Nové evropské nařízení o ochraně osobních údajů, známé pod zkratkou GDPR (General Data Protection Regulation), zpřísní od května pravidla pro práci s citlivými daty. To ale neznamená, že lidem přestanou do e-mailu chodit marketingová sdělení. Přesto mají novinky důležitý efekt. Pod hrozbou až půlmiliardové sankce za chyby v práci s daty podnikatelé zjistili, že pro zpracování osobních dat existují přesná pravidla. "Teď nastavují to, co už měli mít dávno," říká advokátka z kanceláře eLegal Petra Dolejšová.

HN: Evropské nařízení o ochraně osobních dat klade důraz na to, aby lidé věděli, co se s jejich osobními údaji děje. Znamená to, že marketingová komunikace se neobejde bez souhlasu zákazníka?

Souhlas bude potřeba téměř na všechno. Je to zpracování souborů cookies, do nichž si weby ukládají informace o uživatelích, je to rozsáhlejší analytika, profilování, sledování uživatele na webu. Jsou tam ale výjimky, například na základě oprávněného zájmu. V případě tzv. přímého marketingu jde třeba o zasílání newsletterů stávajícím zákazníkům.

HN: To znamená, že oslovování za účelem marketingu se lidé úplně nezbaví?

To určitě ne, právě proto, že v evropském nařízení máme institut oprávněného zájmu, u něhož nařízení souhlas nevyžaduje. Může tam spadat celá řada věcí, ale musí to být přiměřené. A správce dat o tom musí zákazníka informovat.

Petra Dolejšová

Specializuje se na právo v marketingu a ochranu osobních údajů. Vystudovala právo na Univerzitě Palackého v Olomouci a v minulosti působila mimo jiné jako právní poradce radnice Prahy 5.


HN: Když někdo bude mít kontakty zveřejněné třeba na webu, mohou je firmy použít pro marketingové účely?

Ne. To je jeden z nejčastějších omylů, že když najdu někde zveřejněný kontakt, mohu toho člověka jako první kontaktovat a poslat mu třeba obchodní sdělení. Už dnes platí, že je mohu poslat pouze tam, kde mám udělený souhlas, nebo pokud se jedná o stávajícího zákazníka. Anebo pokud mi ten člověk sám napíše, pošlete mi newsletter nebo mi zavolejte a řekněte mi, co máte za novinky.

HN: Nová pravidla jsou poměrně obsáhlá. V čem podle vás marketéři nejvíce tápou?

Pro jaké zpracování osobních údajů musí mít souhlas a jak má vypadat. Často to nevědí ani podle stávajícího zákona, natož podle nového nařízení. Navíc často žádají o udělení souhlasu se zpracováním i tam, kde to není potřeba, nebo nežádají o aktivní udělení souhlasu. Napíší jen: "Používáním tohoto webu souhlasíte se zpracováním osobních údajů." A to je podle GDPR špatně.

HN: Co hrozí společnosti, která žádá od svých klientů souhlas tam, kde není potřeba?

Taková společnost neoprávněně zpracovává osobní údaje. Firma tím vlastně mate lidi, říká jim, že mají určitá práva, jako právo kdykoliv odvolat souhlas, která ale ve skutečnosti nemají, když souhlas podle nařízení potřeba není. To znamená, že se podnik dopouští přestupku, za který může být sankcionován pokutou až do výše 20 milionů eur.

HN: Jak GDPR změní podobu souhlasů se zpracováním osobních dat?

Zaprvé, souhlas by měl být vydělený. V současné době se souhlasy často skrývají do všeobecných obchodních podmínek. To už podle GDPR nepůjde. Souhlas má být strukturovaný a měl by být tzv. granulovaný, to znamená, že pro jednotlivé účely zpracování budou uděleny jednotlivé souhlasy. Druhá věc je − a to vzbudilo velkou nevoli v řadách marketérů −, že udělením souhlasu nejde podmiňovat poskytnutí služby. Uvedu příklad. Budete mít na webu video. To video se spustí, ale v půlce se vypne a řekne, teď mi dejte souhlas se zasíláním newsletteru a já vám pustím zbytek videa. Toto už od účinnosti GDPR nebude smět být.

HN: Máte odezvu od klientů, v jakých oblastech budou muset získat souhlasy znovu?

Prakticky všichni je budou potřebovat ve všech oblastech. Sankce, které nařízení zavádí, vzbudily velký ohlas, média o tom začala psát, a tím pádem většina podnikatelů zjistila, že existuje nějaký zákon o ochraně osobních údajů, který předepisuje pro zpracování osobních dat určitá pravidla. Takže teď se všichni vzpamatovávají a nastavují si něco, co měli mít už dávno. Řada mých klientů tak začíná od nuly.

HN: Marketing je široký pojem. Zahrnuje reklamní letáky ve schránce, e-mailing, ale i práci call center. Dopadne nařízení na všechny tyto složky stejně?

Pro call centra budou platit trochu tvrdší pravidla. Měl by vzniknout adresář zakázaných telefonních čísel. A když call centra budou chtít s nabídkou volat na nějaké telefonní číslo, tak si budou muset nejdřív prověřit, jestli to telefonní číslo není v této databázi. Navíc budou muset mít call centra takové telefonní linky, které se budou zobrazovat na mobilu, jako že se jedná o obchodní sdělení. To vyplývá z návrhu dalšího evropského nařízení e-Privacy, které se týká soukromí a elektronických komunikací a má doplnit stávající normu GDPR.

HN: Řada podnikatelů doposud využívala externí call centra, kterým předávala kontakty na své zákazníky. Bude to možné i po účinnosti nových pravidel?

Ano, bude. V tomto případě je potřeba rozlišovat správce a zpracovatele. Správce je vždycky ta osoba, která zpracovává data za nějakým účelem. Může si k tomu ale vzít pomocníka − tzv. zpracovatele. Pokud já jako správce řeknu, já chci call centrum, ale nebudeme na to mít vlastní kapacity, poptám společnost, která bude provozovat call centrum za mě. Ta firma bude zpracovatelem. Pokud jí dám data, která využije jen pro práci pro mě, nepotřebuji k tomu souhlasy zákazníků. Pokud by ale jejich osobní údaje naházela do své databáze a zároveň v ní bude mít i kontakty na klienty dalších firem, tak pro takové call centrum už je souhlas potřeba.


HN: Hrozí, že teď v rámci příprav na nové nařízení marketéři a další správci dat zavalí klienty žádostmi o udělení nového souhlasu?

Ano, podle mě je velké riziko, že se spousta marketérů pokusí do května získat nové souhlasy. To povede k tomu, že se v květnu budeme moci všichni zbláznit z newsletterů a raději nebudeme odklikávat souhlasy nikomu. Osobní údaje, pro něž marketéři platný souhlas podle GDPR nemají nebo nezískají, by od 25. května už neměli používat a měli by je ze své databáze smazat.

Související