GDPR je souhrnné, přísnější evropské nařízení o ochraně osobních údajů. V mnoha oblastech navazuje na už platný a fungující zákon o ochraně osobních údajů z roku 2000. Nejde tedy o nic nového, co by zcela měnilo pravidla pro nakládání s osobními daty, nýbrž o doplnění některých novinek.
Pokud se podíváme na tradiční eventovou akci, setkáme se s aplikací GDPR již při zvacím procesu, kdy si správce (majitel) databáze najímá ke zpracování dat externí agenturu. Správce by měl mít se zpracovatelskou firmou uzavřenou smlouvu, obsahující zásady spolupráce a zavazující zpracovatele k zajištění bezpečnosti poskytnutých údajů. Pro agenturu to znamená, že s osobními údaji a jejich zpracováním bude přicházet do styku pouze vyškolený personál a bude s nimi zacházet podle příslušné vnitřní směrnice firmy.
Z pohledu GDPR je důležité i to, jak jsou osobní údaje z databáze správce předávány agentuře ke zpracování. Celý proces je nutné zajistit tak, aby nemohlo dojít k úniku těchto informací. Jak ukazují dosavadní zkušenosti, tento požadavek je možné splnit předáním zaheslované databáze, přičemž heslo doručíme oprávněné osobě v agentuře odděleně.
Agentura by měla před samotným použitím databáze ověřit, zda databáze splňuje požadavky GDPR. Jde hlavně o takzvanou identifikaci získání kontaktu, tedy informaci o tom, kdy a jak správce databáze kontakt získal. Díky touto údaji je správce schopen doložit, že osobní údaje nabyl legálně.
Souhlas není vždy nutný
Většina firem se mylně domnívá, že k jakémukoliv získání a zpracování osobních údajů si musí zajistit takzvaný souhlas se zpracováním. Může se to zdát z desítek e-mailů, které dostáváme od různých subjektů a které nás žádají o udělení souhlasu se zpracováním.
Samotní tvůrci nařízení ale považují udělení souhlasu za jeden z okrajových právních titulů možného získání osobních údajů. Daleko důležitějším je titul smluvního závazku, to znamená, že zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt poskytující osobní údaje.
V praxi to znamená, že můžete využít kontakt a osobní údaje, které jste získali při uzavření smlouvy ve všech činnostech, týkajících se tohoto smluvního závazku, a to bez udělení souhlasu se zpracováním. Právní tituly opravňující získání a zpracování osobních údajů jsou na samostatnou kapitolu.
Vraťme se k dopadu GDPR na oblast eventů. Máme za sebou zdárně provedený zvací proces. Při jednoduchých eventových akcích to není tak složité. Bohužel u aktivit s mezinárodní účastí se můžeme setkat s tím, že budeme muset shromažďovat i citlivé údaje, které podléhají ještě přísnějšímu režimu zabezpečení než údaje označené jako osobní. Jedná se například o náboženské vyznání – u některých eventů ho zjišťujeme kvůli jídelníčku – a další informace, týkající se základních lidských práv a svobod.
Novinkou je také rozsah či množství osobních údajů, které smíme shromažďovat. Klient i agentura by měli při plánování eventu zvážit, jaké údaje budou od klientů vyžadovat. Nařízení hovoří o tom, že by měly být shromažďovány pouze nezbytné údaje. Je tedy třeba zvážit, zda je nutné žádat například o telefonní číslo, probíhá-li veškerá komunikace e-mailem.
V průběhu registrace dochází několikrát k výměně databáze mezi zpracovatelem a správcem. Zde je nezbytné pamatovat na bezpečné a zajištěné předávání. Při registraci přicházejí do kontaktu s databází i externí spolupracovníci agentury, jako jsou hostesky a promotéři. I ti by měli být seznámeni se zásadami GDPR a případně zavázáni k mlčenlivosti.
Až praxe ukáže, co platí
Přistupme k samotné realizaci akce. Ve většině případů je z eventu pořizován buď audiovizuální záznam, či aspoň fotodokumentace. Z pohledu účastníka je důležité, aby byl požádán o souhlas s takovým úkonem. Organizátor zase musí vzít v úvahu, že klient může záznam žádat k prokázání účelně vynaložených nákladů pro případnou finanční kontrolu.
Finanční úřady v poslední době chtějí doplňující informace, kterými klient prokáže, že šlo o skutečnou akci, a nikoli o skryté čerpání marketingového rozpočtu. V tomto případě získání souhlasu není třeba, protože se jedná o splnění jednoho z již zmíněných právních titulů, a to zákonné povinnosti. Zda to ale bude platit i v reálném životě, na to si ještě musíme počkat.
Autor je majitelem agentury Fox Hunter.
Klient i agentura by měli při plánování eventu zvážit, jaké údaje budou od klientů vyžadovat.
Foto: iStockPhoto