Dátum 25. máj 2018 už pekných pár mesiacov koluje internetom a striedavo vytvára vrásky a udivené grimasy všetkým podnikateľom, účtovníkom, marketérom či prevádzkarom e-shopov. V tento deň má totiž natvrdo vstúpiť do platnosti bruselské GDPR nariadenie (General Data Protection Regulation), po našom Všeobecné nariadenie o ochrane osobných údajov.
Keď formality nestačia
Do styku s ochranou osobných údajov prišiel v podstate každý, kto niekedy pričuchol k podnikaniu, a nielen tomu onlinovému. Či robíte donášku pizze alebo predávate reality, vždy k tomu potrebujete aspoň nejaký osobný údaj zákazníka či klienta. Meno, adresu, telefonický a e-mailový kontakt. Hoci doteraz legislatívne postačoval bezpečnostný projekt, od mája už to nebude platiť. EÚ sa snaží odstraňovať málo funkčné formality a zavádza praktické procesy.
Čo je osobný údaj a prečo ho treba chrániť
Smernice o tom, kde a na aký účel takéto citlivé údaje možno použiť, sú nepochybne potrebné. Najmä v dnešnej dobe, keď sa dá ukradnúť a zneužiť takmer všetko. Európska únia si preto povedala, že tieto smernice treba urobiť záväznými a celoplošne platnými a ich nedodržiavanie chce sankcionovať vysokými pokutami. Chcete aj naďalej svojim zákazníkom posielať informácie o nových produktoch a službách? Chcete udržiavať povedomie klientov o vás a vašej firme inak ako billboardmi pri ceste? Zbystrite pozornosť, GDPR sa týka aj vás.
Takže, čo to vlastne ten osobný údaj je? Podľa EÚ je to každý údaj, na základe ktorého je možné identifikovať konkrétnu fyzickú osobu. Meno a priezvisko sú jasné. Čo ale taký e-mail, v online prostredí snáď najčastejšie využívaný údaj? Adresa v znení info@firma.sk neukazuje na nikoho konkrétneho. Adresa janko.mrkvicka@gmail.com už áno, preto je tento kontakt osobným údajom.
GDPR po novom považuje za osobné údaje aj IP adresu a súbory cookies. Opäť však platí uvedené pravidlo – IP používaná viacerými používateľmi osobným údajom nie je, IP počítača v domácnosti však už áno. Podľa niektorých vyjadrení môže byť osobným údajom aj facebookový post… Zdajú sa vám takéto definície pomerne vágne a nejednoznačné? Radšej si zvyknite.
Osobný údaj sám o sebe vám ešte starosti robiť nemusí. Problém nastáva pri ich spracúvaní. Typický príklad – zákazník nakúpi vo vašom e-shope a vy si odložíte jeho e-mail do databázy kvôli marketingovým účelom. Spracúvate osobný údaj, teda máte povinnosti. Zákazníkovi musíte oznámiť, aké údaje a za akým účelom chcete do databázy uložiť, a vyžiadať si jeho súhlas, aby ste to mohli urobiť. Pre marketérov zatiaľ žiadna novinka.
Pozor, súhlas nepotrebujete, ak osobné údaje spracovávate, pretože vám to prikazuje iný zákon alebo zmluva. Napríklad aj tá kúpno-predajná. V nej však marketingové účely spomenuté byť nesmú, takže aj tak pre svoj MailChimp či SendGrid potrebujete špeciálny súhlas. A nie, zaškrtnutý checkbox nad odosielacím buttonom či prosté nereagovanie na zaslaný unsubscribe link sa za takýto súhlas nepovažuje.
Netlačte na používateľa
Podľa GDPR musí byť súhlas konkrétny, slobodný, informovaný a jednoznačný a vy ako podnikateľ musíte vedieť v ktorejkoľvek chvíli dokázať, že vám ho klient poskytol. Pre e-mail marketingové aktivity je jediným riešením tejto smernice tzv. double opt-in metóda, teda verifikačný e-mail s odkazom na potvrdenie. Podmienka dobrovoľnosti zasa odbúrava častú prax, keď napríklad bez udelenia súhlasu nie je možné dokončiť nákup v e-shope.
V poriadku, mám databázu e-mailov, aj keď neboli získané úplne v súlade s týmito pravidlami. Čo teraz? pýtate sa. Ak boli vaše kontakty získané vďaka nákupu či zmluve s klientom, budete musieť každý jeden kontakt znovu osloviť a získať nový súhlas v intenciách GDPR. Ak ste však kontakty zbierali nezákonným spôsobom, alebo ste dokonca žiadny súhlas nepožadovali, tieto kontakty nesmiete použiť ani na obnovenie či opakované vyžiadanie súhlasu. Riskujete mastnú pokutu.
