E-mail marketing, strategie, analýza, design, automatizace ...
Infolinka: +420 277 775 868 Poradíme zdarma

E-mailing Blog

Odebírat články přes RSS

GDPR 1. díl – informace v kostce

31.07.2017

Kvapem se to blíží. Ani ne za rok vstoupí v platnost obecné nařízení Evropské unie GDPR, které přinese zcela nová práva a povinnosti v kontextu ochrany osobních údajů, a tím zase trochu víc rozvíří vlny e-mail marketingu. My ve VIVmailu se již pilně připravujeme, pořádáme snídaně GDPRlive s cílem předat praktické rady a zkušenosti, a teď k tomu ještě přidáme nekonečnou sérii blogů, které si berou za cíl vám poskytnou průvodce touto problematikou, samozřejmě ve vztahu k e-mail marketingu.

Každý takový správný průvodce začíná obecnými informacemi, a pak se stále více a více zaměřuje na jednotlivé konkrétní otázky. My tuto tradici nehodláme porušit. Abychom si rozuměli správně: naší motivací není vás hned v prvním díle zahltit nekonečným množstvím nesrozumitelných definic a postupů, ale seznámit s tématem z trochu větší perspektivy a předat vám nezbytný background, který bude potřeba, jakmile půjdeme až na kost GDPR v oblasti našeho oboru. Tak tedy díl první, odpovědi na tři zásadní otázky: co, proč a jak?

 

GDPR: co to je a proč tu je?

GDPR (General Data Protection Regulation) je dosud nejvíce ucelený soubor pravidel na ochranu dat na světě. De facto se dotkne každého, kdo shromažďuje, nebo zpracovává osobní údaje Evropanů. Bankovní instituce, veřejná správa, e-shopy a mnoho dalších subjektů bude muset, byť třeba jen částečně, upravit procesy zpracování osobních údajů.

V tento moment je na místě si ujasnit hlavní role v celém vztahu. Správce může být jakýkoliv subjekt, kterému jsou poskytnuty osobní údaje. Stal se tedy jejich vlastníkem. A ten může nadále tyto data poskytnou zpracovatelům, tedy třetí straně, která s nimi nějakým způsobem nakládá (například rozesílá e-maily).

Toto obecné nařízení vejde v platnost 25. 5. 2018 a v Česku nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů, který pak bude upravovat jen některé dílčí aspekty. Je podstatné zdůraznit pojem nařízení: tato nová pravidla mají jednotnou platnost ve všech státech EU. Jinými slovy, národní vlády a zákonodárci nemohou pravidla jakkoliv ohýbat.

Zrození nové legislativy na ochranu osobních údajů je v této progresivní době nutností, momentálně platné zákony totiž vznikaly v době, kdy neexistovaly sociální sítě či cloudová úložiště. Paradoxně bude i GDPR za technologickým pokrokem částečně zaostávat, nepočítá například s big data analýzou, internetem věcí (IoT) či praxí, kdy si zaměstnanci nosí do práce vlastní počítač.

GDPR také přichází s rozšířením definice osobních údajů. Obecně se jedná o vše vztahující se k fyzické osobě a základní fakta jako jméno, pohlaví, věk nebo datum narození jsou nyní doplněny o technické údaje, například e-mail, IP adresu, cookie či telefonní číslo. Asi není nutné dvakrát zdůrazňovat, že osobní data tvoří důležitou část naší identity, a tím se pro téměř každý subjekt stávají žádaným zbožím, s kterým se nejednou nakládá neetickými způsoby. Nastavení rovnováhy mezi právy a povinnostmi je tak logickým východiskem.

 

 

GDPR: jaká přinese práva a povinnosti?

Z pohledu občana nařízení výrazně posiluje jeho práva. Pojďme se nyní blíže podívat na ty relevantní pro nás:

Právo na přístup

Každý bude mít právo být informován o účelu zpracování jeho osobních údajů, znát období, po které budou data uschovaná, znát příjemce těchto informací a možné důsledky při komerčním zpracování. Samozřejmě v mezích práv ostatních. V kontextu obchodního tajemství, duševního vlastnictví, nebo autorského práva mohou být poskytnuty jen určité informace.

Právo na opravu

Pokud některá data nesouhlasí s realitou, vzniká logické právo požádat správce o jejich změnu. Ten by pak měl vytvořit takové podmínky, aby opravy mohly probíhat online.

Právo na výmaz

Občan získává zcela nové právo být bez zbytečných odkladů nenávratně smazán z databáze, a to při splnění jedné z následujících podmínek:

  • osobní údaje již nejsou potřebné pro původní účel shromáždění,

  • občan odvolá souhlas (pokud neexistuje právní důvod pro další zpracování),

  • zpracování proběhlo protiprávně,

  • neexistuje rodičovský souhlas,

  • a nebo je udělena povinnost státem či Evropskou unií.

