Freelanceři kontra GDPR

Pokud zacházíte se svými daty a osobními údaji klientů zodpovědně, GDPR bude váš kamarád a ochránce.

ilustrace Michael Petrus

A je to za námi! Ano, magické datum 25. 5. 2018, kdy se stalo účinným Obecné nařízení o ochraně osobních údajů známé spíše pod zkratkou GDPR.

Neznám žádný jiný právní předpis, který by vzbuzoval tak rozporuplné emoce a zároveň přitáhl pozornost tolika milionů lidí jako právě GDPR. V jednu chvíli bylo dokonce vyhledávanější než hvězdná zpěvačka Beyoncé a zřejmě i nadále bude přitahovat pozornost každého, kdo se nějakým způsobem dotýká osobních údajů nás Evropanů.

Proč právě teď?

Přestože se tímto nařízením a jeho správným (nebo i naprosto nesmyslným) výkladem zabývala celá řada publicistů i konzultantů, od ajťáků přes markeťáky až po rozvodové právníky, jeho pochopení stále není dostatečné. Nařízení je totiž dosti obecné a mnozí se rozhořčeně ptají: Proč to strašné GDPR muselo přijít právě teď? Tím má smysl začít.

Jedním z důvodů, proč Evropská unie přistoupila k přijetí GDPR, je, že legislativa v oblasti ochrany dat nezaznamenala žádné výrazné změny od roku 1995. Jenže čtvrtstoletí je v oblasti vývoje informačních a komunikačních technologií šíleně dlouhá doba.

Náš život se za tu dobu přesunul na sociální sítě, mobily nedáme z ruky, naše data volně plují v cloudu a bez váhání je svěřujeme bezpočtu mobilních či webových aplikací. Vedle toho explodoval počet míst, kde se nás technologie dotýkají, ať už jde o miliony kamer a senzorů ve veřejném prostoru, nebo zdánlivě anonymní brouzdání internetem, které ale zanechává pro někoho velice čitelnou digitální stopu. A to ani nemluvím o technologiích, které teprve nastupují, jako jsou kryptoměny, umělá inteligence, virtuální realita, chytrá domácnost, samořiditelná auta, analýzy velkých souborů dat atd.

Technologie samotné škodlivé nejsou, obvykle nám spíš pomáhají, ale jako všechno mohou být zneužity, což se i reálně děje. Prohlubující se kontakt s technologiemi umožnil v nebývalé míře sledovat, analyzovat a svým způsobem i ovlivňovat chování běžných uživatelů, aniž by si toho byli vůbec vědomi. Naše soukromí už dávno není jen naše a digitalizované osobní údaje se postupně staly velmi cennou obchodní komoditou.

Např. v USA tak není výjimkou, že agregovaná profilová data uživatele získaná bez jeho vědomí z nejrůznějších zdrojů ovlivňují jeho kreditní skóre, a tedy i reálný život. A existuje i trh s osobními údaji, který je součástí běžné, šedé i černé ekonomiky.

Zatímco skutečný svět kolem nás se mění přijatelně pomalu, ten digitální prochází prudkým a těžce předvídatelným skokovým vývojem, což je zřejmě hlavní důvod, proč se do něj EU nyní snaží zasáhnout a stanovit jasná pravidla. GDPR vrací kontrolu nad osobními údaji zpět jejich právoplatným majitelům — tedy nám občanům.

Lidé, kteří spílají na GDPR a nenacházejí pro něj důvody v okolním světě, štěkají pod špatným stromem. Ve skutečnosti jde především o střet ve světě, který nevidíme, a tím je svět technologií, dat, cloudů, mobilů a digitalizovaných informací.

GDPR je psáno tak, aby mělo pokud možno plošný dopad na všechny firmy, instituce, ale i jednotlivce a online služby, které zpracovávají osobní údaje fyzických osob. Dotýká se nejen velkých nadnárodních korporací, ale také nás freelancerů, drobných živnostníků, různých zájmových, sportovních a kulturních spolků, charitativních organizací, hotelů, bytových družstev a samozřejmě školských a zdravotnických organizací, které mají třeba jen pár zaměstnanců nebo zpracovávají údaje přinejmenším jednoho klienta.

