Otázky a odpovědi

Jak jsi mohu být jistý, že je moje firma v souladu s GDPR?

Doporučujeme následovat rady advokáta, který poskytuje právní poradenství na svou odpovědnost a je ze zákona pojištěn. Pozor na nejrůznější “certifikované služby” a poradce, kteří nemají status advokáta. Ti obvykle nejsou oprávněni právní poradenství poskytovat.

Jsem malý/střední podnikatel. Jak mám k novému nařízení GDPR přistupovat?

Pravidla ohledně ochrany osobních údajů platí na úrovni celé EU a to jak pro malé, tak pro velké podniky. Záleží především na rozsahu a jakým způsobem dochází ke zpracování osobních údajů. Důležité také je, jak rizikové zpracování je. Některé povinnosti se vztahují pouze na správce, kteří provádějí rizikové zpracování osobních údajů.
K věci je dobré přistoupit pragmaticky a nechat si alespoň v minimálním rozsahu poradit advokátem, navštívit školení nebo si nechat zpracovat vzorovou dokumentaci. Prevence bývá levnější než akutní zásah.

Jaký je rozdíl mezi souhlasem “se zpracováním osobních údajů” a souhlasem “se zasíláním obchodního sdělení”?

Obchodní sdělení je možné zasílat podle stávající právní úpravy (zákon č. 480/2004 Sb.) pouze s aktivním svolením adresáta (souhlas s využitím elektronického kontaktu k rozesílání obchodních sdělení) nebo v případě, že se jedná o zákazníka. Svým zákazníkům je možné posílat obchodní sdělení pouze k propagaci svých obdobných výrobků a služeb. Zasílání obchodních sdělení tedy upravuje jiná právní norma než GDPR, přičemž v budoucnu to bude diskutované nařízení ePrivacy.

Na souhlas se zpracováním osobních údajů by tedy měl navazovat také na souhlas se zasíláním obchodních sdělení. Může docházet k situacím, kdy osoba sice souhlasí s tím, že bude zpracováván například její e-mail k jednorázovému zaslání e-booku, nebo k účasti v soutěži, avšak to neznamená, že je možné takto získaný kontakt bez dalšího dále zpracovávat (např. mít uložen v databázi po skočení soutěže) a užívat jej k zasílání obchodního sdělení.

Potřebuji od všech kontaktů v databázi “souhlas se zasíláním obchodního sdělení”?

Nepotřebuji. Nejprve stojí za to, zvážit, zda nemám jiný z nabízených právních titulů, na základě kterého mohu zpracovávat osobní údaje, které jsou obsahem databáze. Typicky, pokud se jedná o moje zákazníky, pak lze dále zpracovávat jejich osobní údaje, na základě právního titulu “oprávněný zájem” a tudíž další právní titul ke zpracování, tedy “souhlas”,  je nadbytečný. Obchodní sdělení však mohu této kategorii kontaktů (svým zákazníkům) posílat pouze s nabídkou obdobných výrobků a služeb.

Stále však musí být dodržen předpoklad, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu.

Musím získat nové souhlasy se “zasíláním obchodního sdělení” podle nových pravidel?

Ve zkratce, ne. Souhlas je jeden ze šesti zákonných titulů pro zpracování a je naprosto rovnocenný ostatním. Je potřeba se zamyslet nad tím, které osobní údaje zpracovávám na základě dříve uděleného souhlasu. Pokud takové osobní údaje zpracovávám a neexistuje jiný titul pro jejich zpracování (např. plnění smlouvy, oprávněný zájem), pak v této kategorii bude pravděpodobně nutné získat souhlas se zpracováním osobních údajů znovu, v souladu s požadavky GDPR. Pokud totiž souhlas udělený podle starých pravidel nevyhovuje GDPR (což bude většina případů, kdy je osobní údaj zpracováván na základě souhlasu), pozbudou takto udělené souhlasy s účinností GDPR platnost.

Tam, kde je možné zpracovávat na základě jiného právního titulu, by byl souhlas nadbytečný. Typicky na základě právního titulu “oprávněný zájem” pravděpodobně zpracováváte osobní údaje vašich zákazníků (i to má však svá specifika).

V případě, že se neobejdu bez souhlasu se zpracováním osobních údajů, jak by měl souhlas vypadat?

Souhlas není výhodný právní titul pro zpracování. Je snadno odvolatelný, současně obtížně získatelný a navíc není jednoduché jej prokázat.

