GDPR oslavilo 25. května 2021 své třetí narozeniny. K této příležitosti jsme u nás zorganizovali neformální SmartEmailing Talk, jehož hosty byla Kateřina Fišerová (SmartEmailing) a nezávislý advokát Josef Bátrla. Ohlédli jsme se do minulosti, řekli jsme si, jak k GDPR přistupoval úřad, v čem se stále dělají největší chyby a také co nás čeká do budoucna.
Legislativa, mýty i největší fuckupy. Co mělo GDPR změnit a co opravdu přineslo? Záznam si můžete pustit zde.
K otázkám, na které nezbyl čas, se naši hosté vyjádřili zpětně.
Dobrý den, pokud využívám SmartEmailing k zasílání newsletterů a komunikaci se zákazníky (= obchodní sdělení) kdo z nás je v jakém postavení = kdo je zpracovatel a kdo správce ?
Kateřina Fišerová: V pozici vůči subjektům údajů (vašim odběratelům novinek) jste vy správce a SmartEmailing je zpracovatel. V pozici vůči vám konkrétně jako zástupci společnosti, která SmartEmailing využívá a vašim osobním údajům je SmartEmailing v pozici správce.
Dobrý den, náš klient obchodní centrum má podmíněnou službu bezplatné wifi poskytnutím e-mailu zájemce o přístup. Problém je, že tyto e-maily padají do stejných distribučních seznamů jako klasické marketingové nabídky OC. Takže i když se návštěvník OC z e-mailingu odhlásí, poté, co znovu navštíví OC a připojí se k wifi, je jeho e-mail znovu ve stejné databázi. Je to takto v pořádku? Já se domnívám, že ne, podle klienta je to správně.
Josef Bátrla: Nejsem si stoprocentně jistý, jestli tu otázku chápu správně, každopádně bez znalosti případu bych chtěl v tomto případě podotknout, že je nutno posoudit jednak podmíněnost souhlasu s přístupem do wifi a zasíláním obchodních sdělení a taktéž způsob informování o možném zasílání obchodních sdělení a obnovení souhlasu v případě opětovného připojení do sítě.
Prosím, potvrďte nebo vyvraťte: před 5 roky jsem usoudil, že být najat jako pověřenec je bezva příjem téměř bez rizika. Ale jako vždy jsem tu vlnu proprokrastinoval a nedokázal ji využít a skočit. Kolik pověřenců dodnes bere taxu a pro správce nic prospěšného neumí udělat?
Josef Bátrla: Tuto informaci lze velmi těžko vyvrátit či potvrdit. Úloha pověřence jednak není úplně bez rizika (pověřenec musí plnit úkoly dle čl. 39 GDPR) a zároveň není zcela bez odpovědnosti. Je však na správci, aby jmenoval takového pověřence, který mu (velmi zjednodušeně řečeno) k něčemu bude. Pokud totiž jmenuje pověřence, kterému se nedostává vzdělání a schopností dle čl. 37 odst. 5 GDPR (tedy že skutečně zná naši i evropskou legislativu), nebo který neplní své úkoly, lze říct, že to jde na vrub takového správce.
Otázka k Vašim obchodním podmínkám GDPR – bod 12.2. My jako Poskytovatel – co přesně znamená výraz Poskytovatel. Kdo jsou další zpracovatelé – prolink v podmínkách na seznam mi nefunguje. Jaké cloudové úložiště používáte?
Kateřina Fišerová: Poskytovatelem nebo námi se rozumí společnost SmartSelling a.s., se sídlem Netroufalky 797/5, 625 00 Brno, IČ: 29210372, DIČ: CZ29210372, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl B, vložka 7559.
Seznam dílčích zpracovatelů je zde.
Osobní údaje ukládáme na vlastních zabezpečených serverech. Všechny jsou v rámci ČR nebo EU. Aplikační servery jsou dva v Praze a jeden ve Frankfurtu. SMTP servery odesílající poštu jsou v ČR, v Německu a v Belgii. Další zálohy dat držíme v Irsku v Dublinu.
