Jak na GDPR, díl I.: Data a jejich sběr
Obecné nařízení o ochraně osobních údajů (GDPR) vejde v účinnost již brzy. Proto vás v našich blogových článcích postupně seznámíme s nejdůležitějšími pojmy.
Ochrana osobních údajů bude v letošním roce bezesporu jedním z nejdiskutovanějších témat v komerčním i neziskovém sektoru. Důvodem je GDPR, nařízení Evropského parlamentu a Rady EU 2016/679, které si klade za cíl vymezit v této oblasti nové mantinely. Média nejvíce skloňují téma obrovských pokut, které mohou dozorové orgány při porušení pravidel udělit. Aniž bychom chtěli tuto hrozbu zlehčovat, domníváme se, že při správném zavedení GDPR do praxe není třeba se bát. Pravidla nejsou až tak komplikovaná. V době, kdy nařízení vstupuje v platnost, sice chybí národní legislativa (prováděcí předpis), z českého překladu evropské směrnice však lze nejdůležitější věci vyvodit.
Z pohledu spotřebitelů je GDPR jistě chvályhodná iniciativa. Generování dat prudce roste a ruku v ruce s tím roste jejich sledování a využívání. Z pohledu těch, co s daty pracují, může GDPR znamenat omezení, práci navíc případně ztráta některých kontaktů. Na druhou stranu publikum, které si udržíte i po 25. květnu (datum, kdy vstupuje Nařízení v účinnost ), bude mít pro vás pravděpodobně větší váhu, než to, o které přijdete. Bude loajálnější a angažovanější, zkrátka ho bude více zajímat obsah, který mu budete servírovat.
Všem neziskovkám doporučujeme provést základní audit a udělat si jasno v tom, jaké osobní údaje o svých klientech, dárcích a zaměstnancích shromažďujete, jakým způsobem je shromažďujete, kde je ukládáte a jakým způsobem je využíváte. Těmto čtyřem oblastem se budeme na blogu postupně věnovat.
Osobní údaje
Za osobní údaje považujeme informace o fyzické osobě, které mohou samostatně (přímo) či v kombinaci s jinými informacemi (nepřímo) posloužit k její identifikaci. Nařízení významně rozšiřuje chápání tohoto pojmu. Za obecné osobní údaje považuje jméno, pohlaví, datum narození, ale nově například i dynamickou IP adresu, cookie a další. V určitém případě jím může být i like na sociální síti. Vše je potřeba hodnotit podle kontextu.
Vedle údajů obecných definuje Nařízení i údaje zvláštní kategorie (dříve známé jako citlivé), které budou podléhat přísnějšímu režimu. Zpracování zvláštních kategorií osobních údajů se zakazuje. Zákaz se však neaplikuje pokud se jedná o některý z případů uvedených v čl. 9 odst. 2 písm a)-j) Nařízení. Pro činnost neziskových organizací bude základem pro zpracování těchto údajů hlavně udělený výslovný souhlas od subjektu údajů (písmeno a). Možné je rovněž zpracování, které neziskový subjekt provádí v rámci svých oprávněných činností (písmeno d). Podle situace je možné uplatnit i jiná písmena druhého odstavce.
Do zvláštní kategorie údajů patří údaje o etnickém či rasovém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení, členství v odborech, zpracování genetických údajů, biometrických údajů vedoucích k jedinečné identifikaci osoby, údaje o zdravotním stavu či sexuální orientaci fyzické osoby. Do podobného režimu jako zvláštní kategorie údajů patří i údaje o trestné činnosti.
Sběr dat
Nařízení GDPR říká, že souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení. Souhlas může být udělen v podobě písemného nebo ústního prohlášení a může být udělen rovněž elektronickou formou. Co si z toho můžeme vzít pro naši praxi?
Za jednoznačné svolení můžeme považovat svolení aktivní. Například zaškrtnutí políčka ve formuláři na vašich internetových stránkách. Pokud používáte formuláře Web2Lead od Salesforce, zkontrolujte nastavení zaškrtávacích políček. Předem zaškrtnutá políčka vedoucí k pasivnímu souhlasu používat nedoporučujeme, nebudou považována za souhlas. Zamyslete se nad dalšími způsoby, jakými od subjektů vyžadujete souhlas a upravte je tak, abyste vyžadovali jejich aktivní participaci. Určitě je lepší být důslednější, než přikazuje Nařízení, než riskovat postih.
Za konkrétní svolení můžeme považovat svolení udělené pro veškeré činnosti, které provádíte, abyste zpracovali data pro jeden konkrétní účel. Například emailovou komunikaci s dárci. Pokud data využíváte k více účelům, vyžádejte si souhlas pro všechny. V této souvislosti doporučujeme důkladně promyslet, k jakým účelům data potřebujete zpracovávat nejen dnes, ale i výhledově v příštích několika letech. O každé další svolení budete muset v budoucnu opět požádat všechny subjekty z databáze. A dovedete si představit, jaké mohou nastat starosti v momentě, kdy nové svolení dostanete jen od poloviny subjektů. Nastavit vztahy s dárci v momentě, kdy každý souhlasí s jiným rozsahem zpracování svých údajů, může být extrémně náročné nejen v Salesforce, ale i v dalších nástrojích, které používáte. S požadavkem na konkrétní svolení souvisí požadavek na informované svolení. Informace musí být vztaženy ke konkrétnímu účelu, za jakým jsou shromažďovány a musí být podány maximálně transparentně.
