Kdy můžete údaje zpracovat?
Osobní údaje fyzických osob můžete zpracovat pouze z následujících důvodů:
- jestliže je zpracování nezbytné pro splnění právní povinnosti AITOMu;
- například ukládání faktur nebo pracovních smluv zaměstnanců
- jestliže je zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je daný subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
- například zpracování nutné pro vyřízení objednávky z e-shopu
- pro účely oprávněných zájmů;
- Oprávněný zájem není přesně definovaný. Spadá do něj například přímý marketing (i ten elektronický), velmi pravděpodobně také připomenutí opuštěného košíku nebo rozesílání tiskových zpráv. Pokud váháte, zda nějaký zájem je oprávněný nebo ne, proveďte si balanční test. Vzor najdete zde.
- Oprávněný zájem není přesně definovaný. Spadá do něj například přímý marketing (i ten elektronický), velmi pravděpodobně také připomenutí opuštěného košíku nebo rozesílání tiskových zpráv. Pokud váháte, zda nějaký zájem je oprávněný nebo ne, proveďte si balanční test. Vzor najdete zde.
- pro ochranu životně důležitých zájmů daného subjektu údajů nebo jiné fyzické osoby;
- jestliže je zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu;
- se souhlasem dotčených subjektů údajů.
Jak má vypadat platný souhlas
Souhlas musí být svobodný, konkrétní, informovaný, jednoznačný a ničím nepodmíněný. Je to aktivní a dobrovolný projev vůle. Souhlas musí být správce schopen doložit. Nemusí být ale nutně písemný, doložit můžete i ústní souhlas (máte-li svědky, nahrávku a podobně). Souhlas se vždy vztahuje k určitému účelu zpracování, který musí subjekt údajů znát.
Firma nesmí podmínit používání aplikace souhlasem (typický praxe u e-booků nebo v případě různých kalkulaček). Souhlas nepoužívejte v případech, kdy lze předpokládat, že subjekt podstatu souhlasu nechápe – tedy v případě dětí, seniorů nebo osob sníženou rozhodovací schopností.
V rámci souhlasu musí uživatel zjistit tyto informace:
- Komu data poskytuje (tedy identifikace vaší firmy)
- Jaké údaje o něm shromažďujete
- Účel zpracování
- Jak dlouho budete údaje zpracovávat
- Zda údaje předáte dalším zpracovatelům a kdo tito zpracované jsou a zda údaje budete předávat mimo EU
- Jak lze vzít souhlas zpět
- Jaká práva uživatel má
Jak být připraven?
Kokr 1: proveďte si interní audit
Abyste věděli, co musíte napravit nebo poladit, musíte vědět, jaká data a kde zpracováváte. Takže si pěkně ukliďte v datech. Nepotřebujete drahé právníky a dny plné analýz (pokud nejste korporace).
Využijte tento dotazník od Sdružení pro internetový rozvoj. Výstupem bude úplně obyčejná tabulka v Excelu, která mapuje, jaké údaje shromažďujete. Vzor takové tabulky najdete zde.
GDPR nařizuje Posouzení vlivu na ochranu osobních údajů. To ale musí zpracovat jen firmy, které zpracovávají citlivé údaje nebo které „systematicky a rozsáhle vyhodnocují osobní aspekty týkajících se fyzických osob, paklikže je toto vyhodnocení založené na automatizovaném zpracování (včetně profilování)“. To se v praxi týká málokoho.
Pokud posouzení vlivu musíte provádět, máte pravděpodobně také povinnost mít tzv. pověřence pro ochranu osobních údajů (v angličtině Data Protection Officer), ten se pak stará o dodržování veškeré legislativy. Více o tom, co musí pověřenec splnit.
Krok 2: analyzujte rizika
Analýza rizik vám přidá do interního auditu pár sloupců. Budete se ptát, jak velké riziko představuje konkrétní osobní údaj pro subjekt.
