Naším hlavním byznysem je poskytování služeb internetové reklamy a on-line marketingu pro firmy. Mnoho z nich, zvláště ty menší, tak trochu tápe, co se týče GDPR, děsí se pokut, nákladů, neví, jak se s GDPR vypořádat, a čekají na nějaký výklad či kuchařku. GDPR se nás samozřejmě také týká a také našich klientů. V tomto článku jsme dali dohromady pár informací kolem GDPR právě s ohledem na menší a střední firmy, pro které je zpracování osobních údajů vedlejší činností.
I. Každá velká regulace přináší velký byznys. Hlavu si jako obvykle lámou především ty poctivé firmy
Zájem o informace o GDPR roste. Zatímco v dubnu 2017 se ve vyhledávači Seznam výraz „GDPR“ hledal jen 653x, tak o necelý rok později zájem o něj dosáhl takřka desetinásobku zdroj: www.sklik.cz). Nařízení Evropského parlamentu 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „Nařízení o GDPR) není přitom nové. Přijato bylo již 27. dubna 2016, ale v účinnost vstupuje až 25. května 2018. Vztahuje se nejen na velké, ale i na malé firmy a OSVČ zpracovávající osobní údaje. Nové regulace velkého rozsahu, jako je GDPR, přinášejí ovšem pro poradenské firmy i „vítané“ podnikatelské příležitosti. Vzpomeňme na proběhlé a dosud neukončené vlny EET či kontrolní hlášení. Výklad některých ustanovení Nařízení o GDPR zatím není ustálený, a tím spíše se tak dává prostor pro nepřebernou nabídku školení, poradenských služeb, a dokonce i on-line nástrojů a „kalkulaček“ GDPR pro firmy. ČR navíc do účinnosti Nařízení o GDPR nebude včas mít schválený tzv. adaptační zákon, tedy soulad vnitrostátní právní úpravy s GDPR.
Zajištění PPC reklamy pro firmy je jedna z našich služeb, a tak i proto nás zaujalo, že průměrné ceny za proklik na vyhledávací výraz „školení GDPR“ na předních pozicích ve vyhledávání na Seznamu dosahují 30 Kč za proklik.
Naše první doporučení zní: Nařízení si přečtěte. Má necelých 90 stran, ale hodně jeho částí se týká vlád, úřadů, spolupráce dozorových orgánů v rámci EU atd. Zjistíte, že část věcí si stejně budete muset vyřešit sami, neboť jen ve Vaší firmě víte, jaké osobní údaje zpracováváte. A nejspíše zjistíte, že spoustu věcí kolem GDPR, o kterých jste četli, řešit nemusíte.
II. Nařízení zohledňuje specifika malých a středních podniků do 250 zaměstnanců
a) Zákon na ochranu osobních údajů
Zabývali jste u Vás ve firmě, třeba nejen v souvislosti s on-line marketingem, zákonem na ochranu osobních údajů (zákon č. 101/2000 Sb.)? Nezpracováváte velké množství osobních údajů a zejména citlivých osobních údajů a navíc opakovaně? Patříte mezi menší firmy s méně než 250 zaměstnanci? V kladném případě Vám bude stačit nejspíše udělat jen pár opatření. Ta ale neberte jako jednorázový proces. Cílem Nařízení o GDPR je lépe řešit ochranu osobních údajů v kontextu rizik, sjednotit pravidla v rámci EU atd. a také držet krok s novými technologiemi, které přinášejí nové a jiné způsoby zpracování osobních údajů.
b) Zanikne dosavadní forma registru zpracování osobních údajů
Pokud jste zpracovávali osobní údaje, měli jste povinnost (výjimka par. 18 výše uvedeného zákona) se u Úřadu na ochranu osobních údajů před prvním zpracováním registrovat. V registru tak byla následkem toho úplně „každá“ firma, která se zabývala on-line marketingem. Stačilo třeba rozesílat newsletter. Znamenalo to pouhou administrativní zátěž bez rozlišení rozsahu a potenciálního rizika zpracování údajů. To se mění.