Základním kritériem pro určení míry dopadu GDPR na váš byznys však není počet zaměstnanců, ale množství a hlavně charakter zpracovávaných osobních údajů. V praxi to znamená, že mnohem větší dopad bude mít GDPR na ordinaci soukromého lékaře nebo personální agenturu se třemi zaměstnanci než třeba na výrobní závod, který sice zaměstnává stovky lidí, ale jehož předmětem podnikání je výroba, a nikoli systematické zpracování osobních údajů.

Nemalou měrou zasáhne GDPR i online aplikace, které provádí profilování osob za jakýmkoliv účelem. Takoví výrobci chytrých hodinek či jiných zařízení, které nám měří tlak, tep a sledují řadu údajů, které následně vyhodnocují, se budou muset s dodržováním přísnějších pravidel vypořádat důsledněji než třeba ony zmiňované výrobní závody.

GDPR kontra freelanceři

Jak se ale GDPR dotkne freelancerů, kteří většinou nemají žádné zaměstnance, pracují jen pro pár desítek klientů a snaží se administrativní chod svého podnikání co nejvíce zjednodušit prostřednictvím jednoduchých nástrojů a aplikací? Míra dopadu nařízení a vaše připravenost na nová pravidla se bude odvíjet z odpovědí na následující otázky:

1. S jakými osobními údaji svých zákazníků disponuji?
2. Za jakým účelem je vůbec mám a k čemu je využívám?
3. Po jak dlouhou dobu mohu s těmito údaji pracovat?
4. Mám tyto údaje dostatečně zabezpečené ať už v elektronické, nebo papírové formě? Kdo další k nim má přístup?
5. Zasílám svým zákazníkům newsletter nebo jiné obchodní nabídky související s mým podnikáním?
6. Provozuji eshop nebo jinou webovou aplikaci, jejíž prostřednictvím získávám údaje o svých zákaznících?

Za vším hledej osobní údaje

Míru dopadu GDPR na vaše podnikání lze určit právě podle dat, s nimiž pracujete. Čím méně jich je, tím lépe pro vás. Pokud navíc pracujete pouze s běžnými kontaktními údaji svých klientů, tak se GDPR nejspíš nemusíte vůbec obávat.

GDPR pracuje s několika kategoriemi osobních údajů:

• Obecné údaje — jméno a příjmení, věk a datum narození, pohlaví, osobní stav, občanství, IP adresa, fotografie nebo jiný obrazový materiál, finanční údaje (čísla kreditních karet, bankovních účtů apod.)
• Organizační údaje včetně kontaktních — pracovní a osobní emailová adresa, pracovní nebo osobní mobilní telefon, adresa bydliště či místa podnikání, číslo pasu a občanského průkazu, rodné číslo či jiné ověřovací a identifikační údaje
• Citlivé údaje — rasa či etnický původ, náboženské, politické či filozofické vyznání, členství v odborech, sexuální orientace, zdravotní stav, trestní delikty či pravomocné odsouzení, genetické údaje (krevní rozbory, DNA profil, rentgenové snímky, důvěrné lékařské zprávy atd.), biometrické údaje (podpis, otisky prstů, snímky obličeje či jiných částí těla, hlasové záznamy apod.)

Pokud si v rámci své podnikatelské činnosti nevystačíte pouze s obecnými a kontaktními údaji a musíte zpracovávat i některý z výše uvedených citlivých údajů, pak budete vystaveni přísnějším pravidlům a povinnostem, které spočívají například ve vedení záznamů o činnosti podle článku 30 GDPR. Zkrátka větší administrativě, za kterou je GDPR nejvíce kritizováno, se nevyhnete. Na druhou stranu s citlivými údaji by mělo pracovat jen minimum freelancerů, pokud jejich podnikání není úzce spjato s činnostmi, které se bez těchto dat neobejdou.

