Dne 30. 11. 2017 Byznys
GDPR – tato čtyři písmena v současnosti budí ze spaní nejednoho markeťáka, právníka nebo majitele firmy. My ovšem věříme, že klidný spánek je pro zdraví každého člověka nezbytný. Proto jsme se rozhodli rozptýlit obavy a nejasnosti panující kolem GDPR v naší sérii blogových článků. V první části naší série si společně projdeme základní pojmy a skutečnosti týkající se nařízení GDPR.
GDPR (zkratka pro General Data Protection Regulation, česky pak Obecné nařízení o ochraně osobních údajů) je nařízení EU, které upravuje ochranu osobních údajů. Bylo přijato už v dubnu 2016, ale v účinnost vstoupí 25. 5. 2018. Týká se všech firem, které shromažďují osobní údaje o zaměstnancích, klientech či dodavatelích, a to bez ohledu na jejich velikost.
I ta nejmenší firma proto bude muset razantním způsobem změnit přístup ke zpracování osobních údajů, jinak jí hrozí sankce ve výši až 20 milionů EUR, nebo 4 % celoročního obratu firmy (vždy platí ta částka, která je vyšší). Proklamovaným cílem tohoto nařízení je hájit práva občanů, zamezit neoprávněnému zacházení s jejich daty, ale také jim poskytnout přehled a kontrolu nad tím, co se s těmito daty děje.
V první řadě je potřeba ujasnit si, co všechno je podle GDPR osobní údaj. A definice je více než jasná: je to jakákoliv informace, která identifikuje konkrétní osobu. To zahrnuje obecné osobní údaje, jako jsou:
• jméno
• adresa
• rodné číslo
• IČ, DIČ
• telefonní číslo, e-mail
• fotka, video
• … ale také IP adresa nebo soubory cookies
Nejsou cookies jako cookies. Soubory cookies už totiž spadají pod definici osobních údajů.
Zdroj: Wikimedia.org
Další kategorií jsou citlivé osobní údaje. Ty zahrnují náboženské vyznání, rasový původ, zdravotní stav nebo sexuální orientaci. Zde musíte být obzvlášť na pozoru, protože zpracování citlivých osobních údajů podle GDPR podléhá daleko přísnějšímu režimu, než je tomu u obecných osobních údajů.
S ohledem na povinnosti, závazky a odpovědnost vyplývající z GDPR je pro vás důležité i rozlišení rolí subjektu, správce a zpracovatele údajů:
• Subjekt údajů je konkrétní fyzická osoba, která poskytuje svoje osobní údaje ke zpracování.
• Správce je zadavatel, který určuje rozsah i účel získávaných dat. V této roli figurují majitelé webů a e-shopů, ale také třeba všichni zaměstnavatelé.
• Zpracovatel pouze plní zadání na základě zpracovatelské smlouvy se správcem, která jasně stanoví rozsah sběru dat, pozici správce a zpracovatele i zodpovědnost za případné sankce. Roli zpracovatele většinou zastává digitální agentura.
• Podstatné je, že všechny činnosti se musejí vždy odehrávat na základě smlouvy o zpracování údajů. V ní musí být jasně definován rozsah povinností a práv správce i zpracovatele údajů. Smlouva také ošetří podíl zodpovědnosti obou stran za případné právní sankce.
Je ovšem důležité zmínit, že jedna společnost může zastávat obě zmíněné role. Například my jako digitální agentura jsme zpracovatelé údajů pro naše klienty, zároveň jsme ale také správci svého vlastního webu a interních údajů.
Ke všem výše uvedeným faktům a pojmům se vrátíme v příštím díle naší série o GDPR, ve kterém se zaměříme na konkrétní úskalí, se kterými se nejspíš při implementaci požadavků tohoto evropského nařízení setkáte.
A pokud máte nějaký dotaz týkající se online marketingu či problematiky GDPR v této oblasti, ozvěte se. Poradíme vám.