Na ně už pak jen „naroubujete“ požadavky, které jsou v GDPR navíc. Doporučuji postupovat krok po kroku.
Čtěte také: Správa osobních údajů bude od příštího roku náročnější a dražší
Ochranu osobních údajů nepodceňujte
Jako advokátka ráda a často utíkám od práce zpoza monitoru nebo ze soudních síní do kolektivu marketérů, kterým se snažím na workshopech ukázat právní mantinely jejich oboru a pomoct jim s orientací v bludišti paragrafů.
Semináře vždy zaplní smršť otázek a diskuzí, zhruba v polovině marketéři začnou vidět potenciální soudní spor na každém rohu své kampaně. Situaci se snažím vždy odlehčit až do chvíle, než přijde na řadu oblast, v níž bloudí téměř každý podnikatel a kterou není radno podceňovat – ochrana osobních údajů.
Zákon o ochraně osobních údajů skoro nikdo nezná
Ze zkušenosti vím, že současný zákon o ochraně osobních údajů zná jen malé procento klientů. Pokud se někdo v této problematice vyzná, je to většinou díky osobní zkušenosti s kontrolou z Úřadu pro ochranu osobních údajů. Tuto oblast je ale třeba nepodceňovat a nastavit si své (nejen) marketingové procesy správně už dnes, ještě než začne podnikatele ze spánku budit tolik obávané nařízení EU se zkratkou GDPR. Proč?
Nedostatečnou úpravou vystavujete svá podnikatelská záda příliš velkému počtu potenciálních útočníků. Pokud si vás úřad nevšimne sám na základě svých stanovených kontrol, může se na vás zaměřit na popud spotřebitele, kterého spamujete, vašeho konkurenta, kterému by nějaká ta pokuta udělená na váš účet asi nevadila, nebo třeba na podnět vašeho zaměstnance, kterému bylo ukřivděno v jeho očích bezdůvodnou výpovědí.
Mějte na paměti, že zákon po vás chce ne zrovna málo náležitostí:
- Dostatečné informování fyzických osob o vás a nakládání s osobními údaji.
- Zajištění bezpečí vašich databází.
- Dokládání správně nastaveného souhlasu se zpracováním.
- Záznamy o tom, kdo s údaji nakládá, kdy se do systému kdo nalogoval a co tam dělal.
- Správně nastavené smlouvy mezi vámi a tzv. zpracovatelem (třeba marketingovou agenturou, která pro vás vede databáze, nebo poskytovatelem cloudu – kam údaje ukládáte. Ano, cloudu!)
- Splnění oznamovací povinnosti vůči ÚOOÚ
Že se vás tyto povinnosti netýkají? Děláte marketing na úrovni 21. století? Pak týkají. S osobními údaji nakládáte, pokud zpracováváte jména, příjmení, maily, telefonní čísla, ale také videozáznamy, fotografie, nahrávky atd. Je třeba mít se na pozoru.
GDPR zdvihá laťku o několik levelů výš
A to jednak ve smyslu nároků, které na podnikatele klade, ale především co se týče finančních postihů – zatímco dnes vám hrozí sankce do maximální výše 10 milionů korun, od května 2018, kdy toto nařízení EU nabyde účinnosti, to bude až 20 milionů EUR u fyzických osob a 4 % z obratu u právnických osob.
Čtěte také: Reforma ochrany osobních údajů, firmy čekají nové povinnosti
Jak se sankcím vyhnout?
Především zachovejte klid – GDPR sice zruší současný zákon a nahradí jeho právní úpravu celoplošně a jednotně pro celou Evropskou unii, ale protože jako jeden z mála evropských států máme poměrně tvrdě upravenou ochranu osobních údajů již dnes, není potřeba panikařit.
Doporučuji postupovat krok po kroku. Tušíte, že vaše firma s osobními údaji nezachází úplně, jak by měla? Než budete složitě louskat nařízení GDPR, začněte aktuálním zákonem o ochraně osobních údajů, který je jednodušší a pomůže vám nastavit základní mantinely tak, abyste na ně už pak jen „naroubovali“ požadavky, které jsou v GDPR navíc.
Zjistěte si:
- s jakými údaji vlastně nakládáte a proč,
- kde je uchováváte a
- kdo se vám o ně stará.
Podle toho pak
- nastavte smluvní podmínky, ustanovení na webu a databáze,
- uzavřete smlouvy se svými zpracovateli osobních údajů,
- zpřístupněte databáze jen vašim oprávněným zaměstnancům a zrevidujte pracovní smlouvy,
- poraďte se se svými ajťáky, jak vám můžou pomoci systém zjednodušit v rámci vašich vnitřních procesů.
Jakmile budete mít hotovo, projděte si GDPR a zjistěte, jaké nové povinnosti vám ukládá (zřízení tzv. pověřence pro ochranu osobních údajů, pořizování záznamů o činnostech zpracování, aj.). Podle toho pak realizujte další kroky.
Vyvíjíte pro vnitřní potřeby své firmy už nyní software? Myslete dopředu. Upozorněte své vývojáře, že tady máme za rok novou právní úpravu – ať vám už nyní na software napasují aplikace, které vám usnadní práci s kontakty, jejich ukládání, dokládání, včasné mazání aj.
A jedna podstatná informace na závěr. Už na podzim 2016 nám Soud EU rozhodl, že s IP adresou je potřeba nakládat jako s osobním údajem. Remarketingové praktiky tak dostaly trochu nový hábit a ani s novým nařízením se tento přísný pohled práva na věc nezmění – kdo by byl na pochybách, nařízení ho explicitně poučí, že IP adresa je osobním údajem. Kvalitní spolupráce právníků, marketérů a programátorů tedy bude v následujících letech nevyhnutelná.