Připravte se na GDPR I. - Osobní údaje jsou všude | Incomaker

Připravte se na GDPR I. - Osobní údaje jsou všude

Připravte se na GDPR I. - Osobní údaje jsou všude

Za půl roku to vypukne! 25. května 2018 vstoupí v plném rozsahu v účinnost nařízení EU 2016/679 o ochraně osobních údajů. Jak moc velká věc to je, demonstruje konstatování, že dle Evropské komise vytvoří nařízení až 75000 nových pracovních míst. Tito lidé neupečou chleba, nevyvinou novou vakcínu ani nezkonstruují pohon, který by lidstvo dostal ke hvězdám. Tito lidé budou šoupat papírama, aby byly lépe chráněny vaše osobní údaje před takovými, jako jsme my.

Osobní údaje

Obecné osobní údaje mohou být jméno, příjmení, adresa, pohlaví, datum a místo narození, rodné číslo, číslo občanského průkazu, pasu, řidičského a dalších průkazů, stav, vzdělání, fotografie, email, telefon (i pracovní), IP adresa (někdy), DIČ fyzické osoby, příjem...

Zvláštní (citlivé) osobní údaje mohou být rasa, národnost, sexuální orientace, zdravotní stav, trestní historie, politická stanoviska (ale nikoliv členství v politické straně)...

Dále mezi zvlášní osobní údaje patří: genetické a biometrické údaje: DNA, krevní skupina, snímek obličeje, otisk prstu, snímek sítnice, záznam chůze...

General Data Protection Regulation změní pravidla ochrany osobních údajů a zasáhne do života velké většiny firem. Pokud používáte Incomaker pro řízení vašich kampaní, sběr dat o vašich zákaznících, rozesílání emailů, mobilních notifikací, postování do sociálních sítí, atd., můžete být v klidu, sledujeme situaci a řešíme to za vás. Proto vám také přinášíme tento seriál článků, který by vám měl pomoci se ve věci lépe orientovat. Pokud Incomaker dosud nepoužíváte, máte problém, ale ještě je čas to napravit.

GDRP reguluje veškeré nakládání s osobními údaji, od jejich získání, přes zpracování, až po jejich likvidaci. Dělat digitální marketing bez práce s osobními údaji lze jen velmi obtížně. Pojďme se podívat, co byste tedy měli vědět.

Proboha! Tohle všechno je osobní údaj?

Osobní údaj je vše, co lze spojit s konkrétní identifikovanou nebo identifikovatelnou žijící fyzickou osobou. Takže pokud máte v databázi jen právnické osoby, jste v pohodě, GDPR se vás netýká (nesmíte tam ovšem mít kontakty na jejich zaměstnance). Údaje o zemřelých osobách GDPR nepodléhají, což je Vám ovšem v digitálním marketingu platné jak mrtvému zimník. GDPR rovněž nepodléhají osobní údaje získané při čistě soukromé, neobchodní činnosti.

Autor tohoto textu měl na vysoké spolužáka, který se jmenoval Jan Novák a v průběhu studia mu dvakrát smazali přístup do školní sítě, protože se administrátor domníval, že jde o testovací účet. To pěkně demonstruje, proč jméno paradoxně nemusí být osobním údajem. Pokud k němu ovšem přidáte třeba ještě rodné číslo, osobní údaj je na světě.

Jméno, adresa, datum narození, fotografie, atd. jsou osobními údaji jaksi nepřekvapivě. Nicméně pozor, osobními údaji jsou i email (pokud je osobní, tj. info[at]incomaker[dot]com osobním údajem není, zatímco salamon[at]incomaker[dot]com ano – nejenže říká, jak se jmenuji, ale i kde pracuji), telefon a IP adresa. U IP adresy to není tak jednoduché. Technicky vzato většinou osobním údajem není (statická firemní adresa, adresa, kterou sdílí více osob za routerem v domácnosti, atd.). Problém je, že to obvykle nemáte šanci odlišit, proto je bezpečnější ve většině aplikací IP adresu za osobní údaj považovat. Upřímně, IP adresa asi pálí málokoho, identifikace lidí se dnes děje už spíše jinými prostředky. Většinou je ale potřeba nějaký virtuální identifikátor a ten pod GDPR (obvykle) spadá. Pokud vaše systémy výše uvedená data nezaznamenávají, opět můžete být v klidu, GDPR není váš problém.

