V poslední době se na nás obrací stále více klientů, kteří potřebují zkontrolovat, zda jejich nastavení GDPR odpovídá tomu, co by mělo být na webu uvedeno. A možná tato otázka napadla i Vás. Na webech mnohdy fungují e-shopy, SaaS aplikace, či je aplikace nahraná na různých platformách (Google Play, App Store). Souhrnně je můžeme nazvat jako aplikace (omluva všem technikům, vývojářům a dalším z oboru, je to fakt jen pro zjednodušení! ?).
Tyhle aplikace mnohdy obsahují registrační formuláře, kontaktní formuláře, přihlášení k newsletteru, cookie lišty. Zároveň mohou na pozadí sbírat další data, o kterých uživatel neví.
Ne všichni provozovatelé aplikací nebo webu však dostatečně myslí na správné nastavení z pohledu GDPR a dalších předpisů na ochranu soukromí. Někteří provozovatelé aplikací se domnívají, že postačí sepsat "nějaké dokumenty", které potom umístí na web a všechno bude "Oukej". Bohužel takto tomu není.
Příkladem, ze kterého je možné si vzít do budoucna ponaučení, je aplikace Grindr.
Norský dozorový úřad má v úmyslu udělit této aplikaci pokutu přes 10 miliónů EUR. Jedná se o aplikaci, která má přes 13 miliónů aktivních uživatelů a která slouží pro seznamování lidí na základě údajů o poloze (obdoba známé aplikace Tinder). Je nutno podotknout, že aplikace Grindr slouží k seznamování gay, bi či trans osob. Tato aplikace sdílela GPS lokaci, uživatelské údaje a samotnou informaci, že konkrétní osoba je na dané aplikaci s třetími stranami pro marketingové účely. Norský úřad dospěl k závěru, že už jen tato samotná informace, že uživatel využívá tuto aplikaci, je údajem o sexuální orientaci osoby, což je zvláštní kategorií osobních údajů.
Pro sdílení dat s třetími stranami pro marketingové a reklamní účely v případě profilování a ukládání informací o poloze, je bezesporu potřeba souhlasu se zpracováním osobních údajů. Obdobně to bude platit také o sdílení informací týkajících se sexuální orientace subjektů údajů.
Takový souhlas musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle.
Jak by měl vypadat takový souhlas jsme rozebrali v jednom ze svých článků na webu.
Uživatel při stažení a spuštění aplikace musel odsouhlasit „Privacy policy“, přičemž aplikace se jej specificky nezeptala, zda uživatel chce, aby byla data sdílena se třetími stranami pro účely reklamy a marketingu. Zároveň tato skutečnost ani nebyla správně v Privacy policy komunikována. Uživatelé tak neměli možnost svobodně se rozhodnout, zda chtějí data se třetími subjekty sdílet či nikoliv.
Výše uvedený příklad je pouze jedním z mnoha, který se může stát. Jedná se však o časté provinění provozovatelů aplikací. Vynucování souhlasu prostě není možné a uživatel se musí svobodně rozhodnout, zda jej udělí či nikoliv. Určitě nemůže být spojován s check-boxem, na základě kterého se uživatel seznámil se zpracováním osobních údajů pro jiné účely a právní základy.
Zkuste si v aplikaci/na webu zkontrolovat tyto oblasti:
Máte aktuální verzi informačního dokumentu, na základě kterého informujete uživatele o tom, jak nakládáte s osobními údaji? Náležitosti, které musí obsahovat jsou uvedeny v čl. 13 a 14 GDPR.
Inspirovat se můžete prakticky na každém webu. Jedná se o velmi rozšířený dokument. Ovšem pozor! Nekopírovat! A zároveň nespoléhat na: "Tohle je velký hráč na trhu, ten to má určitě správně."
Umožňujete registraci? Jaké check-boxy při dokončení registrace máte? Prakticky si je můžete rozdělit na dva základní druhy - povinné a nepovinné.
Z pohledu ochrany osobních údajů je povinný check-box potřeba u seznámení se s "Privacy policy". Důvod je ten, abyste byli schopni prokázat, že se s tímto dokumentem opravdu uživatel seznámil a ví, jak je s jeho daty nakládáno.
Nepovinné check-boxy poté typicky budou - souhlasy se zpracováním osobních údajů (třeba právě pro sdílení pro marketingové účely, ukládání citlivých údajů atp.). Dále bývá běžně jako nepovinný check-box "nesouhlas se zasíláním obchodních sdělení".
Ptáte se: "Jak jako nesouhlas se zasíláním obchodních sdělení"?
Pokud si registrujete na webu/aplikaci své zákazníky, můžete jim zasílat obchodní sdělení (newslettery, nebo jak jednou řekl náš úžasný klient: "marketingové povídačky do e-mailu"). Zasílání obchodních sdělení svým zákazníkům je možné i bez souhlasu (existuje oprávněný zájem pro přímý marketing). Musí se však nabízet pouze obdobné výrobky a služby. Navíc ale musíte umožnit ještě před odesláním prvního sdělení odmítnutí zasílání.
A k tomu by měl právě sloužit tento nepovinný check-box. Jednoduše, pokud vám jej uživatel "zaklikne", nechce dostávat marketingové povídačky. Pokud jej ale "nezaklikne", můžete tak činit. V každém e-mailu mu však musíte umožnit odmítnutí.
Řešíte je? Víte, kdy potřebujete souhlas s jejich ukládáním a kdy nikoliv? Třeba k takovým technickým cookies souhlas nepotřebujete, ale pořád o nich musíte uživatele informovat. Kde? Kdekoliv na webu, nejlépe třeba v zápatí, hlavně nesmíte dokument na webu schovávat pod tisíce prokliků.
U ostatních cookies (třeba analytických, marketingových) je situace složitější. U nich již nepostačí jen informovat. Na webu je nespočet článku o tom, jak český zákonodárce špatně přijal zákon a ten umožňuje ukládat cookies do té chvíle, než uživatel udělí nesouhlas. Tato možnost je pravděpodobně prozatím možná (Úřad pro ochranu osobních údajů kolem toho tak trošku mlží).
Na druhou stranu nás už možná brzo čeká novela zákona o elektronických komunikacích, která by už režim měla nastavit správně, tedy vyžadovat aktivní souhlas pro ukládání cookies. Navíc nás pravděpodobně příští rok čeká ePrivacy nařízení, které s aktivním souhlasem také počítá.
Gratulujeme, s velkou pravděpodobností na ochranu osobních údajů a soukromí na internetu myslíte. Výše jsou uvedeny však pouze nejčastější problémy a jakékoliv specifikum vaší aplikace může povinnosti jen rozšířit.
Poté určitě napište! Společně si váš web/aplikaci projdeme a společně GDPR na webu/aplikaci nastavíme.
Pokud byste měli zájem o celkovou kontrolu vašeho webu, umíme ji zajistit také. V rámci kontroly webu:
Jako výstup od nás obdržíte souhrnný dokument, ve kterém si jednoduše přečtete, co máte a nemáte na webu správně, včetně doporučení, jak daný problém odstranit.