c) Správce či zpracovatel nově povedou záznamy o zpracování údajů, ale ne všichni
Výjimku tvoří právě organizace zaměstnávající méně než 250 osob, kde zpracování nepředstavuje riziko pro práva a svobody fyzických osob nebo zpracování nezahrnuje zvláštní kategorie osobních údajů. U nich je logicky je nižší riziko.
d) Jmenování pověřence pro ochranu OÚ
Běžné malé a střední firmy obvykle nemusí jmenovat pověřence pro ochranu osobních údajů. Ledaže ovšem jejich hlavní činnost spočívá v rozsáhlém, pravidelném, systematickém monitorování subjektů údajů (např. kamerové systémy) či hlavní činnost spočívá v rozsáhlém zpracování zvláštní kategorie osobních údajů (citlivé údaje). Jmenování se povinně týká se orgánů veřejné moci či veřejných subjektů s výjimkou soudů.
III. Jak na implementaci GDPR u malých a středních firem?
a) Proveďte analýzu zpracovávaných údajů:
Pro každé zpracování údajů byste měli mít jasný právní titul (důvod). Mezi ně patří:
Pokud nejste schopni právní důvod přiřadit, měli byste si souhlas obstarat, nebo problematické údaje o subjektech údajů vymazat.
b) Proveďte analýzu rizik a vyhodnoťte je.
c) Revidujte informační systémy a smlouvy.
Zamyslete se nad případným šifrováním, omezením přístupů, ukládáním do cloudu. Proveďte korekci smluv s dodavateli služeb a zaměstnanci. Věnujte se smlouvám s případnými zpracovateli údajů. To vše v kontextu vyhodnocených rizik.
d) Vytvořte si rozumnou interní směrnici pro nakládání s osobními údaji.
Uveďte ji do praxe. Pracujte s ní a aktualizujte ji podle praxe a potřeb vaší firmy a s přihlédnutím k případným změnám a upřesněním ve výkladu Nařízení GDPR i technickým možnostem a vývoji. Sledujte občas stanoviska dozorového orgánu.
Uff, řeknete si, tolik práce, my jsme malá firma (OSVČ) a dohromady toho moc nezpracováváme a na právníky nemáme peníze. Dobrou zprávou právě je, že Nařízení o GDPR průřezově změkčuje některé povinnosti správců a zpracovatelů, včetně finanční náročnosti jejich plnění, a to v závislosti na zpracovávaných osobních údajích a používaných technologiích. Přiměřené by měly být i případné pokuty. Ve výše uvedeném kontextu si již musíte vybrat, zda si s výše uvedeným postupem poradíte sami v rámci firmy, či se obrátíte na řešení celého procesu či jeho jednotlivých fází na externí pomoc.
IV. Využívejte přiměřeně právní titul oprávněný zájem správce
Na první pohled bez problémů bude zpracování údajů na základě plnění smlouvy s klientem. Ale jak v případě přímého marketingu, například rozesílání newsletteru, nabídek, telefonování? Získat souhlas například právě pro odběr dalších nabídek či newsletteru nemusí být úplně snadné. Je třeba respektovat pravidla:
Pro přímý marketing může Vaše firma použít právní důvod „oprávněné zájmy správce“. V Nařízení o GDPR najdete přímo citaci: „Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu správce.“ Musíte však splnit celkem rozumné předpoklady:
V. Respektujte zásady při samotném zpracování a naplňujte práva subjektů údajů
a) Zásady
b) A jaká práva plnění subjektu údajů musíme plnit?
Stanovte si v interní směrnici postupy pro výkon těchto práv včetně možnosti, aby žádosti mohly být podávány elektronicky. Reagovat na žádosti musíte do jednoho měsíce a uvést případně důvody, pro které nechcete vyhovět.
VI. Revize informačních systémů a smluv aneb pár tipů na přiměřená opatření
Jak jsme napsali výše, opatření by měla být přiměřená, budou záležet na rozsahu zpracování osobních údajů, rizicích, zda zpracováváte i „citlivé“ kategorie údajů. Níže uvádíme výčet pár tipů a témat.