Právo být zapomenut

Jedná se o rozšířené právo na výmaz, které vede k odstranění veškerých odkazů na osobní údaje žadatele a jejich kopie.

Právo na omezení zpracování

Občan definuje, které jeho údaje může správce využívat a které ne

Právo na přenositelnost údajů

Spočívá v povinnosti správce předat nositeli údajů všechny informace ve strukturovaném, běžně používaném a strojově čitelném formátu. Například za účelem předání dat jinému správci.

Právo vznést námitku

V případě, kdy konkrétní osoba nemá možnost uplatnit právo na výmaz, GDPR umožňuje alespoň uplatnit právo vznést námitku, a tím donutit společnost k omezenému zpracování dotyčných údajů.

 

Ruku v ruce s právy občanů ovšem vznikají i povinnosti na straně správců a zpracovatelů. Často představují nemalé finanční, technické a časové investice. Toto téma je pro nás alfou a omegou a budeme se mu podrobněji věnovat v dalších dílech. Pojďme si teď alespoň v krátkosti představit technická, procesní a organizační opatření, která GDPR zavádí:

DPIA (Data Protection Impact Assessment) - posouzení vlivu na ochranu osobních údajů

Povinnost posouzení vlivu na ochranu osobních údajů bude naprostou novinkou a dotkne se i společností, které poskytují online služby založené na lokalizačních datech nebo cílené behaviorální reklamě. Půjde o posouzení konkrétní pravděpodobnosti a závažnosti rizik a stanovení opatření, záruk a mechanismů pro jejich eliminaci.

Implementace záměrné a nezbytné ochrany dat

Správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku. GDPR obsahuje následující výčet příkladů: včasná obnova dostupnosti v případě technických problémů, pravidelné testování, šifrování, neustálá důvěrnost, integrita a odolnost systémů a v neposlední řadě pseudonymizace.

 

 

Pseudonymizace

Jedná se o zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

Vedení záznamů o činnostech zpracování

Záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele, včetně jména DPO (informace níže),

  • účely zpracování,

  • popis kategorií subjektů údajů a kategorií osobních údajů,

  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny,

  • informace o mezinárodním předávání osobních údajů,

  • lhůty pro výmaz jednotlivých kategorií údajů

  • a popis technických a organizačních opatření.

Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit.

DPO čili Pověřenec pro ochranu osobních údajů

Základním pilířem prokazování souladu s GDPR bude jmenování tzv. pověřené osoby pro ochranu osobních údajů neboli DPO (Data Protection Officer). Jeho hlavním úkolem bude:

  • monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení,

  • provádění interních auditů,

  • školení pracovníků

  • a řízení agendy interní ochrany dat.

Pravidelné a systematické monitorování zahrnuje všechny formy sledování a profitování na internetu, i pro účely behaviorální reklamy. Spadá sem tedy i cílení reklamy pomocí e-mailu.

Povinnost oznámit neoprávněný přístup k osobním datům

Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

 

GDPR: jaké hrozí sankce?

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí subjektům vysoké pokuty. Stejné měřítko platí pro společnosti se třemi zaměstnanci jako pro velké mezinárodní korporace. GDPR zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20 000 000,- EUR nebo 4 % z celkového ročního obratu společnosti (vyšší z těchto možností) a bude záviset na řadě faktorů: povaha, závažnost a délka porušování, počet poškozených občanů, míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením atd. Samozřejmě také nelze opomenout případné žaloby fyzických osob nárokujících si náhradu škody nebo poškození reputace společností.

 

Co dodat na závěr?

Ať už jste majitel, ředitel, právník, bezpečnostní technik, IT specialista či markeťák, nemělo by vás téma GDPR nechat zcela chladným. Jak by řekl klasik: není čas ztrácet čas. Stojí před námi výzva v podobně komplexního úkolu dostat naše mechanismy zpracování osobních údajů do souladu s tímto nařízením a jen samotná analýza situace a implementace potřebných opatření může zabrat měsíce. A i to bude tématem dalšího dílu: jak GDPR správně uchopit a kde začít.

Lukáš Balek za tým VIVmail.cz.

 

 

Použitá literatura:

BROŽ, Jan. GDPR 1. díl – Na e-shopy se řítí GDPR. Co to vlastně je? [online]. Eshop-rychle.

PATÁK, Tomáš. Obecné nařízení o ochraně osobních údajů v otázkách a odpovědích. [online]. Úřad pro ochranu osobních údajů.

ŠKORNIČKOVÁ, Eva. Co je GDPR?. [online]. GDPR.

ZACHAT, Matej. 46 otázek a odpovědí ke GDPR. [online]. Safetica.