Nové nařízení najdete v kompletním znění zde. Zkuste také výbornou stránku od Úřadu pro ochranu osobních údajů.
Také vás rovnou upozorníme, že nejsme právníci, byť s nimi na případě GDPR úzce spolupracujeme. Články o GDPR jsou hlavně praktické a psány selským rozumem. Víme to, ale chtěli jsme, abyste celou problematiku dobře pochopili.
Velmi často můžete narazit na různé výklady. Bohužel některé definice v nařízení jsou poněkud vágní a nepřesné. V takovém případě se obraťte přímo na úřad a na rovinu se zeptejte, jak to vidí oni. Ostatně případné sankce by vám přidělil právě kontrolní úřad.
Klíčem je především nakládat s údaji transparentně a tak, aby si uživatelé uvědomili, že osobní údaje by si měli chránit. Jenomže přes veškerou snahu nakládání s vlastními údaji bereme na lehkou váhu. Proto nově povinnost chránit data mají správci. Je to možná trochu nefér, ale berte to z pohledu subjektu údajů, třeba své 16 leté dcery.
Tím se dostáváme k terminologii. Bez znalosti těchto termínů se neobejdete.
Osobní údaj
Je jakýkoli údaj, pomocí kterého lze učit konkrétní osobu. Podle nařízení musíte vzít v potaz veškeré možnosti, které lze legálně využít. Pokud můžete legálně získat doplňující informace, které vedou k určení konkrétní osoby, je daný údaj osobní údaj.
Například telefonní číslo: mobil sám o sobě vám nic neřekne, že? Ale číslo si můžete vygooglit a Google bude nejspíš jméno majitele znát.
Tedy osobní údaj je fotografie, jméno a příjmení, datum narození, číslo, e-mailová adresa, IP adresa a celá řada dalších dat. V mužském kolektivu pracovníků je osobní údaj i pohlaví obzvláště, pokud jste jediná žena ve firmě.
Citlivý údaj
Nově se této skupině údajů říká zvláštní kategorie osobních údajů. Jedná se o informace jako je vaše náboženské vyznání, rasa, zdravotní stav a tak dále. Jsou to údaje, které neurčují vás jako osobu, ale jsou pro vás důležité a někdo by je mohl zneužít proti vám, typicky vaše vyznání, zdravotní stav, vaše politické názory a podobně.
Subjekt údajů
Subjekt je každá fyzická osoba, která vám o sobě údaje sděluje. Třeba vaše výše zmíněná dcera, která Facebooku svěřuje osobní a často i citlivé údaje.
Veškerá ochrana se týká pouze fyzických osob. Firmy jaksi osobní údaje nemají. Zato na vaše zaměstnance se GDPR vztahuje za všech okolností.
Správce
Správce je firma, které své údaje sdělujete. Správce je vždy odpovědný za splnění všech podmínek dle GDPR. A pozor: je také odpovědný za chování zpracovatelů.
Zpracovatel
Je třetí strana, která vám s údaji pomáhá. Například agentura, která vám dělá PPC, ale i mailingový nástroj, který používáte. Zpracovatel musí respektovat vaše bezpečností standardy, proto byste s ním měli mít smlouvu – to GDPR považuje za standard.
Přísnější podmínky se vztahují na citlivé údaje a na údaje dětí. Do kolika let potřebujete souhlas rodičů, budou určovat národní zákony, rozmezí je 13-16 let. V ČR je tato hranice prozatím stanovena na 15 let.
Jak vnímají GDPR zákazníci
Podle výzkumu britské agentury Hubspot si 81 % zákazníků myslí, že nařízení je dobré.
Zákazníci se mnohem více, než kdy dřív zajímají o to, co se s jejich daty děje. 91 % chce, aby firmy byly naprosto transparentní, ale jen 52 % chce vidět personalizovaný obsah. Zvažte podobný průzkum mezi vašimi zákazníky. Možná zjistíte, že upřímnost a jednoduchost je pro ně důležitější než slevy na míru.
Co se přesně změní?
Pokud postupujete v souladu se zákony, tak vlastně nic moc. Malá a střední firma se na GDPR připravit v řádu několika dní. Zdroje informací a různé manuály najdete online. Korporace to mají těžší, ale ty mají také armádu právníků.
Na co se musíte připravit?
Nemá smysl ptát se, jestli se vás GDPR týká – pokud jste někdy vystavili fakturu, máte zaměstnance, posíláte newsletter, máte na webu formulář, tak se vás samozřejmě týká. Ptejte se, jak přesně se vás týká.
Detailní manuál najdete v dalším článku. Prozatím si ověřte teoretické znalosti v testu zde