Rozhovor o GDPR: „S trochou kreativity a konzultáciou s právnikom je stále možné ponúkať lead magnety.“

GDPR.

Skratka, ktorú som za posledný týždeň počul snaď 73x.

Dokonca mi jedna slečna napísala, že „si nemôže kúpiť môj kurz, pretože bude teraz riešiť GDPR“. 

Takže GDPR ešte ani nezačalo a už som 300 euro v mínuse, super 😀 🙂

Či sa nám to riešiť chce alebo nechce, riešiť to musíme. A všetci. Aj preto by som rád na blogu publikoval niekoľko rozhovorov s právnikmi o tom, čo robiť a ako sa na GDPR pripraviť.

Pretože je toho celkom dosť 🙂

Pre dnešný rozhovor som si pozval JUDr. Dominiku Bašnákovú, advokátsku koncipientku, ktoré GDPR aktívne rieši pre veľké firmy. 

Dominiku som poprosil, aby nám GDPR vysvetlila čo najzrozumiteľnejšie a prakticky. Myslím si, že sa jej to celkom podarilo 🙂

Poďme na to!

 

GDPR pre internetových podnikateľov – čo nás čaká? ROZHOVOR s Dominikou:

Dominika, ďakujem za odkyvnutie rozhovoru, veľmi sa na naň teším. Vieš nám v pár vetách jednoducho vysvetliť, čo to GDPR je a koho sa bude dotýkať?

Dominika Bašnáková

JUDr. Dominika Bašnáková , advokátsky koncipient

Ja ďakujem za oslovenie Peter 🙂 Budem teda v rámci možností stručná. GDPR je označenie pre nariadenie Európskeho parlamentu a Rady č. 2016/679, nariadenie o ochrane osobných údajov. Spomínaná skratka vychádza z anglického názvu nariadenia – General Data Protection Regulation.

Pretože sa jedná o nariadenie, predstavuje na rozdiel od smernice Európskej únie priamo účinný právny predpis, t.j. k jeho efektívnosti ho netreba implementovať slovenskou právnou úpravou.

V skratke, nariadenie spresňuje ochranu osobných údajov a posilňuje právo fyzickej osoby na kontrolu spracovania osobných údajov.

Nariadením sa bude predovšetkým, pokiaľ ide o povinnosti, riadiť subjekt, ktorý vykonáva spracovanie osobných údajov. Takýto subjekt je nazývaný správcom osobných údajov.

Nariadením sa riadi aj spracovateľ, čo je subjekt, ktorý pre správcu osobné údaje spracúva. Pokiaľ ide o práva vyplývajúce z nariadenia, tie vyplývajú fyzickej osobe, čo je subjekt údajov.

Ďalej sa nariadením budú riadiť aj dozorné úrady, tj. aj Úrad na ochranu osobných údajov, ktorý bude uplatňovať zverené právomoci za účelom plnenia stanovených úloh. Takže od riešenia zakrivenia banánov sme sa v rámci európskeho priestoru posunuli zmysluplným smerom.

 

Čo všetko je osobný údaj podľa GDPR?

Osobným údajom je každá informácia o identifikovanej alebo identifikovateľnej fyzickej osobe (dotknutej osoby).

Identifikovateľnou fyzickou osobou je fyzická osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na určitý identifikátor (meno, číslo, sieťový identifikátor) alebo jedného alebo viacerých faktorov špecifických fyzických, fyziologických, genetických, mentálnych, ekonomických, kultúrnych alebo spoločenskej identity tejto fyzickej osoby.

Podstatné pre definíciu osobného údaju je nutné uvedomenie, že osobným údajom je akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej fyzickej osoby a skutočnosť, že identifikácia, resp. identifikovateľnosť môže nastať rôznymi spôsobmi, napríklad: 

  • mena,
  • priezviska,
  • adresy
  • dátumu narodenia
  • kódom, ktorý je zamestnancovi pridelený
  • IP adresou atď.