Za svobodné svolení můžeme považovat svolení, které nespojuje předmětné plnění s poskytnutím svolení ke zpracování osobních údajů. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou volbu nebo nemůže souhlas odmítnout/odvolat, aniž by byl poškozen.
Výjimkou je situace, kdy bez osobních údajů není možné plnění poskytnout. Zpracování osobních údajů je zákonné, pokud je nezbytné k plnění smlouvy nebo k úmyslu smlouvu uzavřít. Příkladem je Darovací smlouva a zpracování osobních údajů dárců z titulu plnění smlouvy. Souhlas se zpracováním za účelem uzavření darovací smlouvy není potřeba. Stejně tak nepotřebujete souhlasy se zpracováním osobních údajů klientů v případě, že jejich osobní údaje k poskytnutí služby nezbytně potřebujete nebo zpracováváte dle článku 9, odst. 2, písmeno b)-j) Nařízení, nebo je to dáno zákonem. Jelikož se však může jednat o citlivá data, doporučujeme rozhodně konzultaci každého konkrétního případu s právníkem se specializací na GDPR.
Svobodné svolení je dále takové, které lze kdykoliv odvolat. Možnost odvolat souhlas není ničím novým. Nově však Nařízení přiznává subjektům práva na přístup k datům, která o nich uchováváte, právo na výmaz dat z vaší databáze a další. Více se o právech rozepíšeme ve druhém díle našeho blogu o GDPR.
Nařízení GDPR zavádí pro sběr dat několik zásadních nových požadavků. Proto doporučujeme pečlivě prověřit, za jakých podmínek vám zaměstnanci, dárci či klienti v minulosti souhlas se zpracováním osobních údajů udělili. Nezapomeňte, že souhlasy ve výše uvedeném formátu potřebujete od všech dárců, se kterými jste v kontaktu. Nezáleží na tom, zda s nimi komunikujete on-line, písemně či telefonicky ani na tom, zda jste je poprvé oslovili on-line nebo na ulici.
Souhlasy od dárců nepotřebujete získávat v případě, kdy jejich osobní údaje zpracováváte za účelem plnění smlouvy. Pro účely zasílání obchodních sdělení dárcům pak můžete kromě souhlasu využít i tzv. zákaznickou výjimku (Zákon 480/2004 Sb.o některých službách informační společnosti) dlě čl. 7, odstavec 3. Pro jiné účely zpracování osobních údajů potřebujete souhlas.
Zvláštní kapitolou jsou nakoupené databáze, které patrně čekají v souvislosti s GDPR velké změny (ne-li přímo ústup ze scény). Pokud je budete chtít nadále využívat, zkontrolujte, zda má jejich dodavatel všechny nezbytné souhlasy (především povolení k přenosu dat na třetí subjekty).
Pro splnění požadavků GDPR je jednou z možností obeslání všech dárců a vyžádání nových souhlasů se zpracováním osobních údajů, případně lze uplatnit titul plnění smlouvy či zákaznickou výjimku z předchozího odstavce. Pokud už se rozhodnete dárce obesílat, zkuste se s těmi významnými spojit telefonicky (ale vyžádejte si od nich souhlas písemnou nebo elektronickou formou). Pokud vám odpadnou desítky až stovky neaktivních dárců, může to alespoň vést ke zkvalitnění databáze. Pokud vypadne jeden významný dárce, mohou být následky fatální.
Obesílání pak doporučujeme nenechávat na poslední chvíli. Po 25. květnu již nebudete moci s daty pracovat bez souhlasu, který je v souladu s GDPR. Zvažte, zda nedává smysl ještě za stávající legislativy investovat do reaktivační kampaně a aktivovat alespoň část „spících“ dárců. Rovněž stojí za úvahu zvážit nákup kvalitních databází (s relevantní cílovou skupinou), oslovit je ještě nyní a získat tak co nejvíce dárců s opt-in ještě před tím, než vejde GDPR v platnost.
U zaměstnanců a klientů prozkoumejte, jaké údaje ukládáte a jak máte nastavené smluvní vztahy. Je možné, že nebudete muset měnit nic. Nařízení říká, že zákonné zpracování dat je i takové, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, případně je nezbytné pro splnění právní povinnosti, která se na vás vztahuje. Přesto doporučujeme, pokud se ve vašem případě jedná o rozsáhlejší a komplikovanější oblast, poradit se s právníkem se specializací na GDPR.
Pokud váš web ukládá cookie do prohlížeče návštěvníka, prozkoumejte znění tzv. Privacy notice, kterou podle současné legislativy musíte zobrazovat při první návštěvě. Toto bude platit i nadále. Způsob udělení souhlasu a jeho znění však budete pravděpodobně muset upravit v souladu s GDPR.
A na závěr. Všechny souhlasy, které získáte, si pečlivě uschovejte. Důležité je především evidovat kdy a co vám druhá strana odsouhlasila. Může se stát, že se na dozorový orgán (v případě GDPR je jím Úřad pro ochranu osobních údajů) obrátí zapomnětlivý dárce a vy budete vyzváni, abyste doložili, na základě jakého souhlasu jste ho oslovili a kdy vám byl udělen.
Pro CRM pro neziskovky sepsáno ve spolupráci s Klárou Kunovou.