Jak na (ne)prokleté GDPR aneb nenechte se vystrašit (1/4)

12. 4. 2018 Nezařazené

GDPR. Při vyslovení těchto čtyř písmen leckomu naskočí husí kůže nebo rovnou pomýšlí na to, že by si dal něco ostřejšího. Je to ale skutečně takový strašák? U nás přece už 18 let platí zákon č. 101/2000 Sb., o ochraně osobních údajů, tak proč je teď kolem tématu takové haló? Co se změnilo? A co konkrétně dělat, abyste měli vše v pořádku? Zjistili jsme to za vás a přinášíme krátký seriál o tom, jak s GDPR naložit. Podíváme se na základní termíny a poté na konkrétní marketingové nástroje.
Zúčastnili jsme se konference pořádané eLegal s názvem „GDPR v marketingu“. Jak GDPR ovlivní život marketérů si přišlo poslechnout okolo tří set osob. Na konferenci vystupovali speakeři jako jsou Petra Dolejšová, Honza Bartoš, Anna Sálová, Mário Roženský, Jakub Čižmař a další. Mluvilo se o obsahové strategii, PPC, Facebooku, Affiliate a zákaznické péči, e-mailingu, analytice atd.
GDPR má celosvětový dopad a musí ho aktivně řešit giganti jako je Google nebo Facebook. Případné sankce za ignorování GDPR jsou likvidační (20 000 000 EUR nebo až do 4 % celkového ročního obratu společnosti – jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších). A to už je pořádná pálka. Proto má více než kdy dříve stěžejní roli důkazní břemeno, že jste pro ochranu osobních údajů udělali maximum.
Myslete na to, že se jednotlivými případy budou zabývat lidé, kteří nejsou odborníci na vše. Lze tudíž předpokládat, že je primárně bude zajímat, zda jste udělali vše proto, abyste chránili osobní údaje, které zpracováváte. Navíc v určitých oblastech nyní ani právníci nevědí, co se bude dít, jak s GDPR vyložit atd. Prevence je tím nejlepším, co můžete udělat.

Osobní údaje, správce, zpracovatel, smlouva

Na začátku je nutné si ujasnit, co všechno jsou osobní údaje. Jedná se o: specifikované jméno (samotné jméno a příjmení je v pohodě), tel. čísla, emailové adresy, IP adresu (číslo, které jednoznačně identifikuje síťové rozhraní v počítačové síti, která používá IP protokol), cookies, fotky, IČO (je přiřaditelné k určité osobě). Dokonce i má ruka na fotce s hodinkami, na kterých je vidět škrábanec na sklíčku, už je osobní údaj.
K jejich zpracování dochází manuálně, systémově nebo zcela automatizovaně. Někdy si vlastně ani nemusíme uvědomovat, že osobní údaje zpracováváme.
Je nezbytné si i ujasnit, kdo je správce a kdo zpracovatel. Správcemá odpovědnost za vše, zatímco zpracovatel„jen“ nesmí porušovat GDPR, případně musí upozornit, že k jeho porušení může skrze určité zadání dojít. Proto je potřeba zapracovat písemnou zpracovatelskou smlouvu(pokud jste o ni ještě nikdy neslyšeli, tak její absence je to už nyní přestupek), kterou lze naleznout v nastavení účtu nástroje, který používáte.

GDPR a Content, copywriting, tiskovky, blogy, průzkumy, newslettery, soutěže

Obsahovou strategii (content, copywriting) by šlo shrnout pod heslo „Zajistěte sisouhlas, souhlas, souhlas a zase souhlas“. Zásadní je rozdělení rolí. Správce jste vy. Agentura či copywriter jsou jen zpracovateli, takže odpovědnost jde vždy za vámi. To správce určí, jaká data se mají sbírat a k jakému účelu. Stěžejní je nastavení spolupráce, znalost GDPR a povinnost zpracovatelů upozornit na případné nelegální jednání. Vzájemné vztahy je také potřeba ošetřit zpracovatelskou smlouvou.
Hned na začátku se identifikujte agentura jako zpracovatel a klient jako správce. „Správce určuje účel zpracování osobních údajů, poskytuje na jejich zpracování finanční prostředky a zpracovatel pro správce předané osobní údaje zpracovává v souladu s právními předpisy.“Určí se, co bude smlouva ošetřovat a na jak dlouho. Patří sem kategorie osobních údajů, způsob předávání, délka zpracování a co se bude dít s údaji po ukončení spolupráce. Nesmí se opomenout uvést účel, proč potřebujete osobní údaje, a co všechno správce nebo zprostředkovatel může nebo dokonce musí dělat.
Pokračování příště