. Upozorňuji “většinu” a to těch, které potřebuje používat většina marketingových specialistů. Jedná se zejména o remarketing, retargeting, profilování zákazníků, sběr cookies, o data ze sociálních sítí atd.

(Nerozumíte-li těmto výrazům, je dobré si popovídat s vašimi markeťáky, zda je vůbec k něčemu potřebují a využívají tato data nyní.)

Osobně doporučuji, abyste vše diskutovali s právníky, kteří poradí i v komplikovanějších záležitostech. V realitách se nejčastěji setkáme asi s těmito případy (přikládám pár ukázek):

  • registrace na blogu/webu, budete posílat jen nové články - poučení
  • registrace na blogu/webu, budete posílat i reklamní nabídky - souhlas
  • chcete posílat zájemci informace o nemovitostech, které byste mu mohli zprostředkovat nebo prodat - poučení (do max 3 měsíců)
  • zasílání nabídek delší dobu bych již podložil souhlasem
  • chcete posílat zákazníkovi, který přes vás koupil byt, informace o pojištění, fondech a cestovním pojištění - spíše souhlas (produkt je hodně odlišný)
  • sběr informací o chování na webu (cookies) - poučení (pokud neklikne že “souhlasí”, neměli byste sběr provádět)

POZOR: Ani právníci si doposud nejsou jisti, jak budou úřady rozhodovat. V článcích vycházím z názorů a výkladů, které jsem různě posbíral. Bez dalšího prověření právníkem prosím neaplikujte bezhlavě!

Správce vs zpracovatel

Napadá vás jaký je rozdíl mezi těmito dvěma osobami? První rozdíl spočívá v tom, že správce je ten kdo říká jaká data, za jakým účelem a jak dlouho se budou zpracovávat. Zpracovatel toto fyzicky provádí - i když třeba zpracovává jen část dat správce. Zpracovatel by neměl s daty dále nakládat, sbírat další, rozšiřovat, používat apod. - už by to pak byl také správce.

Druhý a ten hlavní rozdíl je v zodpovědnosti. Tím, na jehož hlavu bude dopadat nejvíce odpovědnosti je právě správce. Bohužel tyto 2 osoby je od sebe někdy těžké rozlišit. Pokud pracujete v realitách jako investor, realitní makléř, finanční poradce apod. budete téměř vždy a výhradně správci.

Dejte si ale pozor, každý správce musí mít se zpracovateli osobních údajů uzavřenou písemnou smlouvu, jinak zde hrozí sankce. Smlouva právě mimo jiné řeší práva a závazky obou stran. Opět zjednodušeně platí, že zpracovatel je každá třetí strana (subjekt), která mi dodává určitou službu, kam osobní údaje ukládám.

POZOR ta služba není na první pohled zcela zřejmá! A že vám vaše data nikdo nezpracovává?

Zpracovatel

Mezi typické zpracovatele, se kterými běžně dennodenně spolupracujeme patří:

  • účetní firma - která pracuje se smlouvami a fakturami
  • IT firma - která spravuje váš web kde sbíráte osobní údaje
  • Chat - dodavatel chatovacího modulu, který na webu slouží ke kontaktování zákazníky
  • Email - emailový klient/služba (Seznam.cz, Gmail.com apod.)
  • Cloud - ukládáte si data na Dropbox apod.
  • Mailing - posíláte pravidelně hromadné maily např. Mailchimp nebo Smartemailing
  • další aplikace, do kterých ukládáte data nebo kontaktní údaje o lidech
  • atd.

Aby toho nebylo málo, tak jako správce ještě zodpovídáte za to, že jste si vybrali takového Zpracovatele, který dle nařízení o GDPR zpracovává data jen na území Evropské Unie.

ÚKOL 1: K bezpečnostní analýze z minulého týdne si doplňte informace o účelu, právním důvodu a délce zpracování osobních údajů. Údaje, které k ničemu nepotřebujete nemá smysl zpracovávat!

