5. díl: Jak na GDPR a práva zákazníků

Data o zákaznících jsou „zlato“ každé firmy. GDPR posunuje pravidla shromažďování osobních údajů na novou úroveň. Staví spotřebitele, tedy zákazníky, do role správce svých osobních údajů, klade důraz na důležitost ochrany dat, vynucuje si přísnější pravidla soukromí dat a posiluje požadavky na udělování souhlasu s jejich používáním. Poradíme vám, jak se v tom správně zorientovat.

Magnifying glass and stack of documents.

Přečtěte si další články z našeho seriálu o GDPR.

GDPR považuje za osobní údaje jakékoliv informace o identifikovaném nebo identifikovatelném subjektu. Jinými slovy, jde o jakákoliv data, která buď sama o sobě identifikují fyzickou osobu (např. jméno či rodné číslo), nebo jsou k takovým údajům připojeny (např. datum narození).

Nařízení rozlišuje dva typy osobních údajů, u nichž jsou kladeny různé nároky na jejich správce.

  • Obecné osobní údaje – takové údaje, které nemohou dotyčného za žádných okolností nijak poškodit: jméno, věk, datum narození, pohlaví, osobní stav, číslo OP, číslo pasu, fotografický záznam, kontaktní osobní a pracovní adresa, e-mail, telefonní číslo, IP adresa aj.
  • Citlivé osobní údaje – takové údaje, které osobu mohou poškodit ve společnosti: údaje o politických názorech, náboženském vyznání, etnickém a rasovém původu, sexuální orientaci, trestní minulosti, zdravotním stavu, biometrické a genetické informace aj.

Na anonymizovaná data se GDPR nevztahuje, nepleťte si je ale s pseudoanonymizovanými
Anonymizovaná data jsou taková, která nelze žádným způsobem přiřadit ke konkrétním osobám. Příkladem je například anonymní formulář, ve kterém zjišťujete zákaznické preference. Na taková data se GDPR nevztahuje. Pokud tedy máte možnost s určitými daty pracovat, aniž by zahrnovala osobní údaje, můžete si ušetřit starosti.
Další variantou je tzv. pseudoanonymizace dat, kdy údaje, jež přímo neidentifikují dotyčnou osobu, oddělíte od identifikátorů. Hodit se to může například tehdy, jestliže využíváte třetí stranu k analýze trendů mezi vašimi zákazníky, nechcete ovšem nastavovat složité smluvní vztahy plynoucí z GDPR, když této straně můžete svěřit pouze anonymizovanou část databáze. S konkrétními osobami takové údaje opět propojíte pomocí klíče.

Pro naprostý soulad vašeho nastavení vztahů a smluv se zákazníky s GDPR je potřeba splnit následujícíkroky:

  • Analýza veškerých zpracovávaných dat a subjektů.
  • Nastavení procesů a bezpečnostně-technických opatření pro zpracování dat.
  • Správné naformulování žádostí o souhlas sveškerými náležitostmi.
  • Získání souhlasu od zákazníků a odstranění dat všech, kteří jej neposkytnou.
  • Získání souhlasu pro zasílání marketingových sdělení, pokud je rozesíláte.

Marketingová sdělení bez souhlasu pouze omezeně
Obecně platí, že využívat poskytnuté kontaktní údaje k zasílání marketingových sdělení je možné pouze se souhlasem zákazníka. Za určitých okolností jej ovšem potřebovat nebudete. Pokud využijete e-mailovou adresu či telefon poskytnutý zákazníkem při objednávce k tomu, abyste mu zaslali obchodní sdělení přímo související s produktem či službou, kterou zakoupil, GDPR s tím nemá problém. Nezapomeňte ale, že souhlas se zpracováváním osobních údajů daného zákazníka stále potřebujete.

Prodáváte-li mobilní telefony a nabídnete zákazníkovi v obchodním sdělení novější model nebo ochranné pouzdro, jeho souhlas k tomu nepotřebujete. Pokud byste mu ovšem bez souhlasu nabídli zájezd nebo půjčku, problém už to je. V případě, že marketingová sdělení budete zasílat, musí mít také zákazník jednoduchou možnost jejich příjem odhlásit, aniž by tím byl oproti jiným zákazníkům jakkoliv znevýhodněn.

