Máte konkrétní otázku ke GDPR a hledáte konkrétní odpověď? Podívejte se, zda ji najdete u nás. V tomto článku zveřejňujeme otázky, které nás ke GDPR průběžně napadají nebo na které se ptají naši zákazníci či partneři. Tak, jak se GDPR postupně prokousáváme, otázky přidáváme. Cílem stránky je předložit praktické úvahy a pomoct co nejvíce firmám s orientací v GDPR a jeho pochopením.
Věříme, že na tuto stránku zavítají i ti největší GDPR profesionálové a budeme rádi, když nás upozorní na to, jak o té které otázce správně přemýšlet, jak ji zodpovědět nebo kde přibližně odpověď najít.
Jestliže subjekt osobních údajů vznese námitku o zpracování osobních údajů pro účely přímého marketingu, správce i zpracovatel o tom musí někdé vést záznam (např. z toho důvodu, aby příjemci, který odmítl e-mail marketingová obchodní sdělení už nechodily dál e-maily). Zpracování osobních údajů je definováno jako "operace nebo soustava operací, kterou správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými přostředky". Předpokládám, že pak tedy osobní údaje (minimálně e-mail a informace o tom, že je odhlášený) mohou ležet v databázi (to, že leží v databázi, není chápáno jako zpracování osobních údajů), ale nesmí se na ně posílat, je to tak?
Pro pochopení kontextu a toho, jak přemýšlejí IT lidé o datech:
Lidé právní ovšem zřejmě chápou volnost termínu "systematicky prováděné operace" úplně jinak. Takže jak s daty po námitce o zpracování naložit?
Otázka čeká na odpověď.
Kdo rozhoduje o tom, co oprávněný zájem je a co není? Jsou k dispozici nějaké příklady?
Otázka čeká na odpověď.
Dalo by se napasovat na osobní užití, na které se GDPR nevztahuje. Co ale HR, kteří prokazatelně používají pro konkrétní firmu? Čistě hypoteticky, pokud by firma měla dva zaměstnance, kteří používají pouze LinkedIn (a nic jiného) - pokud zaměstnanec firmy pracuje se svými "connections" - je pak firma v roli správce osobních údajů vůči všem lidem z "connections"? Je pak LinkedIn v roli zpracovatele osobních údajů?
Otázka čeká na odpověď.
Facebook na profilu uživatele uvádí "je ve vztahu s X" - dá se tak dovodit sexuální orientace uživatele. Jde o citlivý osobní údaj?
Otázka čeká na odpověď.
Zápisy a archivace docházky v informačním systému obsahuje informace o čerpané nemocenské, sick days. Dá se z nich nepřímo dovodit zdravotní stav (např. četné nemoci). Jde o citlivý osobní údaj?
Otázka čeká na odpověď.
Na Facebooku se lze v příspěvku dočíst, že uživatel XYZ tvdí, že politická strana X je banda XXX a strana Y je naopak úplně skvělá. Z monitoringu příspěvků se dají dovodit politické názory. Analogicky též případ pro náboženské nebo filozofické vyznání. Je pak takový příspěvek citlivý osobní údaj?
Otázka čeká na odpověď.
Co když náš CRM systém neumožňuje export veškerých relačních osobních dat? Archivujeme například historii telefonické komunikace (přepis) a historii obchodních případů (i nezobchodované/neuzavřené případy). Je nutno dle práva na přenositelnost nabídnout ke stažení i toto? Značně se tím odkryjí karty konkurenci. Při průzkumu obchodních a marketingových strategií bude zřejmě velmi efektivní nakoupit v N firmách (stát se jejich zákazníkem) a následně si vyžádat data a účely zpracování.
Otázka čeká na odpověď.
Souhlas rodiče se zpracováním osobních údajů je potřeba do minimálně 13 let (až 16 let, dle legislativy státu). Bude tak potřeba zjišťovat věk např. i u vytváření e-mailového účtu (na e-mailu pak buou ležet osobní data)? Jak se bude věk zjišťovat a jak se bude zjištění dokladovat? Scanem občanky dospělého nebo scanem rodného listu?
Otázka čeká na odpověď.
V rámci publikační činnosti firmy někteří naši zaměstnanci psali a publikovali články na firemním blogu. U každého článku je fotka a jméno autora, v blogu je jaké profil autora - co dělá, co ho baví aj. Někteří autoři s námi již bohužel nejsou. Co s takovými články? Z webu je nechceme odstraňovat, protože pomáhají našim zákazníkům orientovat se v problematice marketingu. Mohli bychom odstranit fotky autorů a jejich jména. Nechceme jim ale zase upírat autorství. Co s tím? Získat od nich souhlasy? Je to potřeba? A jak by případně měly vypadat?
Otázka čeká na odpověď.
V rámci firemní prezentace máme vytvořené společné skupinové fotky zaměstnanců. Někteří zaměstnanci s námi již bohužel nejsou. Co s tím? Přefotit všechny fotky a změnit je ve všech firemních materiálech je "logisticky" náročné. Začerňovat tváře asi taky není ono. Napadá vás, jak to řešit? Získat souhlasy od zaměstnanců? Co když je nedají? Pak začerňovat/rozmazávat/přefocovat?
Otázka čeká na odpověď.
