Jak na GDPR (1): Co musíte vědět a znát

18. 4. 2018 | Online marketing, GDPR

[SERIÁL] Chcete vědět, jak se na svém webu a v online marketingu vypořádat s obecným nařízením o ochraně osobních údajů (GDPR)? V prvním dílu se společně podíváme na to, co prostě musíte vědět a znát.

Vysvětlovat, co znamená zkratka GDPR, jistě není třeba. Toto nařízení začne platit 25. května 2018 a vztahuje se na všechny, kdo sbírají, nebo zpracovávají osobní údaje. A pokud podnikáte, nebo máte svůj web, či se věnujete online marketingu, pak se vás týká 100%.

POZOR: GDPR nahradí současnou právní úpravu ochrany osobních údajů, tedy směrnici 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

GDPR udělá velký vítr především v oblasti online marketingu. Zde se toho na našem přístupu totiž mění opravdu hodně. Ale pěkně popořadě.

Opravdu víte, co to je osobní údaj?

Dle GDPR je osobním údajem cokoliv, co nám umožní identifikovat konkrétní osobu. Takže například jméno, e-mail, telefon, adresa bydliště, ale třeba také IP adresa počítače. Důležité ale je, aby nám umožnil identifikaci konkrétní osoby. Co to znamená?

Samotná e-mailová adresa zdaleka nemusí být osobní údaj. Pro příklad si vezměte tyto e-mailové adresy:

• Adresa martin.domes@seznam.cz není osobní údaj, protože Martinů Domesů může být na Seznamu mraky a nelze tedy identifikovat konkrétní osobu.
• Adresa martin.domes@mdwebdesign.cz – je osobní údaj, protože jste schopni identifikovat Martina Domese z MD webdesign.

POZNÁMKA: Pro zjednodušení nebudeme rozlišovat, zda je e-mailová adresa na freemailu (Seznam, Centrum, Gmail…), nebo na firemním e-mailu. Pro nás bude e-mail vždy osobní údaj.

Podobně to je se jménem. Pokud jej nespojíte s datem narození, adresou či konkrétní e-mailovou adresou, nemůžete identifikovat konkrétní osobu. Samotné jméno tedy nebude osobní údaj.

Mocný správce a pracovitý zpracovatel

Rozlišení mezi správcem a zpracovatelem je klíčové. Pokud se zatím neorientujete, tohle si dobře zapamatujte.

Správce osobních údajů

Správcem osobních údajů je dle GDPR kdokoliv, kdo sbírá osobní údaje. Čili, pokud na svém webu sbíráte jakýmkoli způsobem e-mailové adresy, jste správcem. Správce je plně zodpovědný za:

• Naplnění podmínek stanovených GDPR a právě na vás může přijít kontrola.
• Dokladování, jak zacházíte s osobními údaji.
• Bezpečné uložení údajů, ať už je ukládáte do svého počítače, e-mailu, nebo aplikace.
• Informování lidí, od nichž osobní údaje získává.

Správcem jste, pokud vlastníte web a máte na něm formuláře. Správcem jste, pokud sbíráte e-mailové adresy pro marketingové účely. Správcem jste také tehdy, pokud provozujete e-shop.

Pokud na svém webu využíváte měření Google Analytics a následně například remarketing v Adwords, pak je správcem údajů Google.

Zpracovatel osobních údajů

Správce může být zároveň i zpracovatel osobních údajů, ale nemusí. Zpracovatelem je ten, kdo s osobními údaji nějakým způsobem nakládá. Jste to vy, pokud vám chodí obsah formulářů z webu a odpovídáte na ně, řešíte objednávky či poptávky, odesíláte newslettery.

Zpracovatelem osobních údajů, jimiž jste správcem, ale může být například externí marketingová agentura. A pokud e-mailové adresy ukládáte do online aplikace, pak je tato aplikace jejím zpracovatelem, protože k nim má přístup.

V případě, že využíváte remarketing v Adwords, pak je zpracovatelem osobních údajů Google.

[

Vztah mezi správcem a zpracovatelem

Za to, jak se nakládá s osobními údaji, jimiž jste správcem, nesete jako správce plnou zodpovědnost i v případě, že je pro vás zpracovává někdo jiný. Zpracovatele si tedy pečlivě vybírejte.

Mezi správcem a zpracovatelem by měla být uzavřena zpracovatelská smlouva. V případě Google Analytics, Google Adwords, Seznam Sklik, či online aplikacemi pro hromadný marketing to je jednoduché. Tyto aplikace vám nabídnou (nebo již nabídli) možnost tuto smlouvu přijmout.

ČTĚTE TAKÉ článek Jak se s GDPR vypořádat v Google Analytics a Google Adwords.

Pokud využíváte pro zpracování objednávek či poptávek, nebo pro marketing externího markeťáka, nebo marketingovou agenturu, je třeba s nimi uzavřít zpracovatelskou smlouvu. Za její uzavření jste jako správce zodpovědní vy.

Zpracovatelská smlouva by měla především obsahovat:

• Identifikace správce a zpracovatele.
• Jaké údaje může zpracovatel zpracovávat a pro jaké konkrétní účely (čtěte 2. díl seriálu).
• Dohodu o mlčenlivosti a poučení o tom, že nebude údaje předávat třetí straně.

Správce má také právo kontrolovat zpracovatele, zda tuto smlouvu plní.

Co se dozvíte v dalším dílu?

Ve 2. dílu seriálu Jak na GDPR se například dozvíte, co to jsou právní tituly a účely zpracování a po jakou dobu můžete osobní údaje uchovávat. A podíváme se také na hodně probíraný souhlas se zpracováním osobních údajů, kdy ho je nutné získat a kdy nikoliv.

Čtěte další díl  »