Pri súhlase na zasielanie marketingových mailov, je nutné napísať na web do podmienok presné obdobie, na ktoré nám klient dáva súhlas? Napríklad 3 roky? 5 rokov? Môže sa napísať napríklad slovné spojenie “na dobu vášho záujmu” s tým, že sa klient môže kedykoľvek odhlásiť?
Kateřina Fišerová: Na tuto otázku bylo odpovězeno ve vysílání. Josef Bátrla uvedl, že v tomto případě je s tím úřad v pohodě. Jinak platí, že by souhlas měl být udělený konkrétně a na minimálně dlouhou dobu.
Keď sme pred 3 rokmi získali súhlas na zasielanie marketingových mailov, je nutné po uplynutí tejto doby opäť vyžiadať súhlas nanovo? Ak to klient nepotvrdí opätovne ( čo môže byť aj tým, že mail klient prehliadne), tak ho musíme z databázy vymazať?
Kateřina Fišerová: Ano, v moment kdy vám skončí platnost uděleného souhlasu, nemůžete osobní údaje zpracovávat. Vhodné je před jeho ukončením zažádat o prodloužení souhlasu nebo získat souhlas nový.
Kedy bude pre potvrdený súhlas v smartmailingu notifikácia na končiace dátumy súhlasov? Nakoľko po uplynutí tohto dátumu sa automaticky zmažú, alebo sa stratia.
Kateřina Fišerová: Už nyní si můžete ve SmartEmailingu vytvořit segment na končící účel zpracování – sami si můžete nastavit, v jaké lhůtě před koncem platnosti účelu zpracování do něj má kontakt spadnout. Následně na něj můžete nastavit automatizovaně odeslaný e-mail s žádostí o prodloužení účelu zpracování. Kontakty se samy nemažou.
Pro uživatele SmartEmailingu PRO bude na začátku června nasazena úprava, aby mohli zasílat připomínky také v rámci automatizačního editoru.
Dobrý den, rád bych se vás zeptal na vývoj ochrany osobních údajů v oblasti Cookies a jejich využití na webu. Výklad ÚOOÚ je pořád víceméně opačný oproti ostatním členským zemím. Jak je to s vývojem ePrivacy a povinnostmi implementace?
Josef Bátrla: Pokud by vám to nevadilo, rád bych vás v tomto odkázal na můj příspěvek na blogu, kde se tomuto tématu věnuji (viz zde).
Dobrý den, jak se díváte na předávání osobních údajů e-mailem? Když například pošlu klientovi seznam objednávek včetně osobních údajů. Pokud vím, e-mail není šifrovaný, takže by se to dalo považovat za únik? Ptám se, protože nám občas chodí seznamy lidí (vč. třeba dat narození apod.) e-mailem i od velkých firem, u kterých bych čekal přísně nastavené GDPR požadavky.
Josef Bátrla: Obecně platí pravidlo, že k osobním údajům bychom se měli chovat jako v bavlnce. To v obecné rovině znamená, že bychom měli předcházet možným rizikům, které skutečně zasílání e-mailu skýtá. Není to tak, že by GDPR explicitně zakazovalo zasílat databázi klientů e-mailem, nicméně v rámci přijetí technických a organizačních opatření by mělo být riziko ztráty takových dat co nejvíce eliminováno. Takže pokud se reálně nabízí jiný způsob, jak si taková data předat (aniž bychom šli s bazukou na komára), měli bychom zvolit bezpečnější přístup.
A ještě otázka na nakládání s e-mailovými kontakty ve SmartEmailingu, pokud se daný člověk odhlásí ze všech rozesílek. Takový kontakt se dostane na blacklist a podle mne už nemám podle GDPR nárok tuto adresu dále ve SmartEmailingu mít a měl bych tedy blacklist pravidelně promázavat, jinak porušuji GDPR (uchovávám adresy bez právního důvodu). Je tomu tak z právního hlediska?
Kateřina Fišerová: Umístění na blacklist umožňuje zabezpečit to, že kontaktu již nic nepošlete. V rámci GDPR je to v pořádku. O této výjimce mluvil Josef Bátrla v závěru vysílání.