 

Čitatelia tohto blogu sú hlavne malí internetoví podnikatelia, pre ktorých je náklad na právnickú kanceláriu dosť veľký. Myslíš, že to zvládnu aj sami? Alebo právnika bude potrebovať každý, kto podniká online?

Možnosť tam určite je. To máš tak, aj ja by som sa vedela ostrihať, ale ako by to vyzeralo? A toto je ten istý princíp, každý si to bude vedieť spraviť, ale ako to bude vyzerať je už druhá vec.

GDPR v skratke (ENG)

 

Na internete som našiel nespočetné množstvo článkov o GDPR, ale budem úprimný, že doteraz poriadne neviem, čo mám vôbec spraviť. Takže poďme od začiatku. Aký je úplne prvý krok pre internetových podnikateľov ohľadom GDPR?

Odporúčam ti postupovať krok po kroku, obzvlášť ak tušíš, že s osobnými údajmi nezachádzaš úplne, ako by si mal.

Začni zákonom č. 122/2013 Zb. zákon o ochrane osobných údajov, ktorý je jednoduchší a pomôže ti nastaviť základné mantinely tak, aby si na ne už potom len „prirobil“ požiadavky, ktoré sú v GDPR navyše alebo si prejdi zákon č. 18/2018 Zb. zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov ( jedná sa o novelizáciu zákona č. 122/2013 Zb., ktorá reflektuje zmeny ktoré prináša GDPR).

Zisti si:

  • s akými údajmi vlastne nakladáš a prečo,
  • kde ich uchovávaš a
  • kto sa ti o ne stará.

Podľa toho potom

  • nastav zmluvné podmienky, ustanovenia na webe a databázy,
  • uzavri zmluvy so svojimi spracovateľmi osobných údajov,
  • sprístupni databázy len svojim oprávneným zamestnancom ( ak nejaký sú ) a zrevidujte pracovné zmluvy,
  • poraď sa s dobrým IT-ečkárom, ako ti môže pomôcť systém zjednodušiť v rámci tvojich vnútorných procesov.

Vypichla by som ti v tomto prípade podľa mňa najpodstatnejšiu vec pre podnikateľov v on-line svete a to súhlas dotknutej osoby a informovanie dotknutej osoby. Súhlas, ktorý od tvojich (potenciálnych) klientov potrebuješ, musí prejsť prísne nastavenými kritériami. Naformulovať súhlas tak, aby spĺňal podmienky GDPR a pritom bol zrozumiteľný a jasný (ako samotné GDPR vlastne požaduje), je úloha takmer nemožná.

Čo by si teda ale v súhlase určite nemal vynechať je:

  • tvoja identifikácia,
  • poučenie o tom, čo vlastne zbieraš, prečo a na ako dlho,
  • informácie o tom, aké práva má človek, ktorý ti údaj odovzdáva (a že ich nie je málo),
  • informácie o tom, komu údaje ďalej sprístupníš.

Súhlas pritom musíš vyčleniť osobitne, mimo obchodné podmienky. Musíš ho nastaviť ako „opt-in“ bez vopred prečiarknuté okna, a ak ti ho potenciálny klient neudelí, nesmieš ho za to bezdôvodne trestať neposkytnutím služby.

Súhlas musíš nastaviť tak, aby si kedykoľvek pri kontrole bol schopný preukázať, kedy, kým a v akej podobe bol udelený. Súhlas nesmieš požadovať tam, kde ti spracovanie umožňuje GDPR.

Súhlas, ktorý od (potenciálnych) klientov potrebujete, musí spĺňať presné kritériá

 

Aké zmeny nás od 25.05.2018 čakajú v e-mailovom marketingu? Môžem napríklad zbierať e-maily u seba na blogu alebo je potrebná nejaká úprava?

Predošlú otázku som súhlasom ukončila a túto súhlasom začínam, takže v prípade zbierania e-mailov s cieľom využitia v e-mailovom marketingu je to zasa o súhlase, ktorý musí byť v súlade s GDPR.