V rámci firemní prezentace čas od času vypublikujeme foto zaměstnance na sociální síť. Někteří zaměstnanci s námi již bohužel nejsou. Ať už jde o profilovou fotku nebo společnou fotku z nějaké akce, nechceme (není-li to nutné) mazat příspěvky z historie, aby to nerozbíjelo kontext a historii na sociální síti. Nechceme působit jako cenzoři. Co s tím? Získa souhlasy od bývalých zaměstnanců?
Otázka čeká na odpověď.
Pracovní skupina ve svých metodických pokynech uvádí, že žádosti by měly být odbaveny ideálně automaticky – buď stažením ze zabezpečené sekce/odkazu nebo přes API. Což znamená, že musíme najít vhodný automatizovaný systém autentifikace žadatele. Ale jak na to?
Pokud například u firmy někdo udělá objednávku bez registrace, osobní data zůstanou ležet ve firemním systému. Firma ale není schopna nijak na dálku ověřit žadatele.
Na stejné adrese mohou také naprosto bez problémů bydlet dva lidé se stejným jménem i příjmením. Jak takové 2 žadatele od sebe rozpoznat, aby nedošlo k vydání osobních údajů někomu, komu údaje nepatří?
Kdokoliv může dokonce odeslat objednávku za třetí osobu. Prostě vyplní její osobní údaje. Děti běžně objednávají zboží pro své rodiče, manželé pro manželky, přítelkyně pro přítele apod. Takže autentifikace přes e-mail nebo znalost vyplněných údajů nebude často k identifikaci žadatele dostačovat.
Co teď? Budou si firmy nechávat zasílat společně s žádostí o osobní údaje notářsky ověřené občanky a pasy? Nebo budou nutit zákazníky žádat osobně s ověřením žadatele proti občance nebo pasu? Zatím nevíme.
Otázka čeká na odpověď.
Co když se rozhode konkurenční firma šikanovat svého “třídního nepřítele” tím, že mu bude zasílat falešné požadavky na přenositelnost dat? Např. si 200x vyžádá data, přičemž jen 1 subjekt z 200 bude platný? Pokud firma bude požadavky ignorovat, vystavuje se riziku pokuty. Pokud ne, bude je muset projít všechny, včetně těch falešných a bude jí to stát moře času.
Dokážeme si např. představit šikanu operátorů, kdy se lidé na sociálních sítích domluví a začnou svými žádostmi ždímat firemní zdroje. Je jen otázka času, kdy se najde chytrá hlava, která vytvoří sociální skupinu a vyzve ostatní: “Když jsou ti šmejdi tak drazí, pojďme od nich pravidelně žádat data a naložme jim tím co proto!”
(Pozn. pod čarou: Cenu operátorů nehodnotíme, pouze prezentujeme často slýchaný názor davu. V žádném případě k ničemu nenavádíme. My v Mail Komplet jsme se službami svého operátora spokojení. Včetně cenovky.)
Otázka čeká na odpověď.
GDPR se dotkne každé firmy. Každá firma spravuje osobní údaje a tato data neleží na jednom místě. Data se obvykle nacházejí v účetnictví, v CRM systému, v marketingovém systému, v e-mailech, v logistickém systému, v systému pro zákaznickou podporu a to je jen začátek výčtu.
Pokud by měly být žádosti o osobní data odbavovány automatizovaně, předpokládá to tedy 2 věci:
To, že autentizace je v určitých případech nemožná, jsme zmínili výše. Díky tomu ne vždy půjde žádosti řešit automatizovaně.
A co se týče propojení všech interních firemních systémů? Odhadujeme, že tohle udělá velký vír v rozpočtu firem a způsobí mnoho vrásek na čele finančních ředitelů a majitelů firem. Velké firmy z toho jásat nebudou, zátěž však zvládnou. Co ale firmy malé a střední? No, uvidíme…
Otázka čeká na odpověď.
Přihlaste se k odběru našich newsletterů a dostávejte aktuální novinky a články.
Doba jde dopředu. A my též. Už nějakou dobu pracujeme na tom, aby tvorba vašich e-mailingových kampaní byla rychlejší, jednodušší a efektivnější. A právě proto jsme pro vás vytvořili nový nástroj Boldem.
Ve spolupráci s partnerem Lemonero specializujícím se na chytré financování e-shopů jsme pro vás připravili základní informace k finančnímu plánování pro váš byznys.
Svět technologií se neustále vyvíjí a rok co rok se tempo „zrychluje“. Zrychluje se natolik, že je někdy obtížné udržet se všemi změnami krok. Pokud nepůjdete „s dobou“, jednoduše řečeno, ujede Vám vlak.
V posledních letech došlo k dramatické digitální transformaci marketingu. Současná světová situace tento trend ještě více zvýraznila. Prostředí online marketingu je dynamičtější než kdykoli předtím.
Znáte to, přijdete na stránky a hned na Vás vyskakuje lišta s informacemi o tom, že se ukládají nějaké cookies. Většina z nás bezmyšlenkovitě kliká na souhlasím a pokračuje na obsah. Co se změní v novém roce?
Nejste zdatní v HTML kódování, ale zároveň byste raději rozesílali e-maily v HTML kódu? V tomto díle zjistíte, jak je snadné vytvořit kódovanou šablonu takřka bez jakýchkoliv znalostí o HTML kódování.