Mluví o tom všichni, ale nikdo pořádně neví, o co přesně vlastně jde: Obecné nařízení o ochraně osobních údajů v EU (angl. General Data Protection Regulation, neboli GDPR) způsobuje zmatek uvnitř i vně Evropské unie. Čteté dál a dozvíte se, jak GDPR ovlivní vás jako vlastníka podniku, start-up nebo podnikatele na volné noze – a co o něm potřebujete vědět.
Nejdříve dobrá zpráva: co se týče jeho obsahu, není vlastně nový zákon zas až tak nový. Jediné, co se podstatně změnilo, jsou sankce za jeho nerespektování. A špatná zpráva? Pokud je váš malý podnik podobný ostatním, velmi pravděpodobně byste měli jednat. Rychle. Ale vezmeme to pěkně od začátku.
Respektování ochrany dat
„Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem.“
Tak začíná NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které vyšlo v platnost v roce 2016 a (po dvou úpravách) se začalo používat 25.5.2018. To je skvělé z pohledu spotřebitele – protože máme všichni kontrolu nad svými daty. Pro podnikatele ale znamenají osobní data důležitý vhled do vývoje trhu a efektivní, personalizované propagace. Mohou taky stát za úspěchem vašeho podnikání. Musíte se bez nich teď zcela obejít? Odpověď je jasná: Ano i ne.
Osobní data a jejich použití v souladu s GDPR
GDPR je skvělé z pohledu spotřebitele – protože máme všichni kontrolu nad svými daty. (foto od: gpointstudio | stock.adobe.com)
Samozřejmě není ani do budoucna zakázáno sbírat osobní data – ale pouze v případě, že jsou vaši zákazníci z EU (což zahrnuje i každého, kdo navštíví váš web) plně informování i tom, co s jejich daty budete dělat. Co je uloženo, kde a na jak dlouho? Pokud používáte osobní data za účelem marketingu, musíte mít aktivní souhlas vašich uživatelů. A pokud jim chcete odesílat newsletter, adresy musí být ověřitelně schválené k použitá. Jak na to? Čtěte dál.
Jak pracovat s GDPR
GDPR v podstatě ovlivňuje všechny společnosti mimo EU, které nabízí služby či produkty soukromým osobám v EU, jako například Švýcarsko. Jedná se tedy o velkou část digitální ekonomie. Od jednotlivých podniků po velké korporace, komerční či nekomerční, ať už si návštěvník webu něco koupí, nebo ne: jakmile někdo z Evropské unie navštíví váš web, vstupuje v platnost GDPR.
-
krok: Kontrola ochrany dat
Jakmile někdo z Evropské unie navštíví váš web, vstupuje v platnost GDPR. (foto od: Redpixel | stock.adobe.com)
„Nejprve doporučuji provést kotrolu ochrany dat: Jaké způsoby zpracovávání dat používá vaše společnost, jak a kým jsou data ukládána,“ radí Paul-Lukas Good, expert na ochranu dat v Good&Parner Rechtsanwälte ve Švýcarsku. Uchováváte adresy lokálně ve Excelové tabulce ve vašem počátači, používáte na zákaznické adresy Rolodex, nebo pracujete na cloudu? Projděte si postupy vaší společnosti krok za krokem a poznamenejte si, jaká data jsou spírána i kde jsou uložena.
-
krok: Informujte své „subjekty údajů“
„Potom je třeba informovat o zpracovávání dat – v podmínkách ochrany soukromí na webu či v aplikaci, nebo pomocí náležitých informací v papírové smlouvě,“ pokračuje v radách Paul-Lukas Good. Podle Článku 13 (str. 42) GDPR je vaší povinností poskytnout informace „v případě, že osobní údaje jsou získány od subjektu údajů“. Kromě dalších věcí muset uvést následující:
- totožnost a kontaktní údaje zprávce a jeho případného zástupce
- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování
- případné příjemce či kategorie příjemců osobních údajů
- dobu, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria, pro určení této doby
Navíc musíte subjekty informovat o jejich právech a poskytnout jim možnost informací, oprav, vymazání či zákazu zpracování dat ve všech případech. Rozhodně nejde o jednoduchý úkol, obzvlášť pokud pracujete s plug-iny třetí strany.
-
krok: Zkontrolujte cookies, pluginy a nástroje
„Dokonce i u facebookového tlačítka ,To se mi líbí‘ se musíte sami sebe ptát, jestli bude takové zpracovávání osobních dat stále povoleno,“ varuje Good „protože se vlastně jedná o přímé propojení vašeho webu a Facebooku.“ Podle již zmíněného Článku 13 byste museli vysvětlovat, co přesně dělá Facebook s daty uživatelů – a dokud tyto informace od Facebooku nemůžete získat, nemůžete pracovat v úplné shodě s novými nařízeními. Nástroje jako např. Google Analytics nabízí možnost úpravy či anonymizace použití dat podle potřeby – „i když zůstává diskutabilní, nakolik anonymizována data doopravdy jsou,“ uvádí Good.
Dokud nemůžete získat dostatek informací od zajišťovatelů služeb třetí strany, nemůžete pracovat v úplné shodě s novými nařízeními. (foto od: Matthew Henry | Unsplash)
Ve většině případů jsou cesty dat zaznamenávány pomocí cookies – a tím pádem je potřeba vyžádání souhlasu s jejich použitím. Nástroj jako je např. Cookie Bot vám ukáže, jak to ideálně zařídit: Detailní výklad, který umožní uživateli odmítnout sběr dat pro preference a statistiky – a aktivně si vybrat použití pro komerční účely. Protože jakmile přijde na marketing, je možné aplikovat pouze princip schválení. Jestli někdo takové pole zaškrtne a co to znamená pro budoucnost personalizovaného marketingu, to se teprve ukáže.
-
krok: Vytvářejte newsletter s dvěma možnostmi
Sběr dat je jedna věc, ale jejich použití pro komerční účely je věc zcela jiná. Zda můžete použít e-mailovou adresu z vaší databáze pro odesílání komerčních newletterů, to závisí na tom, jestli jste ověřitelně obdrželi souhlas uživatele. Ve většině případů znamenají „dvě možnosti“ to, že uživatel potvrdí svou e-mailovou adresu pomocí registračního odkazu, který obdrží potom, co se zaregistroval k odběru newsletteru. Tento postup platí nejen pro nové registrace, ale pro celý váš existující seznam adres – a bohužel není způsob, jak se tomu vyhnout.
GDPR mimo EU
Vzhledem k množství digitálních podniků po celém světě bude mít GDPR globální následky. Jako uživatel MoneyPenny například ukládáte fakturační údaje vašeho zákazníka ve vašem MoneyPenny účtu v cloudu – který je ve skutečnosti umístěný na bezpečných serverech ve Švýcarsku. Nejlepší způsob, jak zjistit, co to pro vás znamená, je navštívit naši vlastní stránku věnovanou ochraně dat. „Skvělé na GDPR je propojení zákona a technologie: nestačí vytvořit právně dokonalé obecné podmínky použití – jejich realizace musí být také zajištěna,“ dodává Good.
My v MoneyPenny věříme v ochranu osobních dat našich klientů a starali jsme se o ni od úplného začátku. A proto budete mít vždy nad vašimi daty kontrolu – a zároveň využívat výhod všestranné aplikace v cloudu.
Moment, cože? Ještě nejste uživatel MoneyPenny? Tak to vyzkoušejte! Zdarma a bez jakýchkoliv závazků. A ano: pracujeme zcela v souladu s GDPR.