Proč osobní údaje vůbec mám?

Poté, co si určíte, jakými osobními údaji v rámci svého podnikání disponujete, je nutné si odpovědět na další, neméně významnou otázku:

Za jakým účelem (tj. proč) dané osobní údaje vůbec zpracovávám?

Drtivá většina freelancerů poskytuje svým zákazníkům nějakou službu (odborná práce, školení, konzultace), popřípadě prodávají svůj produkt, a za to si účtují odměnu. Logicky tedy musíte disponovat základními osobními údaji klienta pro zajištění obchodního styku, které pak např. uvádíte na faktuře, jinak byste nedostáli svým zákonným povinnostem.

A tím se dostáváme k jednomu z nejdůležitějších ustanovení GDPR, kterým je článek 6 o právních důvodech ke zpracování osobních údajů. A pozor, dobrovolný souhlas je pouze jedním z nich a měli byste ho využít jen v krajním případě, pokud se nemáte možnost opřít o jiný z nabízených právních důvodů, kterými budou u freelancerů ve většině případů buď plnění zákonné, nebo smluvní povinnosti. V případě údajů uváděných na fakturách se musíte řídit zákonem č. 563/1991 Sb. o účetnictví a máte právo povinné osobní údaje (kromě emailové adresy a telefonního čísla) zpracovávat po dobu 5 let. V žádném případě k takovému zpracování nepotřebujete souhlas svých zákazníků.

Běžně zpracovávanými údaji jsou emaily a telefonní čísla. Zde je nutné si položit základní otázku, jak jsem k těmto údajům přišel a za jakým účelem je eviduji. Pokud si u vás zákazník objednal službu nebo zakoupil produkt, tak ve většině případů potvrzení objednávky probíhá právě prostřednictvím těchto elektronických prostředků. Můžete si je uchovávat bez souhlasu zákazníka alespoň po dobu 36 měsíců pro případ vzniku sporu mezi vámi a vaším klientem. V případě prodeje zboží, na které se vztahuje záruční doba, můžete email nebo telefonní číslo zpracovávat pro účely reklamace po dobu trvání záruční doby atd.

Samostatnou kapitolou je zpracování emailů a telefonních čísel za účelem marketingu a zasílání obchodních sdělení například formou newsletterů. Zákon č. 480/2004 Sb. vám přiznává oprávněný zájem nabízet vaše produkty nebo služby zákazníkům v rámci marketingových kampaní, ale jde v tomto ohledu trochu dále než GDPR a využívá tzv. potvrzení „soft opt-in“. Znamená to, že vám zákon umožňuje předpokládat, že váš zákazník proti marketingu nic nenamítá, pokud jste kontaktní údaje od dané osoby získali při prodeji některého produktu či služby nebo při jednání o takovém prodeji.

Předmětem marketingu je výhradně váš vlastní, podobný produkt či služba, a navíc musíte dát dané osobě možnost odmítnout marketingovou komunikaci nebo se z ní odhlásit, a to jak v okamžiku sběru jejího kontaktního údaje, tak v jakékoliv další zaslané zprávě. Je tedy zřejmé, že můžete použít pouze údaje získané od vašich zákazníků a pouze pro marketing produktů nebo služeb podobných těm, jež zákazník původně poptával či zakoupil. Stručně řečeno, nejste oprávněni využívat zakoupené mailingové seznamy ani údaje získané jindy než v průběhu prodeje (např. údaje vymámené jako podmínku přihlášení k veřejné WiFi).

Hodně diskutovaným tématem mezi freelancery je využití údajů z veřejných rejstříků, vizitek, či dokonce profilů na sociálních sítích. Tyto údaje můžete i nadále využívat, ale opět platí pravidlo, že jen za účelem, za kterým byly původně zveřejněny nebo za kterým vám byla vizitka předána. Není možné je užívat bez dalšího souhlasu pro jakýkoliv účel a jakýmkoliv způsobem, který by vám vyhovoval, zejména k zasílání marketingových nabídek.

