Pro začátek jedna dobrá zpráva. Pokud jste dosud své e-mailingové kampaně realizovali podle osvědčených best practices a adresy získávali v souladu s dosavadní legislativou, nové nařízení Evropské unie GDPR, v plném znění obecné nařízení o ochraně osobních údajů, které začne platit od května 2018, pro vás bude jen drobnou změnou. Pokud ale byla vaše strategie podřízena získávání maximálního množství e-mailových adres a příjemci vám přímo nedávali souhlas, tak pro vás bude GDPR oříškem.
Bohužel obvyklou dosavadní praxí většiny e-shopů byla maximalizace databáze příjemců a využívání předchozího obchodního vztahu – tedy nákupu zákazníka – jako projevu oprávněného zájmu o komunikaci.
Co tedy GDPR opravdu vyžaduje? Je potřeba, aby správci byli ve vztahu k zákazníkům otevření a féroví. V první řadě to znamená konkrétní informování subjektů, jaké údaje budou zpracovávány, za jakým účelem a kým.
Už žádné schovávání těchto informací na páté straně všeobecných podmínek malým písmem, ale jasné údaje, které jsou prezentované v okamžiku udělení souhlasu. To musí být i prokazatelné – potvrzením souhlasu odesláním e-mailu na zadanou adresu a potvrzením příjemcem kliknutím na odkaz. GDPR zavádí i právo na informace a na zapomenutí. Subjekt se tak může kdykoliv dotázat u správce na to, jaká data o něm má, a požadovat jejich úpravu či smazání.
Čas se krátí a změn je hodně
Tyto změny si ve firmě vyžádají úpravu procesů, smluv i technologií, což přináší nemalé náklady. Největší komplikací bude dát si do pořádku veškerá současná data, aby firmy měly do května 2018 jasno v tom, u kterých subjektů mají jaké právní tituly.
U společností, u kterých dochází k rozsáhlému zpracování osobních údajů, bude za korektnost zpracování zodpovědný DPO – data privacy officer – neboli pověřenec pro osobní údaje, kterého musí každá společnost mít. Prací DPO bude dohled nad bezpečností zpracování dat ve firmě napříč všemi systémy a zajištění toho, aby byly dodržovány všechny zásady.
DPO musí podléhat přímo vedení společnosti a nesmí být ve střetu zájmů. Nemůže jím tak být někdo věnující se marketingu, IT nebo kdokoliv, kdo by de facto kontroloval sám sebe. Dobrá zpráva je, že se nemusí jednat o zaměstnance společnosti, může jít o externího konzultanta.
Říkáte si, že vás se to netýká? Pokuty za porušení ochrany osobních údajů mohou být až 20 milionů eur. Cílem GDPR však není penalizovat, ale zajistit, že subjekty, jejichž data se zpracovávají, mají svá data pod kontrolou, což se v době sociálních sítí, propojení mnoha analytických systémů atd. stává zcela zásadním pro ochranu soukromí.
Autor je ředitelem firmy Mailkit.
