GDPR je nariadenie EÚ, ktoré upravuje ochranu osobných údajov. Účinnosť nadobudne dňa 25.05.2018 vo všetkých členských štátoch EÚ. Súčasne s GDPR nadobudne na Slovensku účinnosť aj nový zákon o ochrane osobných údajov (zák. č. 18/2018 Z. z.), ktorý ruší zákon č. 122/2013 Z. z. Nová európska aj vnútroštátna legislatíva v oblasti ochrany osobných údajov upravuje pre bežného slovenského podnikateľa tie isté povinnosti.
Pre mnohých podnikateľov je momentálne asi najväčším problémom vplyv GDPR a nového zákona o ochrane osobných údajov na vedenie databázy zákazníkov na účely zasielania reklamných správ, marketingových katalógov, SMS správ či newsletterov.
Asi každému z vás už prišiel do poštovej alebo e-mailovej schránky nejaký katalóg s novinkami alebo reklamný leták. Kontaktné údaje zákazníkov sú považované za osobné údaje. Pokiaľ podnikateľ tieto údaje používa na iné účely než na účely dodania objednaného tovaru či služby (na základe plnenia zo zmluvy), k ich ďalšiemu spracúvaniu potrebuje výslovný osobitný súhlas adresáta. To znamená, že len objednaním a zaplatením tovaru nie je podnikateľ oprávnený vaše kontaktné údaje použiť na účely automatického zasielania marketingových letákov alebo e-mailov o nových produktoch. Musíte s tým vyslovene súhlasiť.
Aby bol takýto súhlas platný, musí byť formulovaný v zrozumiteľnej a ľahko dostupnej forme, konkrétny a slobodný (nesmie byť zahrnutý do zmluvy bez samostatného zaškrtávacieho políčka alebo podpisu) a informovaný (okrem informácie o tom, na aké účely budú osobné údaje zákazníka použité, musí obsahovať tiež informácie o jeho právach ako dotknutej osoby v zmysle zákona o ochrane osobných údajov (napr. o práve takýto súhlas kedykoľvek odvolať).
Ak podnikateľ získa vašu e-mailovú adresu prostredníctvom vopred zaškrtnutého políčka v e-shope alebo na základe súhlasu, ktorý je neoddeliteľnou súčasťou zmluvy alebo VOP, je takto získaný súhlas so spracovaním podľa GDPR a nového zákona o ochrane osobných údajov, neplatný.
Neplatný je aj nedostatočne informovaný súhlas, teda bez bližšieho vysvetlenia práv zákazníka, napr. aktívnym odkazom na podmienky spracúvania a ochrany osobných údajov alebo nejednoznačný súhlas vyjadrený jednoduchým prehlásením osoby „súhlasím so spracovaním osobných údajov“.
Spracúvanie kontaktných údajov zákazníkov na marketingové účely na základe neplatného súhlasu dotknutej osoby alebo bez neho, je z pohľadu GDPR a nového zákona o ochrane osobných údajov trestané uložením pokuty až do výšky 20.000.000,00 EUR alebo do výšky 4 % z celosvetového ročného obratu.
Nové pravidlá ochrany osobných údajov budú účinné od 25.05.2018.
Treba zdôrazniť, že takéto riziko nenesie podnikateľ len do budúcnosti od účinnosti nových pravidiel. Rovnaké riziko uloženia astronomickej pokuty smeruje aj do minulosti, teda aj pri súhlasoch získaných pred účinnosťou GDPR a nového zákona, kedy sa osobitný súhlas na marketingové účely nevyžadoval.
Aby podnikateľ spracúval osobné údaje zákazníkov na marketingové účely v súlade so zákonom a GDPR je nevyhnutné, aby boli vymazané kontakty, ktoré boli do databázy zaradené bez samostatného súhlasu, len na základe zaslania objednávky alebo uzatvorenia zmluvy. Ak súhlas udelený v minulosti bol, treba overiť, či spĺňa všetky náležitosti, ktoré by mal spĺňať podľa GDRP a nového zákona o ochrane osobných údajov. Skontrolovať nastavenie zaškrtávacích políčok na webe, všetky formuláre a dokumenty obsahujúce súhlas so spracovaním osobných údajov. Skontrolovať, či VOP a/alebo podmienky ochrany osobných údajov odkazujú na aktuálnu legislatívu (nie na zákon č. 122/2013 Z. z., ale od 25.05.2018 na zákon č. 18/2018 a GDPR) a či obsahujú všetky povinné informácie. Pri elektronicky získavaných kontaktoch sa odporúča začať používať metódu „double-opt-in“, t. j. najskôr zákazníkovi zaslať e-mail pre overenie, že kontaktné údaje zadal zákazník sám a do marketingovej databázy ho zaradiť až po kliknutí na aktivačný odkaz umiestnený v tomto e-maile.
Spracúvanie osobných údajov na marketingové účely na základe osobitného súhlasu je len jednou z mnohých noviniek podľa GDPR a nového zákona. Množstvo podnikateľov pri svojej činnosti vykonáva aj iné spracovateľské operácie s osobnými údajmi (napr. spracúvanie osobných údajov osôb mladších ako 16 rokov, využívanie cookies, ktoré sú po novom tiež osobným údajom, alebo využívanie biometrických dochádzkových systémov). Takéto operácie vyžadujú špecifické technické nastavenie, vypracovanie alebo úpravu príslušnej dokumentácie a prijatie primeraných bezpečnostných opatrení, pri ktorých sa odporúča konzultácia s odborníkom.