Jak na GDPR (2): Právní tituly a účely zpracování a kdy nepotřebujete souhlas
[SERIÁL] Chcete vědět, jak se na svém webu a v online marketingu vypořádat s obecným nařízením o ochraně osobních údajů (GDPR)? Ve 2. dílu se naučíte využívat právní tituly a účely zpracování, abyste nemuseli žádat souhlas.
ČTĚTE TAKÉ 1.díl Jak na GDPR (1): Co musíte vědět a znát.
Zatržení políčka souhlasu se zpracováním osobních údajů je dnes na denním pořádku. Souhlas se často žádá v případech, kdy ani není třeba. A tak je „přesouhlasováno“, že už podmínky souhlasu ani nikdo nečte. Nehledě na to, že tyto podmínky jsou často napsané tak složitě a zdlouhavě, že od čtení odrazují.
Ale tomu je konec! GDPR celou tuto agendu upravuje a určuje, že se bude nyní hledět primárně na poskytovatele osobního údaje. Pokud jste i dříve mysleli především na lidi, a své podmínky jste měli napsané lidsky místo právního jazyka, stručně a srozumitelně, pravděpodobně se u vás nic nezmění.
Právní titul aneb mám svůj důvod
Abyste mohli osobní údaje sbírat a zpracovávat, musíte k tomu mít právní důvod. GDPR mu říká právní titul. Existuje jich hned několik, ale my se podíváme jen na ty, jež se týkají provozování webu a online marketingu.
Plnění smlouvy
Pokud osobní údaj potřebujete k tomu, abyste mohli naplnit smluvní vztah, pak máte právní důvod ke sběru i zpracování osobních údajů. Souhlas se zpracováním tedy nepotřebujete.
Typicky jde o závaznou objednávku v e-shopu, nebo objednávkovým formulářem na webu.
POZOR:
Nemusí se to týkat poptávky. Pokud poptávkou nevniká smluvní vztah, protože například potřebujete nejdřív sesbírat data pro vytvoření nabídky, pak je třeba si vyžádat souhlas se zpracováním osobních údajů.Na poptávku sbírající údaje k přípravě cenové nabídky, či smlouvy, lze uplatnit právní důvod budoucí Plnění smlouvy. Souhlas ke zpracování osobních údajů tedy nepotřebujete (úprava 17.5.2018).
Právní povinnost
Všechny údaje nutné k vystavení faktury či daňového dokladu musíte sbírat a archivovat se zákona. Takže zde opět souhlas nepotřebujete.
Oprávněný zájem
Chcete-li stávajícím zákazníkům, či klientům posílat e-maily informující je o svých výrobcích či službách, nemusíte žádat souhlas. Toto platilo i dříve. Samozřejmě zákazník musí stále mít možnost se ze zasílání obchodních sdělení kdykoliv odhlásit.
Souhlas se zpracováním osobních údajů
Jestliže můžete využít jiný právní titul, udělejte to a nežádejte znovu o souhlas. Pokud nemůžete využít žádný z uvedených titulů, pak přichází na řadu souhlas se zpracováním osobních údajů. Ten má tu nevýhodu, že je kdykoli odvolatelný.
Souhlas je třeba žádat, když:
- Na webu poskytujete e-book na e-mail.
- Chcete posílat e-maily lidem, kteří nejsou vaši zákazníci.
- Máte na webu poptávkové a kontaktní formuláře.
Právní tituly v praxi
Podívejme se na příklady:
- Poptávka na webu: Použijete právní titul
Souhlasbudoucí Plnění smlouvy (úprava 16.5.2018). Ten bude platit po určitou dobu (viz dále). V případě objednávky z poptávky jde o právní titul Plnění smlouvy, a také titul Právní povinnost. - E-book na e-mail: Použije se právní titul Souhlas a doručíte e-book do e-mailu. Váš právní titul odesláním e-booku pominul a dále e-mailovou adresu nemůžete zpracovávat = nemůžete na ni posílat newslettery. Chcete-li dále posílat newslettery, budete potřebovat další souhlas.
- Objednávka na e-shopu: Použije se právní titul Plnění smlouvy, a po dokončení objednávky také titul Právní povinnost. Následně můžete posílat newslettery s nabídkou podobného zboží či služeb za použití právního titulu Oprávněný zájem.
Účel aneb k čemu údaje zpracovávám
GDPR vymezuje také důvody, pro které můžete osobní údaje zpracovávat. Účel doplňuje právní titul.
V případě, že žádáte souhlas se zpracováním osobních údajů, je třeba uvést také, za jakým účelem budete tyto údaje zpracovávat. Platí, že účel:
- Je třeba popsat srozumitelně = ne právním jazykem.
- Musí být jednoznačný = ne obecný.
Příklady účelu:
- Údaje sbíráme pro zaslání e-booku do vaší e-mailové schránky.
- Údaje sbíráme pro vyřízení vaší poptávky.
- Údaje sbíráme, abychom vám mohli posílat upozornění na nové produkty v nabídce.
- Údaje sbíráme pro vystavení daňového dokladu.
A jak dlouho mohu údaje zpracovávat?
Poskytovatele osobních údajů (návštěvníky webu či e-shopu) musíte informovat o tom, po jakou dobu budete jejich údaje uchovávat. Tuto dobu GDPR stanovuje velmi obecně jako dobu přiměřenou.
Jak s touto dobou naložit? Ve skutečnosti to je na vás a záleží, co si obhájíte. Tato doba by tedy měla dávat smysl. Zamyslete se proto, po jakou dobu dané osobní údaje ke zpracovávání podle konkrétního účelu a právního titulu potřebujete.
Příklady doby:
- Poptávky z webu vyřizuji obvykle do 3 měsíců, ale už se mi stalo, že to bylo měsíců 6. Dobu si stanovím pro jistotu na 12 měsíců.
- Údaje z objednávky pro daňovou povinnost musím uchovávat po dobu stanovenou zákonem.
Údaje získané souhlasem k zasílání newsletteru budu uchovávat do doby odvolání tohoto souhlasu(úprava 16.54.2018 – GDPR neumožňuje stanovit nekonečnou dobu zpracování).- Údaje získané souhlasem k zasílání newsletteru budu uchovávat po dobu 5 let a pak si vyžádám nový souhlas.
A co se stane po této době? Osobní údaje musíte smazat.
Co se dozvíte v příštím dílu?
Ve 3. dílu seriálu Jak na GDPR se podíváme, jak by měl vypadat souhlas se zpracováním osobních údajů, o čem musíte poskytovatele údajů informovat a jaké má práva. A také se dozvíte, zda od 25. května budou stále platit vaše současné souhlasy se zpracováním osobních údajů.
Upozornění na nové články do e-mailu?
Registrací dáváte souhlas se zpracováním vaší e-mailové adresy pro zasílání upozornění na nové články a termíny školení po dobu max. 5 let. Odhlásit se můžete kdykoliv jediným kliknutím v každém e-mailu.
Zpracovávám vaše osobní údaje. Jak údaje chráním »
Napsat komentář