V prvom rade musíš mať jasno v tom, komu môžeš newsletter posielať bez jeho výslovného súhlasu a u koho si musíš súhlas obstarať. Do prvej kategórie patria predovšetkým tvoji existujúci zákazníci. Newslettre musia súvisieť s tovarom alebo službou, ktorú si u teba objednali.

Keď si niekto kúpi e-book o cestovaní, môžeš mu poslať zľavový kupón na Booking alebo Airbnb, ale už by si mu nemal posielať akčnú ponuku na hrnce.

Každý musí mať možnosť odber newsletterov jednoducho odhlásiť (asi nie je nutné extra pripomínať). Súhlas so zasielaním newsletterov musíš mať skrátka u všetkých ostatných. Ak zbieraš kontakty online, nezabudni, že je potreba použiť double opt-in a predovšetkým opäť zdôrazňujem ten súhlas.

 

Na blogu mám e-mailovú databázu s viac ako 5000 adresami. Čo mám spraviť, aby to bolo v súlade s GDPR?

Najideálnejšie by bolo, keby si si od všetkých klientov / zákazníkov zabezpečil súhlas, ktorý reflektuje nároky kladené zo strany GDPR. Umožní ti to aj zaktualizovať okruh reálne sa zaujímajúcich klientov.

 

Niekde som počul, že už nebude možné ponúkať tzv. “Lead magnety” výmenou za e-mailové adresy. Je to pravda?

Myslím, že pri určitej dávke kreativity konzultovanej s právnikom to tak úplne neplatí =). Ale aby som bola konkrétnejšia:

E-book za e-mail

Ľuďom, ktorí si nechajú poslať tvoj e-book, nesmieš začať automaticky zasielať newslettery alebo ich e-mailový kontakt inak využiť, avšak buď im môžeš v e-maili s e-book možnosť ponúknuť zasielanie newsletteru (tu už potom stačí jednoduchý opt-in), alebo e-book spoplatni a zadarmo ho pošli iba tým, ktorí ti súhlas so zasielaním newsletterov udelia.

Odomknutie obsahu

Môžeš divákov / čitateľov v polovici videa / článku lákať na odber newsletteru, ale daj im aj možnosť ho dopozerať / dočítať aj bez zadania e-mailu. Zase je tu aj možnosť „zaplať alebo mi daj e-mail“.

Zľava na prvý nákup

Ťahák e-shopov „dajte nám e-mail a pošleme vám zľavu na prvý nákup“ môžeš používať ďalej.

Výsledok e-mailom

Súhlas so spracovaním osobných údajov kvôli zaslaniu výsledkov / kalkulácie / analýzy a súhlas so zasielaním newsletteru musí každý zaškrtnúť zvlášť. U newsletterov sa samozrejme musí jednať o double opt-in a označenie políčka nesmie byť povinné (alebo ešte horšie už predvyplnené).

Súťaž

Aj tu platí, že musíš mať dva na sebe nezávislé súhlasy. Jeden kvôli informovaniu o prípadnej výhre alebo iným údajom, ktoré nevyhnutne potrebuješ priamo pre účasť v súťaži, druhý (nepovinný!) kvôli zasielaniu newsletterov.

Ako používať správne lead magnety podľa GDPR

Ako používať správne lead magnety podľa GDPR

 

Pre e-book Zarábajúci web mi ľudia zanechávajú referencie. Bude toto potrebné nejakým spôsobom ošetriť? Predsa len tam je meno aj fotka, čo sa považuje za osobný údaj, mám pravdu?

Tu budeš opäť potrebovať súhlas.

 

 

Môžem spraviť printscreen referencie z Facebooku a dať si ju k sebe na web?

Bez predošlého súhlasu alebo informácie pri pridávaní referencie na Facebook o ďalšom spracovaní osobných údajov nie.