Ako sa poškriabať za uchom
Aby sme to s GDPR nemali úplne jednoduché, prináša nám aj niekoľko noviniek. Pokiaľ sú vašimi zákazníkmi aj maloletí do veku 16 rokov, na spracovanie ich osobných údajov potrebujete súhlas rodiča. Bohužiaľ, toto nariadenie inak ako odkliknutím tlačidla zrejme splniť nepôjde.
Samozrejmosťou je tzv. “právo na zabudnutie”. Na klientovu žiadosť ste povinný zmazať akúkoľvek stopu po jeho osobných údajoch vo vašich úložiskách.
GDPR tiež zavádza povinnosť na žiadosť dotknutej osoby jednoducho a v dostupnom formáte preniesť osobné údaje od jedného poskytovateľa služieb k druhému. O uvedení tohto pravidla do praxe sa dá uvažovať iba s určitým sebazaprením. Predstavte si, že vám príde od klienta mail, aby ste jeho meno, priezvisko a email vyexportovali do CVS-ka a poslali konkurencii. Zdá sa, že EÚ sa skutočne rada škriabe za uchom opačnou rukou. Hrabľami.
Iba nevyhnutná zákonná úroveň
GDPR obmedzuje spracovávanie osobných údajov iba na nevyhnutnú zákonnú úroveň. Síce asi máloktorý podnikateľ ukladá do databázy farbu očí a typ účesu klienta, samozrejme, úplne vylúčiť sa to nedá. Hlavným motívom, ktorý prináša GDPR, je celková zmena vnímania ochrany osobných údajov. Zodpovednosť sa prenáša na firmy. Kým doteraz bolo dôkazné bremeno na poškodenom jednotlivcovi a prípadne na regulačnom úrade (u nás Úrad na ochranu osobných údajov), po novom je to spracovávateľ, a teda vaša firma, kto musí ukázať a dokázať, že osobné údaje nezneužil, neposkytol, atď. Vy a vaša firma sú tí, kto musí preukázať, že procesy z GDPR boli zapracované a nedošlo k nijakej internej chybe.
V princípe táto zmena prináša pozitívum pre bežného konzumenta. Ako však firma predíde naštvanému náhodnému zákazníkovi, ktorý sa zle vyspal a rozhodol sa nielen ďalej neodoberať váš firemný newsletter, ale aj to vašej firme patrične vytmaviť, to už sa akosi v Bruseli nikto neopýtal.
Nestrácajte čas a údaje
Čo ak napriek všetkej snahe nakoniec dôjde k úniku údajov? Snažiť sa nájsť a zaplátať dieru nestačí. Od mája vstupuje do platnosti povinnosť nahlásiť každé narušenie ochrany príslušnému úradu (a pri závažnejších únikoch aj dotknutým osobám) do 72 hodín. Takáto aktivita sa vníma ako poľahčujúca okolnosť. Pokiaľ mala firma všetky bezpečnostné prvky riadne zavedené a sprocesované a únik nahlásila, pochybenie by nemalo byť pokutované, resp. pokuty sa pri takomto čestnom prístupe majú blížiť k nule. Čo, pravdaže, nie je žiadna záruka. Horná hranica? Ak vám úrad zistí pochybenia či, nedajbože, ututlávanie krízovej situácie, môže sa to vyšplhať až na 20 miliónov €, resp. na 4 % z celosvetového obratu firmy. Dosť na nejakú tú žalúdočnú nevoľnosť.
Účes nie je dôvodom
S tým, že citlivé údaje môžu byť vyhľadávaným “tovarom” a ak sa dostanú do nesprávnych rúk, môže to mať nedozierne následky, sa nedá nesúhlasiť. Spracúvaním osobných údajov sa v súčasnosti rozumie nielen e-mailová databáza, ale aj vedenie mzdovej a personálnej agendy, lekárska evidencia, či dokonca monitoring kamerovými systémami. GDPR si od každého marketéra a podnikateľa preto zaslúži patričnú pozornosť, aj keď, priznajme si, nám marketérom zasa až toľko nového nezavádza. Samozrejme, pre každého začína ochrana osobných údajov vo vlastnej opatrnosti. Nezadávajte číslo svojej kreditky podozrivým stránkam, neposielajte svoje rodné číslo cez Messenger, nepostujte fotku občianskeho na Instagram. Nie, ani keď tam máte naozaj funny účes.