Mějte na paměti, že existují specifická pravidla a speciální pravidla/ochrana:
VII.Po Nařízení o GDPR přijde Nařízení ePrivacy s dopadem na internetovou reklamu. Konec vyskakovacích cookies lišt na webu?
Opravdu to Nařízením o GDPR nekončí. Následovat má Nařízení ePrivacy. Nařízení o respektování soukromého života a ochrany osobních údajů v elektronických komunikacích (nahrazuje Směrnici o soukromí a elektronických komunikacích 2002/58/ES, která byla novelizována Směrnicí 2009/136/ES a která je do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích, a rovněž zákonem č. 480/2004 Sb.). Nařízení ePrivacy je vůči GDPR speciální právní úpravou. Ve věcech, které specificky upravuje, má přednost před GDPR a v mnoha ohledech Nařízení o GDPR doplňuje. Obě nařízení měly původně vstoupit v účinnost společně, ale u Nařízení ePrivacy se účinnosti dočkáme nejspíše nejdříve v druhé polovině 2019. Finálního návrhu bychom se mohli dočkat v létě 2018. A co by Nařízení ePrivacy pro firmy a jejich marketing na internetu mělo přinést?
Rozšíření kategorií regulovaných subjektů
Pod regulaci se kromě telekomunikačních operátorů dostanou:
I komunikace mezi stroji, byť sloužící k naplňování potřeb uživatelů, totiž může obsahovat citlivé informace o jejich uživatelích a jejich chování a prostředí, ve kterém žijí. A pak provozujte ve firmě kavárnu s Wi-Fi. Nic už nebude jako dřív. V každém případě se znesnadní pozice „novým hráčům“ a „uleví“ se telekomunikačním operátorům.
Chráněn nebude jen obsah „sdělení a komunikace“, ale i metadata
Tedy i informace o navštívených internetových stránkách, poloze uživatele, času a době volání. Nařízení ePrivacy někdy také bývá označováno jako „zákon proti cookies“. Nejspíš může znamenat konec bannerů na webech žádajících souhlas se zpracováním cookies. Ten by měl být v případě cookies třetích stran aktivně udělen uživatelem na úrovni jim používaného internetového prohlížeče, jinak je nebude možné ukládat. Provozovatelé webů by pak mohli odkazovat ohledně souhlasu se zpracováním cookies na technologie třetích stran.
Bohužel všechny dotčené firmy by již při řešení technických implementací GDPR měli předjímat budoucí Nařízení ePrivacy. Současné nejasnosti kolem časování přijetí Nařízení ePrivacy není zrovna šťastné a nelze než jen doporučit sledovat unijní Úřední věstník.
Nařízení ePrivacy bude mít bezesporu dopad na současnou internetovou reklamu pro firmy a hodně věcí je ještě nejasných a může mít nečekané důsledky (aby třeba těch bannerů a pop-up oken ohledně cookies nakonec nebylo nakonec víc než dnes). Některé strategie marketingového cílení se stanou hůře použitelné či nedostupné. Možná při „likvidaci cookies“ nastane situace, že ta správná data, která budou firmy potřebovat pro marketingové cílení, bude mít v budoucnu jen omezený počet subjektů, kde se uživatelé logují. A snížení konkurence znamená dopad na ceny. Pro zajímavost si přečtěte třeba starší vyjádření společnosti Seznamu k tomuto Nařízení na jeho blogu.
Nařízení ePrivacy má také přinést další zpřísnění pro nevyžádaná obchodní sdělení. A v případě hromadných marketingových telefonátů bude nejspíše zakázáno skrývat číslo volajícího a z předčíslí by mělo být patrné, že jde o „marketingové volání“.
Každé změny ale přinášejí také nové příležitosti. Do marketingových strategií a plánů firem, které jsou našimi klienty, se je budeme snažit promítnout. Děkujeme, že sledujete nás blog!
Váš tým WTF digital