GDPR a internetoví podnikatelé

23 August 2018

GDPR a internetoví podnikatelé

Svět internetového podnikání dnes zabírá obrovský prostor na trhu. Ani tento druh podnikání se však nemůže vyhýbat zákonem či pravidlům, a to ani tím novým. Právě 25. května tohoto roku vstoupí v platnost nové nařízení Evropské unie, které bude zpřesňovat ochranu osobních údajů a rozšíří pravomoci fyzických osob.

Novým nařízeným se bude muset řídit každý subjekt, který nějakým způsobem zpracovává osobní údaje. Samozřejmě, těmto pravidlům budou podléhat i instituce nebo zprostředkovatelé, jakými jsou účetní či právníci.

Co je vlastně osobní údaj?

Jednoduše, jde o jakýkoliv údaj, který umožňuje identifikaci subjektu údajů. Jde o fyzickou osobu, kterou je pomocí daných údajů možné identifikovat. Jde rovněž o informace v rámci ekonomické, kulturní, společenské či mentální identity. Typickými údaji jsou jméno, příjmení, datum narození, rodné číslo, adresa či IP adresa, nebo cookies.

Jak začít s implementací GDPR v praxi?

Vše musí mít určitou posloupnost, bez ní by se mohlo stát, že se zanedbá i drobný detail, který může být konec konců velkým problémem. Ochranu osobních údajů dosud upravoval zákon č. 101/2000 Sb. o ochraně osobních údajů. Ten zůstává v platnosti, a proto je nutné splňovat všechny jeho náležitosti a následně přidat všechny dodatky podle GDPR.

Je třeba vědět:

s jakými údaji podnik pracuje,
jakou formou jejich archivuje,
kdo je za ně zodpovědný.

Jako první je třeba upravit smluvní podmínky pro web, pověřit přístup daným zaměstnancům případně je dobré se poradit s IT odborníkem o nastavení všech procesů na webu. Stejně tak je podstatné, aby pro uživatele on-line webů byl poskytnut řádný a srozumitelný souhlas, kterým subjekt prokáže, že uživatel zpracování dat schválil.

V rámci souhlasu je nutná:

identifikace subjektu,
důvod a účel shromažďování osobních údajů,
informování uživatele o jeho právech,
zda a jak bude s údaji dále manipulováno.

POZOR! Souhlas nesmí být součástí obchodních podmínek. Musí být jasně oddělen například samostatný checkbox.

Týká se GDPR i emailového marketingu?

Využívání emailů subjektů údajů musí být opět odsouhlaseny v souladu s GDPR, protože i email je definován jako osobní údaj. Zasílání nabídky či newsletterů musí být podmíněno souhlasem dané osoby.

Zajímavostí je, že GDPR myslí i na obsah. Máme tím na mysli, že pokud si zákazník kupuje elektroniku a v rámci nákupu odsouhlasí zasílání emailů, subjekt nemá právo zasílat mu newsletter obsahující nabídku sportovního náčiní.

Mám uchované adresy, co s nimi?

Samozřejmě, z hlediska stanov GDPR je třeba, aby subjekt od daných klientů / uživatelů získal opětovný souhlas. Tímto způsobem podnik zjistí, kolik z daných kontaktů je aktuálních. GDPR totiž umožňuje zpracování dat pouze těch, které podnik reálně využívá. Proto je nutné odůvodnit, na co údaje podnik používá. Pokud disponuje údaji, které k jeho činnosti nejsou využívány, jeho povinností je jejich odstranit.

Využívání reklamních magnetů

Nejlépe si to lze vysvětlit na příkladu. Například soutěž, která patří k tzv. "Lead magnetem". Pro účastněné uživatele je třeba získat dva souhlasy. Prvním a povinným souhlasem je souhlas, kterým informuje správce soutěže výherce. Druhým, nepovinným souhlasem je souhlas se zasíláním novinek.

Podobně je to i s odemčením obsahu na webu. Pokud je obsah zpoplatněn, v pořádku, pokud je to však pouze za cenu poskytnutí emailu, uživatel má právo vidět obsah i bez toho, aby ho zadal.

Co programy využívané pro zpracování osobních údajů?

Opět je dobré se podívat na ukázkový příklad. Software MailChimp je jedním z nejrozšířenějších systémů určených pro sběr emailů. Momentálně software není schopen splnit regulaci GDPR, avšak avizované aktualizace vývojáře by měly zajistit správné fungování v rámci právních norem ještě před zavedením GDPR platnost.

Jak je to se sankcemi?

20 milionů eur nebo peněžitý postih do výše 4% ročního obratu firmy. Zní to hrozivě a pro mnohé firmy až likvidačně. Právě sankce však mají budit dojem a být strážcem při dodržování GDPR.

Závěr

Pochopitelně rozberať by se dalo množství konkrétních případů, kde GDPR nabírá platnost. Netřeba se však obávat či stresovat. GDPR není žádným zlem, právě naopak, snížení rizika zneužití osobních údajů je prioritou a dnes i nutností.