Nařízení o GDPR pro malé a střední firmy a její dopad na internetový marketing firem. Další změny čekejte od Nařízení ePrivacy!

Sociální síť Foursquare pro hotely a restaurace
14 února, 2018
Firemní profil na Twitteru. Ano či ne?
25 května, 2018

Naším hlavním byznysem je poskytování služeb internetové reklamy a on-line marketingu pro firmy. Mnoho z nich, zvláště ty menší, tak trochu tápe, co se týče GDPR, děsí se pokut, nákladů, neví, jak se s GDPR vypořádat, a čekají na nějaký výklad či kuchařku. GDPR se nás samozřejmě také týká a také našich klientů. V tomto článku jsme dali dohromady pár informací kolem GDPR právě s ohledem na menší a střední firmy, pro které je zpracování osobních údajů vedlejší činností.

I. Každá velká regulace přináší velký byznys. Hlavu si jako obvykle lámou především ty poctivé firmy

Zájem o informace o GDPR roste. Zatímco v dubnu 2017 se ve vyhledávači Seznam výraz „GDPR“ hledal jen 653x, tak o necelý rok později zájem o něj dosáhl takřka desetinásobku zdroj: www.sklik.cz). Nařízení Evropského parlamentu 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „Nařízení o GDPR) není přitom nové. Přijato bylo již 27. dubna 2016, ale v účinnost vstupuje až 25. května 2018. Vztahuje se nejen na velké, ale i na malé firmy a OSVČ zpracovávající osobní údaje. Nové regulace velkého rozsahu, jako je GDPR, přinášejí ovšem pro poradenské firmy i „vítané“ podnikatelské příležitosti. Vzpomeňme na proběhlé a dosud neukončené vlny EET či kontrolní hlášení. Výklad některých ustanovení Nařízení o GDPR zatím není ustálený, a tím spíše se tak dává prostor pro nepřebernou nabídku školení, poradenských služeb, a dokonce i on-line nástrojů a „kalkulaček“ GDPR pro firmy. ČR navíc do účinnosti Nařízení o GDPR nebude včas mít schválený tzv. adaptační zákon, tedy soulad vnitrostátní právní úpravy s GDPR.

Zajištění PPC reklamy pro firmy je jedna z našich služeb, a tak i proto nás zaujalo, že průměrné ceny za proklik na vyhledávací výraz „školení GDPR“ na předních pozicích ve vyhledávání na Seznamu dosahují 30 Kč za proklik.

Naše první doporučení zní: Nařízení si přečtěte. Má necelých 90 stran, ale hodně jeho částí se týká vlád, úřadů, spolupráce dozorových orgánů v rámci EU atd. Zjistíte, že část věcí si stejně budete muset vyřešit sami, neboť jen ve Vaší firmě víte, jaké osobní údaje zpracováváte. A nejspíše zjistíte, že spoustu věcí kolem GDPR, o kterých jste četli, řešit nemusíte.

II. Nařízení zohledňuje specifika malých a středních podniků do 250 zaměstnanců

a) Zákon na ochranu osobních údajů

Zabývali jste u Vás ve firmě, třeba nejen v souvislosti s on-line marketingem, zákonem na ochranu osobních údajů (zákon č. 101/2000 Sb.)? Nezpracováváte velké množství osobních údajů a zejména citlivých osobních údajů a navíc opakovaně? Patříte mezi menší firmy s méně než 250 zaměstnanci? V kladném případě Vám bude stačit nejspíše udělat jen pár opatření. Ta ale neberte jako jednorázový proces. Cílem Nařízení o GDPR je lépe řešit ochranu osobních údajů v kontextu rizik, sjednotit pravidla v rámci EU atd. a také držet krok s novými technologiemi, které přinášejí nové a jiné způsoby zpracování osobních údajů.

b) Zanikne dosavadní forma registru zpracování osobních údajů

Pokud jste zpracovávali osobní údaje, měli jste povinnost (výjimka par. 18 výše uvedeného zákona) se u Úřadu na ochranu osobních údajů před prvním zpracováním registrovat. V registru tak byla následkem toho úplně „každá“ firma, která se zabývala on-line marketingem. Stačilo třeba rozesílat newsletter. Znamenalo to pouhou administrativní zátěž bez rozlišení rozsahu a potenciálního rizika zpracování údajů. To se mění.