Souhlas musí být svobodný, konkrétní, informovaný, jednoznačný a hlavně doložitelný, ideálně strukturovaný k jednotlivým účelům zpracování. To mj. znamená, že souhlas nesmí být součástí jiných ujednání a nikdy ne ve formě opt-out. Souhlas nesmí být podmínkou pro poskytnutí služby, je možné se ale pokusit pozitivně motivovat. GDPR jde tedy oproti stávající právní úpravě dál hlavně v tom, že souhlas musí být jednoznačný a musí být udělen aktivním činem účastníka.

Je potřeba, vést záznamy o tom, kdo souhlas udělil, kdy jej udělil, o čem všem byl subjekt údajů informován, případně zda a kdy byl souhlas odvolán.

Tam, kde je to vhodné bude souhlas potřeba udělit k různým operacím zvlášť - tzv. členěný souhlas. Subjekt údajů by měl mít možnost souhlasit s jednotlivými činnostmi, kterými budou osobní údaje zpracovávány.

Mohu využívat koupenou databázi k zasílání obchodních sdělení?

Je třeba rozlišovat mezi marketingem (zasílání poštovních zásilek, telemarketing) a službou informační společnosti (e-mail, sms). Prvně zmíněné formy marketingu lze vůči právnickým osobám provádět i bez souhlasu dotčených subjektů.

Obchodní sdělení je možné posílat svým zákazníkům k propagaci obdobných výrobků a služeb anebo na základě předchozího souhlasu adresáta (zák. č. 480/2004 Sb.). Využívat koupenou databázi k šíření obchodního sdělení e-mailem je ale problematické, neboť v takovém případě odesílatel není držitelem souhlasu ani jiného titulu opravňujícího ke zpracování a současně nesplňuje ani podmínky zákona č. 480/2004 Sb. Tím se šiřitel vystavuje mnoha rizikům, když jedním z nich je právě zahájení správního řízení před ÚOOÚ. Stručně, koupené databáze nedoporučujeme.

Mohu zpracovávat osobní údaje z veřejných rejstříků nebo z vizitek?

Obecně lze konstatovat, že údaje zveřejněné na internetu (např. rejstříky), jsou zveřejňovány za nějakým účelem. Může se jednat o splnění zákonné povinnosti nebo dobrovolné zveřejnění údajů k umožnění obchodního styku. Není možné bez dalšího tyto, jakkoli dobrovolně zveřejněné kontakty využívat za jinými účely, než za kterými byly zveřejněny. Pravděpodobně zde bude absentovat právní titul ke zpracování a bude se jednat o neoprávněné zpracování.

K emailingu. Osobní údaje ve veřejných rejstřících jsou zveřejňovány za jiným účelem než pro účely šíření obchodního sdělení. Obchodní sdělení je možné posílat svým zákazníkům k propagaci   obdobných výrobků a služeb anebo  na základě předchozího souhlasu adresáta (zák. č. 480/2004 Sb.). Jakkoli byl kontakt získán z veřejně dostupného seznamu, nejedná se ani o jednu ze dvou zákonem předvídaných kategorií. Kontakty z veřejně dostupného seznamu by tedy k rozesílání obchodního sdělení neměly být používány.

Co když mám v databázi kontaktů osobní údaje získané předáním vizitky?

Předání vizitky by mohlo být vnímáno jako udělení souhlasu ke zpracování osobních údajů. Účel zpracování se bude lišit podle situace, ve které k předání vizitky došlo (soutěž, nádoba u vstupu na akci či osobně na schůzce). Souhlas ke zpracování byl dán za určitým účelem a ten je potřeba dodržet - pravděpodobně účel obchodního styku. Není vyloučeno, že “souhlas” jakožto právní titul ke zpracování byl časem nahrazen jiným titulem, na základě kterého je možné dané osobní údaje zpracovávat - může jím být plnění smlouvy nebo oprávněný zájem.

Osobní údaje zpracovávané na základě uděleného souhlasu podle pravidel GDPR pravděpodobně neobstojí a databázi takto získaných kontaktů bude nutné revidovat. Nad to, v okamžiku sběru osobních údajů vzniká informační povinnost vůči osobě, jejíž údaje budou dále zpracovávány, což v okamžiku předání vizitky může být komplikované.

Jak je to s trackováním uživatele na webu?

Zákazníky je možné rozdělovat do segmentů třeba podle toho, co u vás rádi nakupují. I při této činnosti jsou sbírány osobní údaje, pomocí nichž lze vytvořit profil sledované osoby (profilování). Pokud chcete monitorovat pohyb konkrétního zákazníka na webu tzv. zákazníka trackovat a na základě toho později poslat e-mail s personalizovaným obsahem, je většinou potřeba získat za tím účelem souhlas.