Například riziko při zpracovávání e-mailové adresy je malé. Uživatele případný únik nijak zásadně nepoškodí. Ale únik osobního údaje ve formě citlivé fotografie, už může subjekt zdiskreditovat. Podle toho byste měli volit bezpečnostní prvky. Případně zvážit, zda rizika nejsou příliš velká, pak je moudřejší daný údaj vůbec nezpracovávat. Praktický klíč opět nabízí Sdružení pro internetový rozvoj.
Krok 3: zkontrolujte web a marketing
V tuto chvíli bystě měli vědět, kdy a kde sbíráte osobní údaje. Zkontrolujte, zda uživatel v každé chvíli ví, jakým způsobem se bude nakládat s jeho osobními údaji.
Poptávkové formuláře, přihlášení k newsletterům a další formuláře doplňte o odkaz na kompletní znění souhlasu. Vzor souhlasu najdete zde. Přihlášení k newsletteru můžete vypadat například takto. A je zcela v pořádku.
Všimněte si, že ve formulář není checkbox. Ne vždy je checkbox nutný. Chceckboxy jsou programátorsky trochu náročnější, uvažte, zda je opravdu musíte použít.
Jak na zpracování osobních údajů v e-shopu?
V případě e-shopu můžete mít některé informace o zpracování osobních údajů přímo v obchodních podmínkách. Informujte v nich uživatele, jak naložíte s jeho adresou (stejně jako mu říkáte, jak rychle vyřídíte jeho reklamaci), můžete jej také informovat o svých oprávněných zájmech.
Pokud ale chcete údaje využít pro jiný účel, než je vyřízení objednávky, musíte mít speciální souhlas, který bude mimo obchodních podmínky.
Krok 4: zamyslete se nad cookies
Cookies mohou být osobní údaj. Bez souhlas můžete zpracovávat jen cookies analytické, nebo ty, které jsou nezbytné pro správnou funkci stránek.
Marketingové cookies pro cílení reklamy či personalizaci můžete zpracovat jen se souhlasem. Ten získáte v rámci cookie lišty. Cookies bude v budoucnu upravovat nařízení ePrivacy, to ale ještě není platné.
Krok 5: připravte se na nové povinnosti
Čekají vás nové povinnosti, naplánujte postup, jak je budete řešit. Zejména musíte:
- Vést záznamy o zpracování
K tomu poslouží interní audit a analýza rizik z úvodu. - Zajistit zabezpečení
Tištěné dokumenty dejte pod zámek. Na webu si nasaďte šifrovací protokol HTTPS. Elektronické dokumenty můžete zašifrovat, chránit hesly a podobně. Obecně využívejte jen prověřené služby. - Hlásit narušení bezpečnosti
Za narušení se považuje, pokud se vám někdo vloupá do kanceláře a vypáčí zamčenou skříňku s dokumenty, prolomí přístupy na server nebo ukradne zařízení, na kterém jsou osobní údaje.
Musíte únik hlásit jak Úřadu pro ochranu osobních údajů, tak subjektům. A to ideálně do 72 hodin, od zjištění incidentu. Samozřejmě máte také povinnost minimalizovat škody.
Pozor: Pokud můžete doložit, že je nepravděpodobné, že by dané porušení zabezpečení mělo za následek riziko pro práva a svobody fyzických osob, hlásit nic nemusíte. Například pokud můžete prokázat, že data byla perfektně zašifrovaná. - Vést záznamy o narušení zabezpečení
Jakmile dojte k incidentu, poznamenejte si, co se stalo a jak jste to řešili. Postačí opět jediná tabulka. Evidovat musíte i incidenty, které jste nehlásili (viz bod výše). - Umožnit přístup k údajům
Ideálně by přístup měl být online. - Reagovat na požadavek subjektu údajů
Uživatel po vás má právo chtít aktualizaci či výmaz údajů. Na reakci máte vždy 30 dní. Přesto si nastavte interní mechanismus, abyste věděli, kdo je za agendu zodpovědný. - Zajistit výmaz údajů
A to jak z elektronických úložišť, tak všechny tištěné a zálohované kopie. - Na pořádání přenést údaje ve strojově čitelné podobě
Vaše nástroje musí být schopné připravit export údajů.
