Menu

5 mýtů o GDPR, které jen pouští hrůzu

Za nejtemnějších dnů ševelí korunami stromů kolem doupěte Modrého ducha všelijaké legendární mýty. Které výroky o GDPR jsou jen strašidelnými pověrami a proč?

Těmhle 5 mýtům o novém nařízení Evropské unie prostě nevěřte
Těmhle 5 mýtům o novém nařízení Evropské unie prostě nevěřte

1) GDPR zakazuje kontaktní formuláře a uchovávání dat o uživatelích

Mýtus: „GDPR znemožňuje sběr dat, jako je jméno nebo e-mail návštěvníka webu. V podstatě tak zakazuje umístit na stránky formulář, ve kterém by lidé takové údaje vyplňovali.”

Realita: GDPR nezakazuje kontaktní formuláře ani uchovávání uživatelských dat jako takové, pouze se staví proti ukládání osobních údajů uživatelů bez právního základu (typicky souhlas nebo oprávněný zájem, více viz. kapitola II, článek 6, odstavec 1). Přípravy e-shopu nebo webu na GDPR tak obnáší mimo jiné umístění zaškrtávacího políčka se souhlasem k formulářům na vašich stránkách, kde si o e-mail nebo jméno říkáte. Návštěvník musí políčko sám aktivně zaškrtnout, takže je maximálně vhodné mu k tomu dát smysluplný důvod.

Už při poskytování souhlasu je také nutné uživatele informovat, jak dlouho budete údaje uchovávat. Přesnou dobu GDPR nestanovuje, musí však být před Úřadem pro ochranu osobních údajů (ÚOOÚ) důvodně obhajitelná, jak udává kapitola II, článek 5, odstavec e). Z marketingového hlediska se doporučují tři roky, což je jakási průměrná doba „životnosti kontaktu”. Pokud ale nějaký související zákon nařizuje dobu kratší, je vždy jistější se mu přizpůsobit.

2) GDPR zakazuje newslettery

Mýtus: „GDPR zatočí jednou provždy s e-mail marketingem. S jeho nástupem nebude možné si říct o e-mailovou adresu nebo jiné osobní údaje zákazníka, protože by to narušilo ochranu jeho osobních údajů.”

Realita: V případě sběru e-mailových kontaktů pro jakýkoliv e-mail marketing od lidí, kteří nejsou vašimi zákazníky, je nezbytný doložitelný souhlas se zpracováním osobních údajů. Nejlepším možným způsobem pro evidenci souhlasu je metoda double opt-in. Takový postup je možná komplikací, rozhodně ale ne zákazem veškerého newsletterového snažení. Metoda by e-mail marketing měla pouze očistit od některých nekalých praktik, ačkoliv třeba doložitelný souhlas vyžadovaly i stávající zákony platné od roku 2000. Zasílání relevantního newsletteru stávajícím zákazníkům si před úřadem obhájíte třeba oprávněným zájmem správce.

3) GDPR zakazuje používat Google Analytics

Mýtus: „Google Analytics pracuje s osobními daty návštěvníků stránek. Používání nástroje tak bude vzhledem k GDPR nelegální.”

Realita: Používání stávající podoby Google Analytics by před GDPR skutečně neobstálo. To ale neznamená, že by jednomu z celosvětově nejoblíbenějších statistických nástrojů zvonil umíráček. Analytics v souladu s nařízením pouze vyžaduje přijetí dodatku pro zpracování dat a také přichází s úpravou uchovávání údajů. Správci tak mohou zvolit, jak dlouho se data o uživatelích a událostech budou uchovávat, než je systém automaticky smaže.

Opatření se ale týká pouze osobních údajů jako IP adresy, nikoliv souhrnných dat, která jsou v souladu s oprávněným zájmem správce. O návštěvnosti stránek nebo například počtu konverzí si tedy budete moct udržovat přehled i po uplynutí této lhůty. Další doporučení najdete v článku analytika Miroslava Pecky.

4) GDRP vyžaduje HTTPS

Mýtus: „Pokud nebudou mít webové stránky zabezpečení https, hrozí jejich majiteli pokuta!”

Realita: HTTPS je základem bezpečného webu a i vzhledem ke GDPR pomáhá chránit před únikem a zneužitím osobních dat. Konkrétní metodu zabezpečení si ovšem nový zákon nediktuje. Říká pouze, že coby správce musíte osobní údaje zabezpečit a chránit organizačními a technickými opatřeními. Je především na vás, zda to bude šifrování https, dostatečně silně zaheslovaný služební notebook nebo zvýšená obezřetnost před podezřelými nástroji pro práci s osobními daty. V ideálním případě by to měla být kombinace všech zmíněných.

Důležité je data zpracovávat tak, aby k úniku osobních údajů v první řadě vůbec nedošlo, a pokud se tak přece jen stane, co nejdřív minimalizovat škody a případ nahlásit. Ve finále potom vždy záleží hlavně na ÚOOÚ, který bude konkrétní případ posuzovat.

5) GDPR nepřináší nic nového

Mýtus: „Vše je jen zbytečný povyk, protože stávající legislativa má již vše podchyceno. 25. května 2018 se vůbec nic nezmění!”

Realita: Stávající zákon č. 101/2000 Sb. o ochraně osobních údajů opravdu funguje už od roku 2000 a s novým nařízením Evropské unie má skutečně mnoho společného. GDPR však něco nového přece jenom přináší. Například právo na přístup návštěvníka ke svým datům, právo na jejich přenositelnost i výmaz měli uživatelé i dosud, jen si za ně museli připlatit. Podle GDPR jim to nyní musí být umožněno zdarma.

O něco větší novinkou je povinnost nahlášení úniku dat do 72 hodin. Společností ale asi nejvíc zarezonovala nová horní hranice pokut, které z nařízení vyplývají – 4 % z obratu firmy, nebo 20 milionů euro, podle toho, co je vyšší. Právě vysoká penále by měla pomoct důrazněji dodržovat téměř 20 let stará pravidla. Nebo to všechno bude úplně jinak?

Pavel Weber 17.05.2018