Zajímalo by mne, jak to je s nahráváním telefonních hovorů. Jaká mají být přesná pravidla, příchozích odchozích hovorů?
Josef Bátrla: Zde bude záležet na účelu zpracování osobních údajů. Pravidla jsou v tomto víceméně vždy stejná – zvolit správný účel, právní základ a hlavně informovat o takovém zpracování v souladu s GDPR. V rámci tohoto postupu by nám mělo vypadnout, zda je takové nahrávání proporciální (a tudíž se schová pod oprávněný zájem) nebo zda budeme potřebovat souhlas. Bude skutečně záležet na konkrétních podmínkách takového zpracování.
Dobrý den, zajímalo by mne, jak je to přesně s GDPR a Facebook pixelem. Jak detailní musí být souhlas s cookies na webu – např. stačí pouze oznámení, že web užívá cookies a je možné je zakázat v nastavení prohlížeče a užíváním webu návštěvník souhlasí s cookies? A v mých podmínkách ochrany osobních údajů, které mám na webu, musím tedy uvést, že data jsou odesílána mimo Evropskou unii? Vlastně mi není jasné, zda jsou nebo nejsou odesílána a kam.
Josef Bátrla: Pokud by vám to nevadilo, rád bych vás v tomto odkázal na můj příspěvek na blogu, kde se tomuto tématu věnuji. Odkazuji na tam na aktuální přístup Úřadu pro ochranu osobních údajů, kde se vyjadřoval i ke splnění informační povinnosti.
Dobrý den, mám dotaz k focení dětí – pokud pořádáme akci pro školy, je nutné získat souhlas s focením jednotlivě od rodičů v našem formuláři, nebo to může zařídit škola nějak “jednorázově”? Fotky budou u nás na webu, takže jsme za to odpovědni my, je to tak?
Josef Bátrla: Nejsem si stoprocentně jistý, že rozumím otázce, každopádně povinnostem při pořizování fotografií ve školství se věnoval ÚOOÚ např. zde. Věřím, že tam naleznete svoji odpověď.
Dobrý den, prosím o radu, co dělat, pokud jsme z počátku platnosti neměli double opt-in implementován. Co s takovými kontakty dělat? Všechny tyto kontakty nám potvrdili v prvotním e-mailu tlačítkem a checkboxem, že chtějí newsletter dostávat. Je potřeba je znovu kontaktovat a vyžadovat double opt-in?
Kateřina Fišerová: Pokud vám rozumím správně a kontakty vám v prvním e-mailu potvrdili, že chtějí dostávat newslettery, můžete tento první e-mail považovat za double opt-in. Ve statistikách najdete u kontaktu záznam o prokliknutí odkazu.
Chtěla bych se zeptat, jestli je u double-opt-in potřeba odsouhlasit opravdu dvakrát?
Kateřina Fišerová: Proces OPT-IN – znamená, že člověk dělá aktivní krok pro přihlášení, že je potřeba jeho aktivita. Výraz Double opt-in – pak znamená, že kromě aktivity vyplnění formuláře (1. projev zájmu), potvrzuji svůj zájem ještě proklikem v e-mailu (2. projev zájmu) = proto 2x.
My máme e-shop B2B a veškeré kontakty, na které rozesíláme mailing jsou získané nákupem zboží. Stačí nám to?
Kateřina Fišerová: Budeme-li se dívat na GDPR a zpracování osobních údajů: pokud vaše databáze pochází z obchodní činnosti a jsou to kontakty, které od vás prokazatelně něco nakoupili, můžete se zde opřít o oprávněný zájem správce. Budeme-li se dívat na souhlas se zasíláním obchodních sdělení – můžete zasílat nabídku vlastního zboží a služeb obdobného charakteru.
Je môžné potom prípadne vytvoriť aj certifikát o absolvovaní školení, ktoré plánujete?
Kateřina Fišerová: Ano, absolventi připravovaného školení získají certifikát o absolvování workshopu.