c) Správce či zpracovatel nově povedou záznamy o zpracování údajů, ale ne všichni

Výjimku tvoří právě organizace zaměstnávající méně než 250 osob, kde zpracování nepředstavuje riziko pro práva a svobody fyzických osob nebo zpracování nezahrnuje zvláštní kategorie osobních údajů. U nich je logicky je nižší riziko.

d) Jmenování pověřence pro ochranu OÚ

Běžné malé a střední firmy obvykle nemusí jmenovat pověřence pro ochranu osobních údajů. Ledaže ovšem jejich hlavní činnost spočívá v rozsáhlém, pravidelném, systematickém monitorování subjektů údajů (např. kamerové systémy) či hlavní činnost spočívá v rozsáhlém zpracování zvláštní kategorie osobních údajů (citlivé údaje). Jmenování se povinně týká se orgánů veřejné moci či veřejných subjektů s výjimkou soudů.

III. Jak na implementaci GDPR u malých a středních firem?

a) Proveďte analýzu zpracovávaných údajů:

  1. jaká data sbíráte, pak po segmentech dat analyzujte;
  2. jak je ve firmě využíváte;
  3. kdo k nim má přístup;
  4. jak je ukládáte a evidujete.

Pro každé zpracování údajů byste měli mít jasný právní titul (důvod). Mezi ně patří:

  1. souhlas subjektu údajů;
  2. plnění smlouvy s klientem (subjektem údajů), jeho žádosti, objednávky;
  3. plnění zákona (účetnictví, archivace…);
  4. oprávněný zájem správce (viz dále čl. IV);
  5. ochrana životně důležitých zájmů subjektu údajů;
  6. plnění úkolu ve veřejném zájmu.

Pokud nejste schopni právní důvod přiřadit, měli byste si souhlas obstarat, nebo problematické údaje o subjektech údajů vymazat.

b) Proveďte analýzu rizik a vyhodnoťte je.

c) Revidujte informační systémy a smlouvy.

Zamyslete se nad případným šifrováním, omezením přístupů, ukládáním do cloudu. Proveďte korekci smluv s dodavateli služeb a zaměstnanci. Věnujte se smlouvám s případnými zpracovateli údajů. To vše v kontextu vyhodnocených rizik.

d) Vytvořte si rozumnou interní směrnici pro nakládání s osobními údaji.

Uveďte ji do praxe. Pracujte s ní a aktualizujte ji podle praxe a potřeb vaší firmy a s přihlédnutím k případným změnám a upřesněním ve výkladu Nařízení GDPR i technickým možnostem a vývoji. Sledujte občas stanoviska dozorového orgánu.

Uff, řeknete si, tolik práce, my jsme malá firma (OSVČ) a dohromady toho moc nezpracováváme a na právníky nemáme peníze. Dobrou zprávou právě je, že Nařízení o GDPR průřezově změkčuje některé povinnosti správců a zpracovatelů, včetně finanční náročnosti jejich plnění, a to v závislosti na zpracovávaných osobních údajích a používaných technologiích. Přiměřené by měly být i případné pokuty. Ve výše uvedeném kontextu si již musíte vybrat, zda si s výše uvedeným postupem poradíte sami v rámci firmy, či se obrátíte na řešení celého procesu či jeho jednotlivých fází na externí pomoc.

IV. Využívejte přiměřeně právní titul oprávněný zájem správce

Na první pohled bez problémů bude zpracování údajů na základě plnění smlouvy s klientem. Ale jak v případě přímého marketingu, například rozesílání newsletteru, nabídek, telefonování? Získat souhlas například právě pro odběr dalších nabídek či newsletteru nemusí být úplně snadné. Je třeba respektovat pravidla:

  1. Souhlas nemůže mít nepřiměřené podmínky, nemůžete například podmínit nákup nebo účast v soutěži odebíráním newsletteru, získáním dalších údajů o zákazníkovi. Navíc požadovat můžete jen minimum potřebných údajů pro naplnění smlouvy (účelu).
  2. Souhlas se zpracováním osobních údajů musí být aktivní – například zaškrtnutí políčka na webu. Předem zaškrtnutá políčka nebo texty na webu či ustanovení skrytá v obchodních podmínkách o tom, že klient něco bere v souvislosti se zpracováním jeho dat na vědomí, prostě neplatí a mlčení a nečinnost není aktivní souhlas.
  3. Souhlas musí být spojen s jasně formulovaným účelem zpracování a rozsahem a způsobem zpracovávaných dat. Odlišné účely = různé souhlasy.
  4. Měli byste být schopni souhlas doložit a ověřit – v případě newsletteru se takové ověření provádí procesem „double opt-in“ – tedy zasláním ověřujícího e-mailu a teprve proklikem z tohoto e-mailu je souhlas ověřen.

