Nařízení GDPR, které vstupuje v platnost 25. května 2018, bude znamenat doslova konec většiny marketingových aktivit. Volnonožci a živnostníci už nebudou moci ani rozesílat newslettery, ani vytvářet databáze svých zákazníků. Je to pravda, nebo zase nějaký marketingový blud? To si povíme v tomhle videu. Na moje otázky v něm odpovídá advokátka Petra Dolejšová.

Takže jak to je? Máme jako podnikatelé a volnonožci důvod se GDPR bát?

Určitě ne. GDPR je tu vlastně už 17 let, jen bylo součástí jiného zákona. Novinkou a nejpravděpodobnějším důvodem, proč se GDPR stalo takovým strašákem médií, jsou sankce, které nově vzrostou z 10 mil. Kč na 20 mil. EUR.

GDPR platí pro všechny, kdo v rámci podnikání pracují s osobními údaji. Týká se i lidí, kteří třeba píší blog, mají zájmový web nebo profil na Facebooku s větším počtem přátel. Ti všichni se stávají tzv. správci osobních údajů podle GDPR.

Osobní údaj je vše, co se týká konkrétního člověka a dá se s ním propojit, tedy jméno, e-mail, telefonní číslo, údaje o nákupu na e-shopu. Celý svět se skládá z osobních údajů.

Co všechno je zpracováním osobních údajů?

Pokud máte například kontakty v mobilu a používáte je pro svou osobní potřebu, GDPR se vás netýká. Zpracovávat je začínáte v momentě, kdy nějak vybočíte mimo tento „domácí režim“. Pak musíte vědět, kde osobní údaje můžete zpracovávat, tedy s nimi něco systematicky dělat, a kdy už na to potřebujete souhlas.

Zpracováním se rozumí cokoli, co s osobními údaji děláte automaticky. Třeba když se kontakty z formuláře na webu propisují do nějaké databáze. Nebo si údaje vypisujete ručně, ale systematicky. Řadíte kontakty do kartoték, databází apod. Už samotné vedení databáze zákazníků je tedy zpracováním.

Většina podnikatelů ve službách má informace o klientech v nějaké databázi. Co je potřeba udělat, aby to bylo v souladu s GDPR?

Prvně je potřeba se orientovat v tom, kdy si můžete databázi začít tvořit. Umožňuje to buď nějaký zákon, nebo je potřeba souhlas. Shromažďovat určité údaje o klientech může být náš oprávněný zájem, který je v zákoně přímo uveden. Pak není potřeba od nich získávat souhlas, ale je třeba je konkrétně informovat, jaké údaje shromažďujete a co s nimi děláte. Například na webu nebo formou cedule v provozovně.

Když kontakty zákazníků sesbíráte, zákon je docela přívětivý v tom, že s nimi můžete pracovat i marketingově. Takže je váš další oprávněný zájem zákazníky poučit, že jim můžete posílat třeba zpravodaj nebo informace o akcích.

Mám na webu formulář, jehož prostřednictvím sbírám adresy potenciálních zákazníků. Mám něco udělat s databází, kterou jsem získala tímto způsobem?

Pokud databáze byla získána podle současné právní úpravy, pokračujete volně dál. Jsou tam dvě jednoduché podmínky.

  1. Sbírali jste na základě nějakého souhlasu. Souhlas by měl být aktivní, tj. ne formou předzaškrtnutého okénka v jiném formuláři. Člověk by se měl opravdu dobrovolně zapsat a měl by být poučen o tom, jaká má a nemá práva. A měli byste ho „prohnat“ e-mailovou schránkou, zda opravdu souhlasí – tzv. double opt-in.
  2. Druhá možnost je, že zasíláte na vaše stávající zákazníky. Tam se to řídí zákonem 480 /2004 Sb., který říká, že současným zákazníkům můžete zasílat newslettery, pokud v nich nabízíte stejné služby, jaké si od vás už objednali. Stačí o tom klienty poučit. Pokud jste tak učinili, je všechno v pořádku.

Co všechno si mají v souvislosti s GDPR ohlídat majitelé e-shopů?

Je potřeba si zjistit, kdy potřebujete souhlas a kdy vám to přímo umožňuje zákon. Když jako e-shop necháte zákazníka vyplnit jméno, e-mail a adresu, kam máte doručit zboží, jsou to osobní údaje nezbytné pro plnění smlouvy a souhlas není nutný. Jen je potřeba zákazníky informovat, že osobní údaje zpracováváte pro účely plnění kupní smlouvy.

Pokud pracujete s cookies pro remarketing, profilujete zákazníky, provozujete věrnostní klub nebo rozesíláte newsletter, je potřeba nasadit souhlas. Ale to je dokument na A4, se kterým není potřeba si úplně lámat hlavu.

GDPR je jedna velká mediální bublina. 25. května se nic zásadního nestane. 18 let tu máme právní úpravu, kterou řada lidí nebrala vážně. GDPR nám v tom smyslu trochu otevřelo oči. Pokud jste pravidla doposud respektovali, stačí v tom pokračovat. Pokud ne, nyní máte motivaci si to dát do pořádku.

Advokátka Petra Dolejšová se specializuje se na právo v oblasti marketingu, médií a ochranu duševního vlastnictví. Za svou praxi již proškolila tisícovku marketérů a začínajících i zkušených podnikatelů. Stovkám jednotlivců i firem pomohla konkrétním problémům v oblasti marketingového a mediálního práva předejít nebo je vyřešit. Je také autorkou řady článků k této problematice, jak v právně, tak marketingově zaměřených médiích. Web Bez paragrafů – Petra Dolejšová (petradolejsova.cz)