Pseudoanonymizace dat

Anonymizace dat představuje trvalé odstranění identifikačních údajů nebo jejich agregace, takže už nebude možné spojit je s konkrétními osobami. S takovými daty lze poté nakládat podle libosti. Pseudoanonymizace znamená, že z dat odstraníme klíče, ale ponecháme si způsob, jak je později s daty opět párovat. Ta část dat, která po odstranění identifikace zbyde, může být zpracovávána kýmkoliv bez regulace. Opětovné spojení dat s identifikací osob ale musí proběhnout podle regulace GDPR, tedy např. musí být uděleny potřebné souhlasy. Rovněž lze separátně sbírat a zpracovávat pseudoanonymizovaná data (např. při sledování provozu na webu) a bez omezení je využívat k obecným výsledkům (např. statistikám). Pokud ale takový výsledek spojíme s konkrétní osobou, podléhá takové jednání regulaci GDPR, tedy je např. obvykle třeba souhlasu.

Další cestou, jak se GDPR vyhnout, je data anonymizovat. Čili např. pokud budu ukládat historii nákupů, ale smažu nevratně identifikátor zákazníka, který nákup učinil, mám data anonymizovaná a jsem GDPR-compliant. Není to ale tak jednoduché, což si ukážeme na příkladu remarketingu. To jsou ty otravné reklamní bannery, které nám zobrazují zboží, na jehož webu jsem byl před nedávnem a už jsem si jej i stihnul koupit. Vzhledem k tomu, že k fungování remarketingu jsou nutné cookies nesoucí virtuální identifikátor, většinou se uvádí, že tato činnost pod GDPR spadá. Prakticky autor tohoto textu vidí rozdíl mezi tím, kdy se uživatel např. nalogoval do e-shopu, čímž byl ztotožněn a jeho následná stopa je bezpochyby osobním údajem podléhajícím GDPR a situací, kdy se do e-shopu nenalogoval, prostě anonymně přišel a odešel. V tom případě jde o anonymizovaná data, jež pod GDPR nespadají (ovšem až do momentu, kdy se uživatel ztotožní následným přihlášením). Nicméně pozor, názory na tento konkrétní případ se výrazně liší (zpravidla podle míry pochopení dané technologie příslušným expertem) stejně jako na stovky dalších konkrétních aspektů GDPR. V některých případech ukáže až praxe.

I kde to nečekáte...

Bohužel, nejasností kolem GDPR je více než jasností a pokud by se prosadil striktní, „fašistický“ výklad problému, regulaci v podstatě nepůjde vyhovět. Jakkoliv o tom nemá 99% majitelů webů ponětí, jejich servery kupříkladu obvykle logují IP adresy návštěvníků, jež mohou být, jak jsme si již řekli, osobním údajem a taková činnost tedy spadá pod GDPR. Ještě problematičtějším fenoménem se mohou ukázat firemní routery, jež evidují aktivitu uživatelů (ano, GDPR se netýká jen osobních údajů zákazníků, ale také kupříkladu zaměstnanců). Tím, že přes ně tečou data celé firmy, povinnost ochrany osobních údajů je zde naléhavá. Příkladem budiž následující letitá, leč autentická historka. Firma, kde autor tohoto textu kdysi působil, dostala od svého zákazníka – středně velkého průmyslového podniku – bizarní zakázku: zjistit z logů na routeru, kteří zaměstnanci v pracovní době sledují internetové porno a dodat vedení příslušné reporty. Brzy se zjistilo, že obavy vedení firmy měly reálný základ, což u mých kolegů profesionální zápal pro věc ještě zvýšilo. Ovšem jen do chvíle, kdy zjistili, že se vypořádávají s daty, která by dnes patřila do kolonky "zvláštní osobní údaje - sexuální orientace" a viděli při tom věci, které vidět nechtěli.

Pokud jste po přečtení článku došli k názoru, že se GDPR asi nevyhnete, je to pravděpodobně názor správný. Příště se podíváme, jak GDPR vyhovět a přitom nepoškodit svoje podnikání nebo na tom třeba i vydělat.

Tomáš Šalamon

Nenechte si ujít další díly, přihlašte se k odběru našeho newsletteru.