Chcete-li nabízet více marketingových sdělení, budete tedy potřebovat zvláštní souhlas. Ten musí být projevem svobodné vůle osoby, která jej vyjadřuje, dále musí být jednoznačný, konkrétní, oddělitelný a informovaný. Jinými slovy, nesmíte jej zamaskovat jako součást obchodních podmínek, musí v něm být jasně vymezeno, jaké produkty a služby budete v nabídkách propagovat a po jakou dobu. V mnoha případech postačí pouze doplnit zaškrtávací políčko „Souhlasím se zasíláním marketingových sdělení…“, nesmí ovšem být zaškrtnuté předem.

Zákazník také musí vědět, jestli souhlas uděluje pouze dané firmě, nebo mu obchodní sdělení budou chodit i od jiných subjektů, chybět by nemělo také poučení o základních právech.

Podoba souhlasu je v podstatě dána
Tím hlavním souhlasem, který budete potřebovat, je ovšem stále ten na zpracování osobních údajů. Jeho náležitosti jsou velmi podobné – musí být projevem svobodné vůle, konkrétní, srozumitelný, oddělitelný a informovaný. Zákazník by z něj měl mít jasno v tom, jaká konkrétní data budou zpracovávána, za jakým účelem a jestli budou dále někomu poskytována. Pokud budou osobní údaje předmětem automatizovaného rozhodování či profilování, tedy například využívány softwarem, který monitoruje zákazníkův pohyb po stránce a následně mu dle toho přizpůsobuje nabídku, musí o tom být uživatel informován.

Důležitý je i požadavek na oddělitelnost. Souhlas musí být viditelně oddělen od jakýchkoliv jiných dokumentů, například obchodních podmínek. Není také možné podmiňovat využití služby poskytnutím souhlasu, můžete za něj ale zákazníkům nabídnout drobný dárek. Z hlediska srozumitelnosti by žádost o souhlas měla být formulována tak, aby byla pro vaše zákazníky srozumitelná. Bude-li složen ze složitých právnických formulací, nemusí být posléze uznán platným.

U obecných údajů může mít samotný projev souhlasu jednoduchou podobu, například zaškrtávacího políčka či gesta před kamerou. Při zpracování citlivých údajů ovšem GDPR vyžaduje tzv. výslovný souhlas. U něj musí být zřejmé, že souhlas výslovně poskytla dotyčná osoba. Může mít například podobu naskenovaného formuláře s podpisem, elektronického podpisu nebo potvrzovacího e-mailu a SMS zprávy.

Správce dat musí být vždy schopen doložit souhlas osoby se zpracováváním jejích údajů. Proto by vždy žádost měla obsahovat časové ohraničení, které nebude nepřiměřeně dlouhé, a čas od času by souhlas měl být obnovován. Dbejte také na to, abyste neuchovávali i data takových osob, u nichž již souhlas neplatí.

Nová práva zákazníků
Nezapomeňte, že součástí žádosti o souhlas je také informování zákazníka o jeho právech. Mezi ně patří odvolání souhlasu, a to i před uplynutím určité doby, na kterou mohl být sjednán. Zákazník k tomu přitom nepotřebuje poskytnout žádný důvod, odvolání také nesmí být nijak zpoplatněno ani podmíněno. Dalším právem je právo na přístup, kdy zákazník může vždy zažádat o přehled zpracovávaných údajů a účelů. Právo na přenositelnost dává zákazníkům možnost zažádat o strojově čitelný balík všech nasbíraných údajů a právo na výmaz umožňuje po firmě žádat odstranění veškerých údajů s danou osobou souvisejících.

Uchovávání údajů a jejich odstranění
K osobním údajům by vždy měly mít přístup pouze oprávněné osoby, jakékoliv narušení bezpečnosti je nutné hlásit Úřadu pro ochranu osobních údajů. U papírové podoby je potřeba mít dobře zabezpečenou kartotéku či sejf, elektronická podoba zase vyžaduje úložiště přístupná pouze s patřičným oprávněním, tedy například zabezpečená heslem. Vyplatí se nechat data šifrovat, povolané osoby jej poté mohou rozšifrovat pomocí unikátního klíče. V případě, že zanikne souhlas se zpracováním či je uplatněno právo na výmaz, musí být uložená data nenávratně zničena. U papírových je proto nutné je skartovat či jinak znečitelnit, elektronická data pochopitelně stačí pouze trvale odstranit.

Příští měsíc se zaměříme na provoz firemních vozů v souladu s nařízením GDPR.
Chcete více chytrých rad pro své podnikání a užitečné nástroje? Sledujte náš web průběžně, ať jste pořád o krok napřed před konkurencí.