GDPR (General Data Protection Regulation) je všeobecné nariadenie o ochrane osobných údajov, ktoré bolo prijaté v apríli 2016 a jeho účinnosť nastala 25. mája tohto roka. Cieľom GDPR je v rámci európskeho priestoru chrániť práva občanov EÚ pri zaobchádzaní s ich osobnými údajmi. Účinnosť všeobecného nariadenia o ochrane osobných údajov platí pre všetky krajiny EÚ, Island, Nórsko a Lichtenštajnsko. Čo prinieslo v praxi?

Jedným zo zámerov GDPR bolo zaistenie väčšej a jednotnej ochrany osobných údajov v rámci európskeho priestoru. Zjednodušene sa GDPR týka všetkých subjektov, teda firiem, inštitúcií, online služieb, ale aj jednotlivcov, ktorí spracúvajú osobné údaje Európanov.

Jednou z výrazných zmien, ktoré toto nariadenie prinieslo, je výška sankcií. Pred nadobudnutím účinnosti nariadenia boli sankcie za porušenie ochrany osobných údajov do 200-tisíc eur, teraz to môže byť až do 20 miliónov eur alebo štyri percentá z celkového korporátneho obratu.

Úrad na ochranu osobných údajov môže, ale nemusí uložiť tieto sankcie. K uloženiu vysokej pokuty úrad obvykle pristúpi v prípadoch, v ktorých došlo k veľmi závažnému porušeniu ochrany osobných údajov.

„V zmysle GDPR je úrad povinný ukladať pokuty (ak si ich zvolí ako prostriedok namiesto iných opatrení alebo popri nich) v závislosti od okolností každého jednotlivého prípadu tak, aby ukladané pokuty boli účinné, primerané a odrádzajúce,“ písal web Superfaktura.sk.

Aktuálne zmeny v GDPR zverejnil Úrad na ochranu osobných údajov na svojej webovej stránke v dokumente s názvom Hlavné zmeny v právnej úprave ochrany osobných údajov.

Prevádzkovateľ, sprostredkovateľ a ich zodpovednosť

Možno ste v rámci GDPR zachytili aj pojmy „správca“ a „spracovateľ“. Ide o pojmy prebrané zo susedného Česka. Naše zákony o ochrane osobných údajov používajú označenia „prevádzkovateľ“ (správca) a „sprostredkovateľ“ (spracovateľ).

Prevádzkovateľ, ako majiteľ osobných údajov, je zodpovedný za ich získavanie v súlade s nariadením a určuje účel ich spracúvania. Ďalej je zodpovedný za ich bezpečné uloženie, ochranu pred únikom, ich spracúvanie a ďalšie nakladanie s údajmi. Taktiež má povinnosť upraviť, vymazať alebo dodať informácie o nazbieraných údajoch na základe požiadavky danej osoby.

Sprostredkovateľ, ako ten, ktorý osobné údaje spracúva na základe dohody s prevádzkovateľom, musí zabezpečiť spracúvanie údajov podľa vopred určených podmienok v dohode, čo zahŕňa aj vyškolených špecialistov, ktorí budú s týmito údajmi nakladať. Sprostredkovateľ musí zaistiť, aby ani na jeho strane nedošlo k úniku alebo zneužitiu osobných údajov.

GDPR upravuje spracúvanie osobných údajov všetkým spoločnostiam, agentúram, živnostníkom, koncovým klientom, bez výnimky. Nariadenie prinieslo povinnosti, ktoré musia všetky podnikateľské subjekty dodržiavať.

Patrí k nim kompletná inventarizácia osobných údajov v databáze, uistenie sa, že osobné údaje nachádzajúce sa v databáze boli získané v súlade s GDPR a v prípade, že nie, treba podľa druhu osobných údajov a ich spracúvania získať súhlas na ich spracúvanie.

Povinnosťou je aj vymazať osobné údaje, na ktoré klient nemá právny základ, oprávnený záujem ani doložiteľný súhlas. Ďalej je potrebné určiť osobu, prípadne osoby, ktoré majú k osobným údajom prístup a znížilo sa tak riziko úniku osobných údajov. Veľmi dôležité je bezpečné uloženie osobných údajov (skrine v kancelárii, cloud,...) a spísať ako sú tieto úložiská zabezpečené. V súlade s

GDPR je potrebné mať aj všetky systémy, ktoré pri práci používame.

Zároveň platí povinnosť mať uzatvorené písomné zmluvy o spracovaní osobných údajov medzi prevádzkovateľom a sprostredkovateľmi, povinnosť informovať subjekty o spracovaní osobných údajov - upraviť papierové dokumentácie a/alebo webovú stránku a povinnosť zverejniť kontakt (e-mail, telefónne číslo) pre prípad, že by subjekt chcel kontaktovať prevádzkovateľa.

„Prevádzkovateľ a sprostredkovateľ sú povinní uzavrieť písomnú zmluvu, respektíve jej náležitosti obsiahnuť do inej zmluvy, pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov sprostredkovateľom,“ uvádza Úrad na ochranu osobných údajov na svojej webovej stránke.

Čo znamená GDPR pre agentúry

Agentúry musia postupovať rovnako ako všetci ostatní. Okrem toho musia zaistiť, aby reklamné systémy, ktoré sa v agentúre používajú (Adform, Crimtan, Criteo, Facebook, Google, RTB house, Sklik, a podobne) boli v súlade s GDPR a mohli ich tak využívať.