Častým nešvarem je zasílání obchodních nabídek osobám, které jsou uvedeny v obchodním rejstříku jako jednatelé společností, nebo užití údajů ze sociálních sítí v rámci hodnocení uchazečů o zaměstnání. I svou vizitku vám předávám v kontextu nějaké činnosti, zejména proto, abyste mne mohli kontaktovat v případě zájmu o moje služby. Nikoliv s tím, že mi okamžitě začnete nabízet své produkty nebo služby, aniž bych vás předtím aktivně oslovila.

Mám vaše osobní údaje dostatečně zabezpečené?

Jednou z důležitých povinností, které GDPR ukládá všem správcům osobních údajů, tedy i freelancerům, je osobní údaje adekvátně chránit. Co to v praxi pro každého z vás znamená?

Opět se musíte zamyslet nad tím, jakými údaji o svých zákaznících disponujete, protože míra jejich zabezpečení je přímo úměrná jejich citlivosti a riziku, které může osobám hrozit, kdyby se dostaly do nepovolaných rukou.

Dovolím si zde logickou paralelu s ochranou hmotného majetku. Čím hodnotnější nemovitost, obraz, hodinky nebo šperky vlastníte, tím více se snažíte je různými způsoby uchránit před krádeží, poškozením či zneužitím. To samé platí i o datech vašich zákazníků. Vždy doporučuji si položit základní otázku:

„Co hrozí mému zákazníkovi, když budou jeho údaje, které zpracovávám, zneužity?“

Pokud se bavíme o kontaktních údajích, tak riziko dopadu na práva a svobody vašich klientů bude poměrně nízké, protože se tyto údaje většinou vyskytují ve veřejném prostoru ať už v různých databázích, nebo dokonce veřejné jsou na webu či sociálních sítích. V případě úniku emailu nebo telefonního čísla může být riziko o něco větší z toho důvodu, že váš klient může být předmětem nežádoucího obtěžování, nicméně si troufám říci, že ani v tomto případě nejsou osoby vystaveny vysokému riziku s dopadem na jejich zdraví či svobodu.

Pozornost si na druhou stranu zaslouží možný únik tzv. citlivých údajů, a to především zdravotního charakteru, zkrátka všech údajů, které jsou pro nás jedinečné a neměnně spjaté s naší osobou po celou dobu života. Otisk prstu je jedním z takových údajů umožňujících jedinečnou identifikaci konkrétní osoby, který nikdy nelze ničím jiným nahradit. Na rozdíl od emailu nebo adresy, které můžeme v průběhu života několikrát změnit. Není náhodou, že zdravotnická data se na černém trhu zcizených dat prodávají nejdráže, někdy až za tisíce dolarů, o řád výše než čísla kreditních karet.

V rámci technického zabezpečení vašich počítačů, mobilů či archivů tištěných dokumentů nesmíte zapomínat, že vhodně zvoleným prostředkem ochrany bráníte i vlastní know-how, cenné léty nabyté zkušenosti a nehmotné statky, které jsou pro vás v jistém směru nenahraditelné. Podle toho nakolik si ceníte jak osobních údajů svých zákazníků, tak i dalších nabytých informací z podnikání, zvolte vhodný prostředek jejich ochrany.

A uvědomte si i další důležitou a mnohdy opomíjenou skutečnost, kterou je vaše dobré jméno a důvěra, kterou si řadu let jakožto profesionálové budujete. Vaši zákazníci vám svěřují svoje údaje a jiné s nimi spjaté osobní informace a předpokládají, že u vás budou v jako v sejfu. Výběr dostatečně bezpečného software, emailového nástroje nebo trezorové skříně určené pro archivaci písemností by měl být z vaší strany ovlivněn nejen finančními možnostmi, ale právě i tímto reputačním hlediskem. Důvěra zavazuje.