Facebook je v tomto prípade správca a ty s Facebookom žiadnu spracovateľskú zmluvu podpísanú nemáš (predpokladám).

Zdroj obrázku – Výživovo.sk

 

 

Ako to bude s nástrojmi, ktoré používame pre internetové podnikanie a obsahujú citlivé údaje? Napríklad Mailchimp (software pre zber e-mailov)?

Momentálne je to s touto službou nijak, ale v prípade ak služba MailChimp príde so sľubovanými zmenami , ktoré majú dať ich služby plnohodnotne do súladu s nariadením GDPR ( koncom apríla ), tak by to mohlo byť už nejak :). Odporúčam v toto prípade sledovať domovskú stránku a prelustrovať si ich guideline k GDPR.

Opäť tu vidím ale identický problém ohľadom spracovateľskej zmluvy, ako aj v prípade s Facebook-om.

Musia GDPR riešiť aj freelanceri? Povedzme taký copywriter, ktorý píše texty pre klientov – v akej oblasti by sa ho mohlo GDPR týkať?

V prvom rade je nutné si ujasniť, kto z dvojice klient – copywriter / agentúra má vlastne z hľadiska GDPR akú úlohu a aké povinnosti sa s jeho rolou spájajú. To je dôležitý krok k tomu, aby sa vzájomná spolupráca prehľadne a hlavne právne správne nastavila.

Podľa GDPR je klient správcom osobných údajov a ako taký nesie komplexnú zodpovednosť za ich spracovanie. Je teda jeho zodpovednosťou rozhodnúť, čo sa bude zbierať a ako sa to bude využívať, a za tieto rozhodnutia musí tiež niesť následky. Oproti tomu copywriter / agentúra je v pozícii spracovateľa osobných údajov, ktoré používa pri svojej každodennej práci.

Aj keď si tieto pravidlá s klientom nastavíte, neznamená to pre vás, že už sa ďalej nemusíte zaujímať, ako váš klient s osobnými údajmi zákazníkov nakladá. Z GDPR vyplýva povinnosť upozorniť správcu, keď budete mať podozrenie, že s údajmi nenakladá celkom správne.

GDPR ochrana dát

GDPR sa blíži 🙂

 

 

Pokuta za porušenie GDPR má byť až do 4% ročného obratu firiem, čo je podľa môjho názoru pre veľa firiem likvidačné. Máme sa báť alebo to je všetko iba veľké bububu?

Nariadenie stanovuje, že za akékoľvek porušenie nariadenia by mali byť uložené sankcie vrátane správnych pokút, a to popri alebo namiesto opatrení uložených dozorným úradom.

Horná hranica pokút je nová, ale ako je opakovane v preambule k nariadeniu uvádzané, pokuty majú byť v každom jednotlivom prípade účinné, primerané a odradzujúce.

 

Nie je celé toto GDPR jedna veľká bublina? Aký je tvoj názor?

Iba sa tu zamieňa evolúcia s revolúciou 🙂

 

Ďakujem za super rozhovor Dominika!

 

ZÁVER o GDPR

Nestresujte, nehroťte, nezúfajte, neskáčte z okna.

Ide o normálnu úpravu zákonov a verte mi, že za 10 rokov budeme radi, že GDPR existuje. Málokto si uvedomuje, aké veľké riziko hrozí, keď sa nesprávné osoby dostanú k našim dátam.

Takže GDPR vidím ako riadny „opruz“ pre nás podnikateľov, ale ako super vec pre nás, občanov Európskej únie. 

Aký máte na celé GDPR názor a už sa na neho pripravujete?