V prípade, že reklamné systémy nie sú v súlade s GDPR a ani sa nenachádzajú v databáze Privacy shieldu, je potrebné prejsť na taký systém, ktorý požiadavky spĺňa.

V praxi vyvstáva v súvislosti s GDPR niekoľko otázok. Častá je napríklad, či možno vyžadovať súhlas preventívne. Rozhodne nie je správny postup „keď nevieme ako to má byť, dáme tam pre istotu checkbox so súhlasom so spracovaním osobných údajov“. Pri prípadnej kontrole by podobný argument neobstál.

Firma musí vedieť, na akom právnom základe môže spracúvať osobné údaje svojich zákazníkov. Prípadne, či ide o jej oprávnený záujem. A až v prípade, že nejde ani o jedno z toho, je treba vyžadovať súhlas. Zrozumiteľne túto tému spracovali do infografiky v advokátskej kancelárii eLegal.

Čo ak nechce klient podpísať zmluvu o spracovaní údajov

K tejto situácii dochádza najčastejšie z dvoch dôvodov. Prvým je nevedomosť – klienti častokrát nevedia, že aj keď agentúra spracúva osobné údaje jeho zákazníkov, prevádzkovateľom údajov je aj naďalej klient. Klient zodpovedá za zbieranie týchto údajov a určenie účelu ich spracovania.

Po druhé, osobné údaje poskytované agentúre, nie sú zozbierané v súlade s GDPR. Klient preto nechce, aby sa zodpovednosť za osobné údaje oficiálne pripísala jemu. S druhým prípadom sme sa v praxi ešte nestretli, obvykle stačí vysvetliť zodpovednosti. Ak by ani po vysvetlení klient nechcel podpísať zmluvu a v rámci marketingu sa bude pracovať aj s osobnými údajmi, neodporúča sa s takýmto klientom spolupracovať. Konkrétne vypísanie náležitostí v zmluve uverejnil na svojej webstránke Úrad na ochranu osobných údajov.

Ako GDPR ovplyvnilo B2B marketingovú komunikáciu

S platnosťou nariadenia sa objavilo aj mnoho nezodpovedaných otázok v B2B komunikácii, na ktoré už v súčasnosti aj vďaka Úradu na ochranu osobných údajov poznáme odpovede.

1. e-mailing. Ak chcete kontaktovať firmu z dôvodu nadviazania spolupráce a našli ste kontakt na konkrétnu osobu priamo na webe spoločnosti, môžete tak spraviť. Odporúča sa ale držať niekoľkých pravidiel.

Prvým je neposielať hromadný e-mail. Z vášho e-mailu musí byť jasné, že je určený danej osobe a neoslovujete tým istým predpripraveným e-mailom ďalšie firmy s rovnakým zameraním.

Pozor si treba dať aj na to, aby ste neukladali kontakt do databázy bez súhlasu. Aj keď dostanete prístup ku všeobecným kontaktom z verejne prístupných zdrojov (obvykle webová stránka danej spoločnosti), nedáva vám to právo zaradiť tento kontakt do databázy na odosielanie newslettra.

Ak píšete e-mail na kontaktnú osobu firmy, tak túto osobu pridajte do databázy, až keď vám napíše, že má o zaradenie záujem. V prípade všeobecných kontaktných e-mailov nejde nevyhnutne o osobný údaj, ale vstupuje do toho aj ochrana elektronickej komunikácie.

2. vizitky. Nemusíte ich zahodiť do koša. Dávajte si, ale pozor, čo s nimi robíte bez ohľadu na to, kde ste sa k vizitke dostali. Zaevidovať si kontakt z vizitky je váš oprávnený záujem. Poslať danej osobe newsletter, ale nemôžete bez jej súhlasu.

3. cold calling. Volanie na „studené kontakty“ patrí k najcitlivejším záležitostiam a práve na nevyžiadané telefonáty chodí najviac sťažností. Odporúča sa postupovať rovnako ako v prípade zasielania e-mailov. A teda vybrať si konkrétne firmy podľa zamerania, aby ich produkt, ktorý ponúkame, zaujal.

Zamestnanci musia byť informovaní

Asi najviac opomínanou témou pri GDPR sú zamestnanci. Súčasťou pracovnej zmluvy je obvykle informácia o spracovaní osobných údajov za účelom plnenia zmluvy. Na marketingové aktivity sa, ale často zabúda, a tak zamestnancovi často krátko po nástupe do novej práce pristane na e-maile žiadosť o poskytnutie informácií o sebe spolu s fotografiami.

Tieto údaje sú použité najmä na interné účely. Fotografia sa pridá do interného systému alebo sa použije ako súčasť noviniek, čo sa deje vo firme. Ak však firma chce použiť fotografiu zamestnanca za účelom propagácie na svojom webe alebo firemných profiloch na sociálnych sieťach, potrebuje k tomu súhlas zamestnanca.

Súhlas musí byť dobrovoľný, čo je v prvých dňoch až týždňoch v novom zamestnaní diskutabilné. „Pri vzťahoch so zamestnancami je dôležité nezabúdať, že v súvislosti s plnením pracovných povinností je zamestnávateľ oprávnený poskytovať osobné údaje svojho zamestnanca alebo zverejniť jeho osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa. Takéto poskytovanie osobných údajov alebo zverejnenie osobných údajov však nesmie narušiť vážnosť, dôstojnosť a bezpečnosť zamestnanca,“ dopĺňa advokátsky koncipient Roman Hromádka.

Autorka je Data Privacy Representative v agentúre Performics