Časté marketingové dotazy
Co dát na všechno souhlas? Pro jistotu?
To nejde, mátli byste uživatele. Souhlas musíte vyžadovat jen tam, kdy nemáte jiný důvod, proč údaje zpracovat.
Musím mít checkbox na všechno?
GDPR říká, že souhlas musí být jasná akce – a to vyplnění emailu a kliknutí nepochybně je. Checkbox použijte ve chvíli, kdy chcete mít jistotu, že si uživatel znění přečetl. Nutný je v případě, že má formulář více možností – například pokud chcete v e-shopu spolu s objednávkou nabídnout rovnou registraci.
Naše právní kancelář nám také doporučila dát checkbox do e-shopu, pokud v jiné fázi objednávky uživatel vyplňuje osobní údaje a v jiné máte znění souhlasu a obchodních podmínek.
Například e-shop Labeloo: údaje (jako je jméno a adresa) vyplňujete ve třetím kroku objednávky, ale celý souhlas máte až v pátém, než objednávku definitivně potvrdíte.
Kdy musím použít double opt-in?
Double opt-in je postup, kdy si ověříte totožnost subjektu údajů zasláním potvrzovacího odkazu například e-mailem. Běžně se využívá v emailingu. Povinný dle GDPR nebude, ale rozhodně bychom jej doporučili. Mimo jiné se tak bráníte e-mailům, které by vám jen kazili kvalitu databáze.
Jak dlouho mohu data zpracovávat?
V zásadě tak dlouho, jak vám subjekt dovolí. Doba zpracovávání by měla být přiměřená účelu. Udělit souhlas se zasíláním newsletteru na 100 let není přiměřené. Často se doporučuje doba do 5 let. Můžete ovšem před uplynutím doby souhlasu, vždy požádat uživatele pro prodloužení nebo nový souhlas.
Jak mohu nakládat s vizitkou?
Za souhlas se považuje jakýkoli projev svobodné vůle – tedy i předání vizitky na obchodním jednání. Pamatujte si, ale že správcem vizitky, je firma, která vás zaměstnává. Pokud dostanete vizitku od obchodního partnera, můžete ji využít v rámci jednání o vašich službách nebo ji předat komukoliv v interním týmu. Nicméně nemůže na e-mail na vizitce zaslat jinou obchodní nabídku.
V případě AITOMu s vámi můžeme jednat o webu, ale v žádném případě vám nemůžeme na služební email zaslat například nabídku našeho partnerského e-shopu.
Mohu předat kontakt na svého dodavatele?
Doporučení bude fungovat dál. Dejme tomu, že znáte vynikajícího instalatéra a máte jeho vizitku, kterou vám dal během poslední zakázky. Tuto vizitku můžete předat sousedce, která také shání spolehlivého řemeslníka i bez výslovného souhlasu. Jednáte totiž v jeho zájmu. Lze předpokládat, že se jedná o pracovní kontakt a nové zakázky ocení. Nemůžete ale předat soukromé telefonní číslo.
Mohu využívat reference?
Obecně se zveřejněním reference musíte mít souhlas, v referenci je totiž osobní údaj. V případě Facebooku je správcem údajů Facebook a za souhlas zodpovídá Facebook.
Řešením je také údaj anonymizovat. Například místo podpisu Tereza Malkusová, AITOM, podepíšete referenci Tereza z Prahy. Pokud nebude u reference fotografie nebo jiný identifikační údaje, nebudete muset referenci řešit.
Musím vymazat všechny databáze?
Ne, pokud jste kontakt získali v souladu s GDPR (například vám uživatel dal souhlas dřív nebo se jedná o vaše zákazníky), pak uživatele pouze informujte o nových podmínkách. Pokud ovšem jste kontakt v souladu s GDPR nezískali, pak si teprve musíte vyžádat svolení znovu.