Není pravdou, že každé profilování si žádá souhlas profilované osoby. Zejména tam, kde je možné použít jako právní titul ke zpracování “oprávněný zájem” správce. Kdy je souhlas potřeba a kdy by byl naopak nadbytečný je potřeba posoudit v ad hoc situaci, ovšem lze připustit, že základní profilování a segmenatce dle transakční historie zákazníka by mohlo být prováděno bez souhlasu (právní titul oprávněný zájem). Souhlas je bezpodmínečně nutný tam, kde jsou předmětem zpracování citlivé údaje nebo tam, kde se činí rozhodnutí automatizovaně právě na základě profilování.

Je konec s remarketingem/retargetingem?

GDPR stojí na zásadě odpovědnosti. To znamená, že správce je odpovědný za to, jakým způsobem zpracovává osobní údaje a současně musí být schopen prokázat, že tak činí v souladu s GDPR. V mnoha oblastech remarketingu se toto jeví jako přinejmenším nesnadný úkol.

Správce není zodpovědný za způsob, jakým ostatní společnosti jako Google nebo Facebook  spravují svěřená data. Nicméně je plně v jeho kompetenci a na jeho odpovědnost jaké nástroje používá a musí o tom uživatele řádně informovat, někde bude potřeba i souhlas uživatele. Typicky půjde o používání sledovacích souborů cookies na webových stránkách. Do budoucna by měl mít návštěvník webu právo na výběr, zda a do jaké míry bude sledován. V této otázce je potřeba vzít na vědomí také připravované nařízení ePrivacy.

Co je potřeba, abych mohl zákazníka kontaktovat pomocí SMS?

Také SMS bude s nejvyšší pravděpodobností považována za obchodní sdělení ve smyslu zákona o informační společnosti. Tedy různé slevy, akce, připomínky, ale i přání k narozeninám nebo svátkům. V takovém případě je nutné splnit požadavky zákona, aby odesílatel buď disponoval souhlasem adresáta nebo se jednalo o stávajícího zákazníka.

Regulace této formy obchodního sdělení bude spadat do působnosti nařízení ePrivacy. Účinnost ePrivacy je plánována pravděpodobně na rok 2020. Do té doby platí stávající stav (zákon č.480/2004 Sb.).

Ve vztahu k GDPR platí, že telefonický kontakt je nutné považovat za osobní údaj a tímto způsobem s ním také zacházet. Typicky je telefonní číslo zpracováváno za účelem lepší komunikace s dopravcem, jakmile je zboží doručeno, tento titul již postrádá platnost. Ve většině případů pak bude možné dál zpracovávat telefonní číslo na základě právního titulu oprávněný zájem. O tom je však potřeba zákazníka řádně informovat ve smyslu splnění informační povinnosti čl. 13 GDPR.

Jaké sankce mi skutečně hrozí?

GDPR upravuje nepříznivé následky, které hrozí správci i zpracovateli. Jedná se o správní pokuty a dále je ponechána možnost členským státům, aby stanovili další sankce.

Správní pokuty mohou být uloženy až do výše 20 mil. EUR nebo do výše 4% celosvětového ročního obratu, podle toho, která hodnota bude vyšší. Pokuta může být skutečně vysoká, takže správci i zpracovatelé by měli zvážit, kterými činnostmi zpracovávají osobní údaje a tyto provádět pouze v souladu s GDPR. Ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující.

Nad rámec sankcí (veřejnoprávní odpovědnost) je potřeba zmínit také odpovědnost za způsobenou újmu, kterou bude potřeba rovněž uhradit, pokud bude protiprávním jednáním způsobena.

Potřebuji ve firmě DPO neboli pověřence pro ochranu osobních údajů?

Ustanovit pověřence na ochranu osobních údajů se zdaleka netýká všech, kteří zpracovávají osobní údaje. Povinnost pověřence jmenovat nastává ve třech případech, pokud:

- zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Za jiných okolností správce ani zpracovatel DPO jmenovat nemusí, není však vyloučeno ustanovit takovou funkci dobrovolně.
Jedná se o odborníka, který dohlíží na soulad zpracování osobních údajů s povinnostmi vyplývajícími z GDPR. Pověřenec má na starosti celou agendu ochrany osobních údajů. Může se jednat o zaměstnance, advokáta nebo jinou externí osobu, důležité je, aby tato osoba disponovala dostatečnými odbornými znalostmi. V každé společnosti je pak na zvážení, jaká profese bude nejvhodnější (právník, IT specialista).   
Nenašli jste, co jste potřebovali? Nejčastější dotazy k GDPR dle ÚOOÚ.
© 2018 ECOMAIL.CZ, s.r.o.