Pro přímý marketing může Vaše firma použít právní důvod „oprávněné zájmy správce“. V Nařízení o GDPR najdete přímo citaci: „Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu správce.“ Musíte však splnit celkem rozumné předpoklady:

  1. Mezi Vaší firmou jako správcem a subjektem údajů je relevantní vztah. Například stávající zákazník, dodavatel, odběratel nebo někdo, s kým si vyměníte vizitky, nebo vizitky, které sesbíráte na veletrhu na stánku, kde vystavujete.
  2. Před zpracováním dat a třeba zasláním obchodní nabídky či nabídky na odběr newsletteru byste měli posoudit, zda subjekt údajů může očekávat, že ke zpracování může dojít. Zpracování by mělo být zákonné, pokud je úmyslem smlouvu uzavřít.
  3. „Nesmí převážit zájmy nebo základní práva a svobody subjektu údajů na základě jeho vztahu se správcem, a to při zohlednění přiměřeného očekávání subjektu údajů na základě vztahu se správcem.“ Takže například nabídku na odběr newsletteru nebo na uzavření obchodu můžete poslat „párkrát“ podle dané situace a s odstupem. Prostě pět e-mailů za měsíc s výzvou, že se „ubohý subjekt údajů“ neregistroval k Vašemu skvělému newsletteru a znova nenakoupil, je daleko za přiměřeným očekáváním. Riskujete stížnost. Pokud se nedočkáte reakce, údaje byste neměli dál zpracovávat, pokud ovšem nemáte jiný platný právní důvod.
  4. Subjekt údajů má právo vznést námitku proti zpracování, včetně profilování v rozsahu, v němž souvisí s daným přímým marketingem.
  5. Výslovně a odděleně od dalších informací upozorněte na všechny náležitosti. Uveďte kontext. Možnost odhlášení. Upozorněte na práva subjektu údajů, viz další článek.

V. Respektujte zásady při samotném zpracování a naplňujte práva subjektů údajů

a) Zásady

  1. Transparentnost a informovanost vůči subjektům údajů – uvádějte, kdo jste, jak údaje zpracováváte, k čemu, jaká jsou případná rizika zpracování, zda máte v úmyslu osobní údaje někam předávat. Vše byste měli vysvětlit jednoduše, v „očekávaném“ jazyce, uvést práva subjektu údajů, jak je uplatňovat, viz další odstavec.
  2. Nezastírat účel zpracování.
  3. Informovanost – poskytování informací subjektu údajů o zpracování.
  4. Minimalizace – zpracovávejte jen data nezbytná pro každý konkrétní účel.
  5. Přesnost.
  6. Omezení uložení.
  7. Likvidace údajů, pomine-li účel zpracování.
  8. Integrita a zabezpečení musí odpovídat povaze, rozsahu, kontextu a účelům zpracování.

b) A jaká práva plnění subjektu údajů musíme plnit?

  1. Právo na informace – doba, účel, zdroj.
  2. Právo na přístup.
  3. Informace o zpracování a o právech subjektu údajů.
  4. Právo na opravu.
  5. Právo na výmaz, být zapomenut.
  6. Právo na přenositelnost k jinému správci.
  7. Právo vznést námitku.
  8. Právo na omezení zpracování.

Stanovte si v interní směrnici postupy pro výkon těchto práv včetně možnosti, aby žádosti mohly být podávány elektronicky. Reagovat na žádosti musíte do jednoho měsíce a uvést případně důvody, pro které nechcete vyhovět.

