Zhromažďujete údaje potenciálnych zákazníkov, ktoré ste našli na internete a posielate na ne ponuku svojich služieb? Potom si dávajte pozor, môžete mať totiž vážne problémy so zákonom.
Aj marketing má svoje pravidlá v súvislosti s údajmi a kontaktami na zákazníkov, ktorých svojimi aktivitami oslovujete. Vzťahuje sa na ne zákon o ochrane osobných údajov, ktorý musí dodržiavať každý podnikateľ. Bez ohľadu na to, ako tieto údaje získal.
Nielen pri oslovovaní zákazníkov platí, že osobné údaje patria subjektu (resp. v terminológii zákona tzv. „dotknutej osobe“) a nie tomu, kto ich spracováva a akokoľvek pri svojej činnosti využíva. Je pravdou, že mnoho údajov o fyzických osobách alebo podnikateľoch je dnes voľne dostupných na internete. To však neznamená, že ich je možné využívať na marketingové účely a neplatia pre ne zásady ochrany osobných údajov. Pokiaľ ste si teda mysleli, že nie je nič jednoduchšie ako zozbierať údaje z internetu a potom s takto vytvorenou databázou pracovať, ste na omyle. Aj na využitie takto získaných údajov potrebujete súhlas dotknutej osoby. Tým, že niekto stiahne verejne prístupné údaje a vytvorí si z nich databázu na marketingové alebo akékoľvek iné účely, porušuje zákon. To isté platí pre osobné údaje o vašich súčasných zákazníkoch, ktoré ste získali napríklad prostredníctvom nákupu cez váš e-shop.
Na spracovanie údajov potrebujete súhlas
Už samotným získavaním, zaznamenávaním alebo zhromažďovaním osobných údajov sa z vás ako podnikateľa stáva spracovateľ osobných údajov. Či už predávate nábytok alebo prevádzkujete e-shop s elektronikou, na správu databázy osobných údajov o svojich zákazníkoch potrebujete ich súhlas. Ten si od nich môžete vyžiadať priamo v písomnej zmluve alebo napríklad pripojením informácie k tlačidlu na odoslanie objednávky v e-shope. V súhlase so spracovaním osobných údajov pritom musíte uviesť, aké údaje o zákazníkovi, za akým účelom a v akom rozsahu sa chystáte spracovávať. Rovnako ho musíte informovať o tom, že má právo svoj súhlas kedykoľvek v budúcnosti odvolať. Okrem toho si v prípade, že chcete svojim zákazníkom zasielať aj reklamu, musíte vyžiadať ich osobitný súhlas.
Informačné systémy treba registrovať
Tým však vaše administratívne povinnosti nekončia. V súvislosti so správou databázy s osobnými údajmi svojich zákazníkov vám zákon o ochrane osobných údajov ukladá ďalšie povinnosti. Novelou zákona od 1.7.2013 bolo ustanovené, že databázu, teda informačné systémy, musíte registrovať na Úrade na ochranu osobných údajov. Registrácia je spoplatnená sumou 20 Eur, v prípade osobitnej registrácie až 50 Eur. Tomuto sa nevyhnete ani v prípade, že pre vás osobné údaje spracováva iná spoločnosť. Ako prevádzkovateľ ste v tomto prípade navyše povinný uzavrieť so sprostredkovateľom písomnú zmluvu. Tá musí obsahovať tiež vyhlásenie, že sprostredkovateľ, ktorého ste zvolili na spracovávanie osobných údajov, je odborne, technicky, organizačne a personálne spôsobilý zaručiť bezpečnosť spracúvaných osobných údajov. Inak vám hrozí, že budete v prípade porušenia zákona sprostredkovateľom niesť za neho zodpovednosť vy.
Ak spracúvate údaje v informačnom systéme s verejne prístupnou počítačovou sieťou alebo citlivé údaje, musíte vypracovať bezpečnostnú smernicu alebo bezpečnostný projekt. Podmienky a povinný obsah týchto dokumentov nájdete vo Vyhláške Úradu na ochranu osobných údajov o rozsahu a dokumentácii bezpečnostných opatrení.