 

 

5/5 - (2 votes)

Comments

  1. Podla mna GDPR je zase jedna zbytocna vec. Namiesto predpsiov a zakonov by bolo ovela uztocnejsia, keby bola nejaka technicka kontrola, ktora by kontrolovala, ze databaza v ktorom su ulozene osobne udaje su v akom miere zabezpecene. Slusny podnikatelia ani doteraz neposielali spamy a neslusny aj po GDPR budu posielat spamy. Ak sa rozpravame o ochrane osobnych udajov, tak najprv EU by mala investovat do edukacie uzivatelov internetu, aby aspon vedeli, ze co je to osobny udaj, co je to IP adresa a naco sa sluzi „incognito mode“ v prehliadaci. V roku 2018 prakticka ochrana (firewall, antispam, antiviry) osobnych udajov by bola ovela uzitocnejsia, nez vytvorenie novych vseobecnych podmienkach a dalsich dokumentov, ktorych asi nikto nebude precitat. A este jedna vec: v Slovensku niektore statne institucia este stale pouzivaju Windows XP (ktora uz nema ziadnu aktivnu bezpecnostnu funckiu) a oni chcu potom nam vystavit vseliake pokuty za porusenie zakona GDPR. V tomto forme GDPR vobec nebude efektivny ani pre zakaznikov ani pre podnikatelov.

    p.s.: Vyuzivanie internetu nie je povinne, je to iba moznost pre kazdeha cloveka na svete.

  2. Daniel Duris says

    Dobry rozhovor. Opomenuli ste ale cookies a nutnost vyziadania suhlasu pred ich ukladanim + trvalu moznost odstranenia uz pre beziacu session.

    Co sa tyka Mailchimpu – medzicasom staci vyplnit dodatok:
    https://mailchimp.com/legal/forms/data-processing-agreement/

    INak staci mat nastaveny double opt-in, ktory splna podmienku udelenia suhlasu.

    Mozno pridu este s dalsim dodatkom.

    • Super, dakujem za doplnenie. Chystam dalsi rozhovor, takze skusim tuto tematiku viac rozobrat.

      • Jak se pripravuje affilatesit.cz na situaci, že se návštěvníkům neuloží cookies a budoucí konverze nebude trackována. Je celkem jasné, že souhlas s uložením cookies dá jen minimum návštěvníků. Poté nakoupí a affilák nedostane nic.
        Docela se divím, že tohle se v affil komunitě neřeší. Přitom pokud nebudou cookies, nebudou konverze, nebudou affiláci. Affil systémy mají sice více indikátorů, jak trackovat konverzi, ale předpokládám, že cookies je stále hlavní indikátor.

    • Daniel Duris – a treba ujasniť, ktoré Cookies majú povinnosť vyžiadania súhlasu, pretože pre základnú analytiku to neplatí…

  3. Link, ktory by mal odkazovat na kontaktne udaje na slecnu koncipientku, nevedie priamo na jej profil na SAK ale len na zoznam koncipientov. SAK to nema technicky poriesene tak, aby link priamo smeroval na danu osobu. 🙂

  4. Ake su nazvy dokumentov, ktore musi kazdy podnikatel vypracovat a mat vo svojej prevadzke a kde je mozne najst vzory tychto dokumentov, teda ako maju vypadat. vdaka.

Trackbacks

  1. […] venuje už viacero právnikov. Napríklad aj moja polovička, Dominika. Nedávno ju na tému GDPR vyspovedal aj Peter […]

  2. […] Rozhovor o GDPR s mojou priateľkou Dominikou na webe chodelka.sk. […]

  3. download

    GDPR pre internetových podnikateľov (ROZHOVOR) | Chodelka.sk

  4. online píše:

    online

    GDPR pre internetových podnikateľov (ROZHOVOR) | Chodelka.sk

  5. Download píše:

    Download

    GDPR pre internetových podnikateľov (ROZHOVOR) | Chodelka.sk

  6. 4 píše:

    3

    GDPR pre internetových podnikateľov (ROZHOVOR) | Chodelka.sk

  7. /gdpr-rozhovor/trackback/

    GDPR pre internetových podnikateľov (ROZHOVOR) | Chodelka.sk

Napísať odpoveď pre Peter Chodelka, MScZrušiť odpoveď

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.