VI. Revize informačních systémů a smluv aneb pár tipů na přiměřená opatření

Jak jsme napsali výše, opatření by měla být přiměřená, budou záležet na rozsahu zpracování osobních údajů, rizicích, zda zpracováváte i „citlivé“ kategorie údajů. Níže uvádíme výčet pár tipů a témat.

  1. Jste samostatný živnostník či malá firma o pár zaměstnancích? Žádná citlivá data nezpracováváte, jen běžná obchodní, ale přesto byste se měli zamyslet. Opravdu na počítačích a noteboocích a služebních telefonech máte nastavené rozumné přístupové heslo?
  2. Možná zjistíte, že nejvíce osobních údajů a problémů (citlivé údaje) naleznete na personálním oddělení a v účtárně. Můžete mít přístup do mzdové a personální agendy – máte kanceláře odděleně od zbytku provozu vlastní firmy? Totéž se týká IT oddělení. Šanony s údaji zaměstnanců uchovávejte v zamykatelné skříni, nejlépe v trezoru.
  3. Dohoda o mlčenlivosti jako součást pracovních smluv, zejména s přihlédnutím na citlivá oddělení (personální, účetní, IT).
  4. Přístup k citlivým kategoriím údajů jen přes určené pracovní stanice/počítače. Můžete využít způsobu pseudonymizace? Tedy že citlivé osobní údaje uložíte zvlášť? K doplňkovým informacím (k přiřazení těchto citlivých informací) bude mít přístup jen omezený okruh osob.
  5. Opravdu nemůžete zpracovávaná data minimalizovat? To byste podle nových pravidel měli co nejvíce.
  6. Údaje po pominutí účelu zpracování podle smlouvy „blokujte“ a ponechte přístupné pro retenci/archivaci na předepsanou dobu jen dále omezenému okruhu uživatelů. Ve směrnici si stanovte lhůty pro výmaz a přezkum.
  7. Zálohování do cloudu – společnosti Google a Microsoft již vydaly prohlášení, že jejich cloudové služby jsou v souladu s Nařízením o GDPR.
  8. Významní provozovatelé internetových reklamních systémů deklarují, že budou v souladu s GDPR (Google, Seznam, Facebook ad.).
  9. Upravte doložky k firemním smlouvám s „partnery“ tak, že postupují v souladu s Nařízením o GDPR. Žhavý příklad: externí účetní a mzdová firma.
  10. Smlouvy s případnými zpracovateli osobních údajů můžete uzavírat na konkrétní zpracování i obecně.
  11. Dohodněte ve smlouvě „pravidla hry“. Předmět zpracování, povaha, účel zpracování, prostředky. Určete povinnosti, kdy je ještě odpovědnost při zpracování na straně Vaší a kdy již na straně zpracovatele.
  12. Zabezpečte e-maily pomocí šifrování.
  13. Vyhodnoťte zpracovatele osobních údajů a dodavatele řešení IT systémů, podnikových informačních systémů. Kritéria – odbornost, spolehlivost, technická a organizační opatření.
  14. Provozujete podnikový informační systém? Spousta tipů Vás může napadnout při studiu prezentace od firmy SAP na téma řešení souladu s GDPR.

Mějte na paměti, že existují specifická pravidla a speciální pravidla/ochrana:

  1. nejen pro zpracování citlivých kategorií osobních údajů (politické názory, náboženství, rasa, zdrav. stav, sex. orientace, biometrické a genetické údaje, členství v odborech…),
  2. pro zpracování údajů nezletilých (do 16 let a starších nad 16 let, hranice je upravena adaptačními zákony),
  3. pro předávání osobních údajů v rámci EU a do zahraničí a také v rámci podniků, jejichž firmy působí ve více zemích EU,
  4. bezpečnostní incident máte povinnost do 72 hodin hlásit dozorovému orgánu, pokud ovšem hrozí subjektu údajů újma či ohrožení (majetek, zdraví, pověst, reputace…).
  5. také analýzu rizik byste měli provádět vždy před každým případem zpracování systematického a rozsáhlého, automatizovaného zpracování či rozsáhlého systematického monitorování veřejných prostor (uplatní především společnosti s jmenovaným pověřencem.

VII.Po Nařízení o GDPR přijde Nařízení ePrivacy s dopadem na internetovou reklamu. Konec vyskakovacích cookies lišt na webu?