ÚKOL 2: Sepište si seznam partnerů (Zpracovatelů), kteří pro vás zpracovávají osobní údaje  a chtějte po nich písemnou smlouvu mezi Správcem (vámi) a Zpracovatelem (3. strana).

Tip: U elektronických služeb ji často najdete v “Nastavení” dané služby nebo v sekci týkající se GDPR a ochrany osobních údajů.

V příštím článku se podíváme na to, jak tedy správně získávat kontakty z webových stránek, co je double-opt-in, digitální stopa apod.

Předchozí díl je zde: GDPR startuje za 8 týdnů (1. část)

Pokračování série je zde: GDPR jak správně sbírat kontakty z webu 3. část

Sdílejte článek na sociálních sítích
  •  
  •  
  •  
  •  
  •  

2 Reakce

  1. Pracuji jako realitní makléř, a každý rok posílám klientům, kterým jsem prodal, nebo kteří ode mně koupili, tak jim posílám novoroční pozdrav nebo přání k vánocům nebo přání k narozeninám. Z kupních smluv znám jejich rodná čísla. To už nebudu moci dělat?
    • Pavel Tomek
      Dobrý večer, nečekejte jednoduchou odpověď :-) Obecně bude záležet na nastavení interních dokumentů v rámci implementace GDPR s vašimi právníky viz článek - účel - důvod - délka. Můj soukromý názor? K zasílání novoročních a vánočních přání nepotřebujete zpracovávat rodné číslo, to je první problém. Tam stačí email, případně adresa. K zasílání přání k narozeninám taktéž nepotřebujete rodné číslo, ale stačí datum narození. (Omlouvám se, ale opravdu GDPR říká zpracovávat jen minimum informací, které potřebujete k danému účelu!) Proč tato data zpracováváte. Řekl bych, že základním důvodem, proč tyto informace máte je proto, že ze zákonných důvodů uchováváte smlouvy pro případ kontroly FÚ, zpracování účetnictví a v rámci vaší branže také z důvodu AML (praní špinavých peněz). Tedy důvody máte, ale zde byla data sebrána za jiným účelem. Pokud jste s někým smlouvu neuzavřel je sběr takových dat bez souhlasu asi na hraně... Co může rozhodování ovlinit? Jaké přání budete zasílat. Opět můj osobní názor... ŠPATNĚ = Vše nejlepší k Vánocům, Petře. Podívejte se na to co teď prodávám... jaké máme nové školení... začal jsem dělat pojistky, podívejte jak byste ušetřil atd. atd. LÉPE = Vše nejlepší k Vánocům, PF 2022, ať zdraví slouží a ať se daří! Bedřich... Důležité: GDPR řeší hlavně jaká data, proč a za jakým účelm sbíráme. Ale zasílání samotných obchodních sdělení upravuje spíše Zákon 480/2004 Sb o některých službách informační společnosti ve znění od 1.7.2017... na stránkách Úřadu pro ochranu osobních údajů v "Často kladených otázkách" jsem našel vyjádření k dotazu, zda jsou taková přání šířená formou sms považována za obchodní sdělení... Úřad říká: <em>"Taková přání jsou považována za sdělení k podpoře image, tedy za obchodní sdělení ve smyslu ustanovení § 2 písm. f) zákona jakéhokoliv šiřitele obecně, tedy i poskytovatele telekomunikačních služeb. Navíc účelem zákona č. 480/2004 Sb. je omezení obtěžujících forem elektronické komunikace, kam zasílání těchto typů zpráv nepochybně patří."</em> Myslím tedy, že na taková přání posílaná za firmu by nahlížel úřad stejně. Celý zákon totiž hovoří o elektronické komunikaci - takže bude jedno zda jde o sms nebo o email. Do tohoto zákona (pokud vím) nespadají nabídky zasíláné poštou. Ale také platí, kde není žalobce... Pavel T.

Menu
ADOL
Přihlášení