Úvod | Legislatíva | GDPR – ako zasiahne do marketingovej komunikácie?

GDPR – ako zasiahne do marketingovej komunikácie?

Prečítajte si aktuálne zhrnutie výstupov z  konferencie, ktorú zorganizovalo združenie pre internetovú reklamu IAB Slovakia na tému “Ako zasiahne GDPR do marketingovej komunikácie?”

V máji budúceho roku nadobudne platnosť nová európska legislatíva týkajúca sa ochrany osobných údajov. Nové nariadenia známe pod skratkami GDPR a ePrivacy prinesú zmeny do života najmä v online priestore.

Zmenené pravidlá budú platiť pre všetky subjekty digitálneho odvetvia – zadávateľov, prevádzkovateľov médií a webových stránok, agentúry a zároveň každého internetového návštevníka, keďže hlavným zámerom Európskej komisie je chrániť užívateľa a jeho identitu.

JUDr. Daniela Palkovičová z Úradu na ochranu osobných údajov SR na úvod konferencie priniesla dobrú správu. Kto bol doteraz v súlade s platným zákonom č. 122/2013 Z. z., nemal by mať pri prechode na novú legislatívu priveľa problémov. Napriek tomu nové nariadenie GDPR zavádza niekoľko nových povinností.

Legislatívny rámec

Legislatívny rámec v oblasti ochrany osobných údajov tvoria predovšetkým nariadenie GDPR, návrh zákona o ochrane osobných údajov a pripravované vyhlášky, návrh nariadenia o ochrane osobných údajov v elektronických komunikáciách (známe pod názvom ePrivacy), ale aj zákon o reklame, zákon o ochrane spotrebiteľa či pripravovaný zákon o kybernetickej bezpečnosti.

Zvážte význam vašich dát

Každý subjekt by mal v prvom rade posúdiť, s akými dátami svojich zákazníkov narába, či majú charakter osobných dát a či tieto dáta naozaj pre svoju činnosť potrebuje a využíva. Vždy by sa mal držať zásady „privacy by default“, ktorá vyžaduje v najväčšej možnej miere zabrániť používaniu, spracúvaniu a zverejňovaniu osobných údajov. Tiež je dôležité jednoznačné identifikovanie subjektu vzhľadom na osobné dáta a úkony s nimi súvisiace, či sa daný subjekt nachádza v pozícii „prevádzkovateľa“ (vlastník osobných údajov), alebo sprostredkovateľa – subjekt, ktorý vykonáva činnosť s poverením prevádzkovateľa. Príkladom môže byť subjekt, ktorý realizuje súťaž pre svojho klienta.

ART_6615_tlac

Ktoré dáta sa považujú za osobné

Osobné dáta sú podľa GDPR tie, na základe ktorých môže prísť k jednoznačnej identifikácii fyzickej osoby. Patria sem napríklad aj firemný e-mail, ale i samotné cookie, ak vieme identifikovať konečného používateľa – cookie nie je za každých okolností podľa GDPR osobným údajom ani výpočet súboru údajov, ak nevieme identifikovať používateľa, sa za osobné údaje nepovažujú. Medzi osobným a neosobným údajom môže byť veľmi tenká čiara. Napríklad ak máme k dispozícii len gmailovú adresu – tá sa za osobný údaj vždy nepovažuje, keďže nemôžeme stopercentne identifikovať, o koho ide, aj keď je použité meno a priezvisko.

Pseudonymizácia a šifrovanie

Ide o dva odlišné pojmy i úkony. Ak osobné údaje pseudonymizujeme – „proces oddelenia údajov od priamych identifikátorov“ – a v prostredí prevádzkovateľa sa nenachádza kľúč na ich priradenie, nepovažujeme tieto údaje za osobné.

Šifrovanie je ochrana údajov napríklad kryptovaním alebo zaheslovaním dát na USB kľúči – v takomto prípade sú údaje stále považované za osobné.

Na spracúvanie údajov je stále potrebný súhlas

Akékoľvek spracúvanie osobných údajov v marketingovej činnosti je možné na základe právneho základu, ktorým môžu byť napríklad zmluva, oprávnený záujem, samotný zákon, ale najčastejšie to bude v marketingovej komunikácii práve súhlas!

Musíte dokázať, že máte súhlas na spracovanie osobných údajov

JUDr. Marcela Macová, PhD. zo spoločnosti DAPRO Consulting, s. r. o., upozornila, že pravidlá schválené na európskej úrovni budú na 95 percent rovnaké vo všetkých krajinách EÚ. Zvyšok si môžu upraviť jednotlivé štáty vnútroštátnym predpisom.
Na Slovensku bude platiť nový zákon o ochrane osobných údajov. Podľa Macovej sa zruší možnosť spracovať osobné údaje v rozsahu titul, meno, priezvisko a poštová adresa bez súhlasu na účely direct marketingu v poštovom styku.

Významná zmena sa bude týkať udelenia súhlasu. Súhlas dotknutej osoby bude podľa GDPR slobodne daný, jednoznačný prejav vôle formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu. Prevádzkovateľ bude musieť dokázať, že ho s týmto cieľom a takýmto spôsobom aj získal. Mlčanie, vopred označené políčka alebo nečinnosť nebudú považované za súhlas dotknutej osoby podľa novej legislatívy.

Svoju pozornosť zamerala v prednáške aj na súťaže, v prípade ktorých je ideálnym riešením v krátkom vyjadrení o spracovaní osobných údajov použiť linkovanie na štatút súťaže a taktiež „privacy policy“.

Používate na zasielanie newsletterov aplikáciu MailChimp? V takom prípade sa majte na pozore, keďže dáta sú posielané za hranice EÚ a svojich odberateľov musíte v podmienkach ochrany súkromia o prenose do tretích krajín mimo EÚ informovať.

Článok bol publikovaný aj na portáli Strategie.sk:
http://strategie.hnonline.sk/media/1055091-gdpr-co-prinesie-nova-legislativa


Tému GDPR a ePrivacy a výstupy z konferencie budeme rozoberať aj v budúcnosti v ďalších článkoch.

Článok vznikol v spolupráci výkonnej riaditeľky IAB Slovakia Daši Karpelovej a Denisa Bohumila Schvarcza, šéfeditora portálu Strategie.sk