Opravdu to Nařízením o GDPR nekončí. Následovat má Nařízení ePrivacy. Nařízení o respektování soukromého života a ochrany osobních údajů v elektronických komunikacích (nahrazuje Směrnici o soukromí a elektronických komunikacích 2002/58/ES, která byla novelizována Směrnicí 2009/136/ES a která je do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích, a rovněž zákonem č. 480/2004 Sb.). Nařízení ePrivacy je vůči GDPR speciální právní úpravou. Ve věcech, které specificky upravuje, má přednost před GDPR a v mnoha ohledech Nařízení o GDPR doplňuje. Obě nařízení měly původně vstoupit v účinnost společně, ale u Nařízení ePrivacy se účinnosti dočkáme nejspíše nejdříve v druhé polovině 2019. Finálního návrhu bychom se mohli dočkat v létě 2018. A co by Nařízení ePrivacy pro firmy a jejich marketing na internetu mělo přinést?

Rozšíření kategorií regulovaných subjektů

Pod regulaci se kromě telekomunikačních operátorů dostanou:

  1. poskytovatelé služeb volání přes internet,
  2. provozovatelé aplikací přenášejících audiovizuální obsah skrz internet, tzv. over-the-top services, včetně známých aplikací typu Facebook Messenger, WhatsApp, Viber, Skype či internetové televize typu Netflix,
  3. poskytovatelé internetových připojení, včetně veřejných a polosoukromých sítí Wi-Fi,
  4. firmy, které budou vyrábět přístroje využívající tzv. IoT – internetu věcí zapojených do sítí propojených a komunikujících přístrojů sdílejících data o uživatelích a jejich chování.

I komunikace mezi stroji, byť sloužící k naplňování potřeb uživatelů, totiž může obsahovat citlivé informace o jejich uživatelích a jejich chování a prostředí, ve kterém žijí. A pak provozujte ve firmě kavárnu s Wi-Fi. Nic už nebude jako dřív. V každém případě se znesnadní pozice „novým hráčům“ a „uleví“ se telekomunikačním operátorům.

Chráněn nebude jen obsah „sdělení a komunikace“, ale i metadata

Tedy i informace o navštívených internetových stránkách, poloze uživatele, času a době volání. Nařízení ePrivacy někdy také bývá označováno jako „zákon proti cookies“. Nejspíš může znamenat konec bannerů na webech žádajících souhlas se zpracováním cookies. Ten by měl být v případě cookies třetích stran aktivně udělen uživatelem na úrovni jim používaného internetového prohlížeče, jinak je nebude možné ukládat. Provozovatelé webů by pak mohli odkazovat ohledně souhlasu se zpracováním cookies na technologie třetích stran.

Bohužel všechny dotčené firmy by již při řešení technických implementací GDPR měli předjímat budoucí Nařízení ePrivacy. Současné nejasnosti kolem časování přijetí Nařízení ePrivacy není zrovna šťastné a nelze než jen doporučit sledovat unijní Úřední věstník.

Nařízení ePrivacy bude mít bezesporu dopad na současnou internetovou reklamu pro firmy a hodně věcí je ještě nejasných a může mít nečekané důsledky (aby třeba těch bannerů a pop-up oken ohledně cookies nakonec nebylo nakonec víc než dnes). Některé strategie marketingového cílení se stanou hůře použitelné či nedostupné. Možná při „likvidaci cookies“ nastane situace, že ta správná data, která budou firmy potřebovat pro marketingové cílení, bude mít v budoucnu jen omezený počet subjektů, kde se uživatelé logují. A snížení konkurence znamená dopad na ceny. Pro zajímavost si přečtěte třeba starší vyjádření společnosti Seznamu k tomuto Nařízení na jeho blogu.

Nařízení ePrivacy má také přinést další zpřísnění pro nevyžádaná obchodní sdělení. A v případě hromadných marketingových telefonátů bude nejspíše zakázáno skrývat číslo volajícího a z předčíslí by mělo být patrné, že jde o „marketingové volání“.

Každé změny ale přinášejí také nové příležitosti. Do marketingových strategií a plánů firem, které jsou našimi klienty, se je budeme snažit promítnout. Děkujeme, že sledujete nás blog!

Váš tým WTF digital

Věra Kepková
Věra Kepková
Online marketing manager ve firmě WTFdigital