Pokud si nejste jistí, doporučuji použít nejbezpečnější poznávací pomůcku: „Pokud policii předám sbíraný údaj – dopátrá se s jeho pomocí osoby, která se za ním skrývá?“ Pokud odpověď zní „ano“, zatřiďte údaj do kolonky „osobní údaje spadající pod GDPR“.
Čtěte také: Udělejte si strýčka a začněte s přípravou na GDPR v předvánoční kampani
Do 25. května 2018 musíte dát vše do latě
Zkratce GDPR, neboli General Data Protection Regulation (obecné nařízení o ochraně osobních údajů), se za poslední měsíce dostalo velké pozornosti. GDPR má posílit ochranu osobních údajů fyzických osob v Evropské unii a odstranit rozdíly v národních úpravách členských států. Pokud jste to ještě neudělali, tak si v kalendářích červeně zakroužkujte 25. květen 2018, a do tohoto data si nastudujte nové povinnosti a dejte ve firmě osobní údaje do latě.
V opačném případě vám za špatné nakládání s osobními údaji hrozí obrovské sankce. A v jaké oblasti se s osobními údaji pracuje nejvíc? Tušíte správně, v marketingu. A to téměř ve všech jeho odvětvích.
Abyste si mohli dát vše do pořádku, musíte se v první řadě zorientovat v tom, kde všude s osobními údaji přijdete do styku. Na svých školeních se poměrně často setkávám s údivem, že správným nastavením přihlašování do newsletteru úklid v osobních údajích zdaleka nekončí. Je to, jako byste naházeli všechen binec do skříní, když vám přijde nečekaná návštěva. Potíž je v tom, že zatímco návštěva se vám do skříní zřejmě dobývat nebude, kontrola z úřadu ano.
Čtěte také: Jak dopadne nová regulace GDPR na české e-shopy a weby?
Co všechno jsou osobní údaje
Zjednodušeně řečeno jsou osobní údaje všechno, podle čeho dokážete identifikovat konkrétní osobu. Pokud si nejste jistí, doporučuji použít nejbezpečnější poznávací pomůcku: „Pokud policii předám sbíraný údaj – dopátrá se s jeho pomocí osoby, která se za ním skrývá?“ Pokud odpověď zní „ano“, zatřiďte údaj do kolonky „osobní údaje spadající pod GDPR“.
V marketingu jde typicky o:
- jméno
- telefon
- IČ, DIČ, RČ
- adresu
- cookies
- IP adresu
- foto, video
S extrémní pečlivostí přistupujte k osobním údajům, které se týkají dětí, a k citlivým údajům (např. národnostní, rasový původ, politické postoje, náboženství a filozofické přesvědčení, zdravotní stav, sexuální orientace apod.).
Prvním krokem je uvědomit si, že s osobními údaji pracujete i jinde než jen v rámci databází pro rozesílání newsletterů. GDPR se dotkne (a občas velmi bolestně) také marketingových aktivit, jako je affiliate marketing, retargeting, ať už skrze Google Adwords, Facebook či jiné platformy, remarketing, práce s custom audiences, pořádání eventů, soutěží či analytika.
Vypracujte si proto kompletní seznam míst, kde všude osobní údaje reálně shromažďujete, a od toho se pak odrazte dál.
Typicky půjde o:
- veškeré databáze klientů a potenciálních klientů
- nástroje pro rozesílání hromadných e-mailů
- administrace webů – evidence vyplněných kontaktních formulářů, objednávek
- fotky z pořádaných akcí
- interní software
- analytické nástroje
Čtěte také: Víte, co je to bezpečnostní štít Privacy Shield a jak to souvisí s GDPR?
Kdo má k osobním údajům přístup?
Jestliže nejste jediní, kdo s osobními údaji na všech těchto místech pracuje (a to většinou nejste), nezapomeňte si udělat pořádek také v tomto. GDPR rozlišuje kompetence a odpovědnost správců a zpracovatelů. Jak poznáte, do které z těchto kategorií spadáte? Zjednodušeně řečeno je správcem ten, kdo určuje účel a způsob zpracování osobních údajů a uvolňuje na něj peníze. Zpracovatelem je pak osoba nebo firma, která s těmito daty pracuje na základě pověření od správce. V marketingu jde tedy typicky o vztah klient (správce) – agentura (zpracovatel). V některých případech však můžete být jak správci, tak zpracovatelé. A nezapomeňte, že váš vzájemný vztah musíte mít ze zákona vymezen v rámci tzv. zpracovatelské smlouvy. Už její neexistenci může úřad sankcionovat.
Pamatujte i na to, že zpracovatelem osobních údajů jsou také třetí strany, jako je Facebook, Google, dodavatel vašeho webu, e-mailingové nástroje, cloudová úložiště aj. A je potřeba se ujistit, že i ony mají vše nastaveno a zabezpečeno v souladu s GDPR. Že si toto nařízení značky, jako je Facebook či Google, přece musí pohlídat, je sice rozumný předpoklad, řiďte se však heslem „důvěřuj, ale prověřuj“. Odpovědnosti se tím, že má tyto věci v nepořádku třetí strana a ne vy, rozhodně nezbavíte.
Máte jasno, kde a kdo s osobními údaji nakládá. Co dál?
Jakmile si uděláte pořádek v tom, kde všude s osobními údaji pracujete a kdo k nim má přístup, dá se s trochou nadsázky říct, že máte napůl vyhráno. Pak už vás čeká „jenom“ správné nastavení souhlasů a splnění informačních povinností, zavedení precizní evidence, smluv a dokumentace, nastavení interních školení a procesů a zajištění bezpečnosti dat. Ale o tom zase příště.
ČLÁNKY DO MAILU