Nebudu vám doporučovat konkrétní technická řešení, těch dobrých je na trhu celá řada — produkty Google, Apple či Microsoft počínaje. Spíš si uvědomte, že to, co je zdarma, obvykle není vhodným nástrojem k ochraně hodnotných komodit, mezi něž osobní data řadíme. V případě zneužití a úniku dat budou kontrolní orgány včetně soudů vždy posuzovat přiměřenost vámi zvoleného technického opatření a vy si ho budete muset s ohledem na rizikovost zpracovávaných dat obhájit.

Je také na vaši zodpovědnosti, komu umožníte přistupovat k uloženým osobním údajům a informacím. Této zodpovědnosti se (jako tzv. správci osobních údajů podle terminologie GDPR) nevyhnete, ani když svoje data přesunete do cloudu nebo na jiné bezpečné úložiště. Ujistěte se, že vámi vybraní dodavatelé či obchodní partneři znají a dodržují pravidla GDPR a jsou schopni vám záruky bezpečného zpracování dat poskytnout.

Jaké jsou mé nové povinnosti a co musím podle GDPR dodržovat?

Jako samostatní profesionálové bez zaměstnanců se s novými povinnostmi můžete vypořádat poměrně snadno a hlavně rychle. Dejte si kávu a zde je seznam položek, které si můžete začít postupně odškrtávat.

• Udělejte si rychlý seznam všech údajů, které o svých zákaznících zpracováváte a proč. Nezapomeňte k nim přiřadit odpovídající právní důvod, ve vašem případě jím zřejmě bude plnění zákonné povinnosti, např. podle zákona o účetnictví nebo plnění smlouvy, popř. akceptace objednávky. K ostatním údajům budete potřebovat souhlas.
• Udělejte si technický audit, tj. seznam veškerého softwaru, který v podnikání využíváte: cloud, CRM systémy, emailové účty, webové aplikace apod. Ujistěte se, že jejich dodavatelé plní povinnosti z GDPR vyplývající.
• Udělejte si seznam vašich obchodních partnerů a dodavatelů, kteří mají přístup k vašim datům a proč. Nezapomínejte i na další osoby, které mohou k údajům přistupovat, např. děti, pokud jim půjčujete počítač k volnočasovým aktivitám.
• Zpracovávejte jen aktuální data, nadbytečné nebo zastaralé údaje vymažte. Zbavit se budete muset i takových údajů, o jejichž výmaz váš klient požádal.
• Pokud to bude vyžadovat charakter vámi zpracovávaných údajů, tak své počítače, mobily nebo jednotlivé soubory zašifrujte. Nezapomínejte na zásady bezpečnosti a silná hesla. Provádíte pravidelnou zálohu svých počítačů a mobilních zařízení?
• V případě, že rozesíláte newslettery, nezapomeňte dát klientům možnost odběr kdykoliv odhlásit a stejně tak možnost odhlášení nabídnout v každé zprávě. Obnovení souhlasu je nutné pouze v případě, že jste v minulosti získali odběratele bůhvíjak, jinak pokud se všichni nepřihlásili k odběru newsletteru dobrovolně.
• U ostatní marketingové a obchodní komunikace, která přímo navazuje na historii obchodního vztahu, reagujte pružně na přání zákazníků zprávy nedostávat nebo je jiným způsobem omezit.
• Pokud provozujete eshop nebo máte vlastní webové stránky, musíte na nich umístit jasně a srozumitelně formulovanou informaci o ochraně soukromí a postupu zpracování osobních údajů vašich klientů, kteří mají posílené právo na přístup k informacím, které o nich zpracováváte.

Věřím, že jste kávu ještě ani nedopili a už máte vše odškrtnuto, zvlášť za předpokladu, že řadu povinností již dávno plníte. Rovněž doufám, že jsem vás přesvědčila o tom, že nová pravidla na ochranu osobních údajů není třeba vnímat jako nesmyslný byrokratický manýr z Bruselu, ale příležitost k férovějšímu a transparentnímu podnikání. Hodně štěstí!