Zamestnanci musia byť poučení
Zabezpečiť musíte aj podmienky práce s osobnými údajmi zo strany vašich zamestnancov. Každá osoba, ktorá prichádza do styku s osobnými údajmi, musí byť poučená. O poučení musí byť vyhotovený písomný záznam s vlastnoručným podpisom. Ak spracuvávate osobné údaje prostredníctvom viac ako 20 osôb, môžete poveriť zodpovednú osobu, ktorá bude vykonávať dohľad nad ochranou osobných údajov a dodržiavaním zákona pri narábaní s týmito údajmi. Zodpovedná osoba však musí absolvovať skúšku, ktorá je zameraná na znalosť zákonov upravujúcich oblasť ochrany osobných údajov a nemôže byť členom štatutárneho orgánu. Keď túto osobu písomne poveríte a vykonáte poučenie, musíte ju nahlásiť na Úrad na ochranu osobných údajov. Dobrou správou je, že v tomto prípade potom nemusíte na úrade registrovať svoje informačné systémy.
Prenos údajov do cudziny závisí od cieľovej krajiny
Pozor si dávajte aj v prípade, že sa chystáte preniesť osobné údaje zákazníkov do inej krajiny. To sa vám môže stať nielen v prípade nadnárodnej spoločnosti, ale aj externého outsourcingu alebo cloud computingových zmlúv. V prvom rade musíte zistiť, či krajina spĺňa požiadavku „adekvátnosti“ ochrany osobných údajov. Ak ju nespĺňa, je potrebné pripraviť zmluvu o prenose osobných údajov. Takáto zmluva je potrebná len v prípade prenosu z EÚ do tretej krajiny, ktorá nemá ochranu osobných údajov v súlade so štandardmi EÚ. Niektoré krajiny boli rozhodnutím Európskej Komisie uznané ako krajiny, ktorých úroveň ochrany spĺňa štandardy ochrany EÚ (napr. Švajčiarsko, Guernsey, Argentína, do istej miery Izrael, USA Safe Harbour, Jersey a pod.).
A čo s e-mailovými adresami?
Táto povinnosť by sa nemala týkať prípadu použitia nástrojov na hromadné rozposielanie e-mailov ako je napríklad MailChimp alebo Smart Emailing, nakoľko samotná e-mailová adresa nie je osobným údajom. E-mailová adresa by však nemala obsahovať názov zamestnávateľa danej osoby alebo identifikátor, na základe ktorého je možné osobu identifikovať. V takom prípade by sa na ňu už vzťahoval zákon o ochrane osobných údajov. V prípade marketingu formou poštového styku môžete bez písomného súhlasu spracúvať titul, meno, priezvisko a poštovú adresu osôb, ak pritom dodržíte ďalšie ustanovenia zákona.
Nejasná budúcnosť sporného zákona
Nad zákonom o ochrane osobných údajov stále visia mnohé otázniky. Podľa súčasne platného zákona je spracovávanie osobných údajov pre podnikateľa skutočne administratívne a aj finančne náročné. Niet divu, že podnikatelia namietajú a žiadajú zmenu. Tento týždeň vláda nečakane schválila novelu zákona z iniciatívy samotného predsedu vlády. Ak prejde parlamentom, mala by začať platiť už 1. apríla 2014. Okrem zmiernenia pokút za porušenie zákona a zrušenie povinnosti Úradu na ochranu osobných údajov pre ich udeľovanie však žiadne zásadné zmeny nepriniesla. Nádej na zásadnejšie zmeny tak zatiaľ prináša návrh novely zákona o ochrane osobných údajov doručený Národnej rade SR v posledný februárový deň. Podľa neho by sa mali zrušiť skúšky zodpovedných osôb, povinnosť evidencie a osobitnej registrácie informačných systémov a tiež povinnosť Úradu na ochranu osobných údajov SR uložiť pokutu za každé porušenie zákona. Okrem toho by sa mali predĺžiť ročné lehoty prechodných období na úpravu zmluvných vzťahov so sprostredkovateľom a opätovné poverenie oprávnených osôb. Či však a v akej podobe bude ďalšia novela zákona prijatá bude závisieť od ďalšieho vývoja legislatívneho procesu v Národnej rade SR v nasledujúcich týždňoch.
