Máte strach? Ti, kteří zaslechli o novém nařízení EU o ochraně osobních údajů, už určitě nějaký čas nervózně ohlodávají tužku. Pokud jste zrovna vy mezi těmi, kteří dosud žijí v sladké nevědomosti, nastražte uši – od 25. května 2018 se změní praxe copywriterů i obsahových agentur, jak jste ji dosud znaly. Ale nebojte se, tohle všechno přece už máte v pořádku od roku 2000, že?
Klient = správce, copywriter = zpracovatel
Oběma skupinám (políbených i nepolíbených Zákonem o ochraně osobních údajů č. 101/2000 Sb.) bych na základě svojí přednášky z konference GDPR v marketingu chtěla předat pár rad, jak se zbytečně nevystavovat pokutám. Možná vás překvapí, že se od května musíte rozloučit např. s tagováním lidí na svém firemním Facebooku nebo sbíráním e-mailů do databáze výměnou za e-book. Jinak ale bude většina z nás dohánět to, co jsme měli mít v pořádku už před 18 lety.
Osobními údaji je všechno, pod čím lze identifikovat jednotlivce – kromě e-mailu například IP adresa, záznamy o tom, co si kdo prohlížel v e-shopech, informace, které jste o něm získali z profilování (typicky při tvorbě person), nebo i obyčejný lajk na Facebooku. Osobní údaje hledejte také na fotkách, ve videích, při sbírání podkladů pro vytváření rozhovorů nebo PR článků, např. o úspěšném podnikateli nebo o vašich zaměstnancích. Publikování čehokoliv, v čem figurují konkrétní lidé, online je zpracováním osobních údajů.
Pokud jste v oblasti osobních údajů úplní začátečníci, podívejte se na tohle supersrozumitelné video od advokátky Petry Dolejšové.
Říkáte si, že tohle všechno jde přeci za klientem? Chyba lávky – vše, co se točí kolem osobních údajů, je nutné vzájemně ošetřit v tzv. zpracovatelské smlouvě, kde klient (správce osobních údajů) rozhoduje, jaké údaje se budou sbírat a jak budou využívány. Vy jako copywriter byste podle smlouvy byl zpracovatelem těchto osobních údajů při své každodenní práci, který pracuje na pokyny správce.
POZOR! Když začnu za klienta sbírat maily do databáze a budu mít volnou ruku, jak je dál použít, stává se ze mě správce. Pokud to supervizuje klient, jsem stále jen zpracovatel – to je pro obě strany právně přehlednější pozice. Případně si nechte každý krok písemně odsouhlasit.
Stále si říkáte, že všechna odpovědnost leží na klientovi? Vaší povinnosti ale zůstává upozornit správce (vašeho klienta) na to, že porušuje zákon při nakládání s osobními údaji, nemá souhlas dotčených osob, máte podezření, že osobní údaje získal nelegálně nebo vám dává nezákonné pokyny, jak s údaji pracovat.
Proč je ve vztahu klient – agentura zpracovatelská smlouva tolik potřebná? Kryje oběma stranám záda pro případ, že nastane při zpracování osobních údajů nějaký zádrhel. Když s ní nepřijde klient, buďte iniciativní!
Zásady pro zpracovatelskou smlouvu pro copywritera
- Můžete ji rovnou připojit ke smlouvě o dílo.
- Pro každého klienta zvlášť podle toho, co přesně zpracováváte zrovna pro něj.
Zásady zpracovatelské smlouvy pro agenturu
- Do VOP plošně nedávejte, připravte raději přílohu pro každého klienta.
- DPP zaměstnanci jednají vaším jménem, takže zde jen interně doplnit NDA (hromadně pro všechny klienty = 1 smlouva na DPP osobu)
- OSVČ! Externí spolupracovníci s vámi musí podepsanou smlouvu zpracovatel-zpracovatel + musíte mít předchozí souhlas klienta, že tito externisté na jeho projektu mohou pracovat.
Vzor zpracovatelské smlouvy
Kdo je kdo?
- Identifikujte hned na začátku smlouvy agenturu jako zpracovatele a klienta jako správce.
Co a na jak dlouho?
- Ideálně uveďte, že správce určuje účel zpracování osobních údajů, poskytuje na jejich zpracování finanční prostředky a zpracovatel pro správce předané osobní údaje zpracovává v souladu s právními předpisy.
- Vyjmenujte ve smlouvě kategorie osobních údajů, které si mezi sebou předáváte, a způsob, jakým k tomu dochází.
- Jaká bude doba zpracování?
- Co se s osobními údaji stane po ukončení spolupráce?
Proč a na co?
- Co nejpodrobněji popsat, k jakému účelu osobní údaje potřebujete.
- Co musíte a co můžete?
- Zabezpečení přístupu k databázím, zamezení předání osobních údajů 3. osobám, přístup k databázím omezit jen na určité osoby, sankce, pojištění
Myslete ale na to, že osobní údaje je nutné zpracovávat v co nejomezenější míře a pouze k účelům, o kterých jste daného člověka řádně informovali. Jakékoliv dodatečné změny jsou bez jeho souhlasu neoprávněné. Jinak řečeno, účely vymezené zpracovatelskou smlouvou by měly korespondovat se zněním souhlasu, který dané osoby poskytly.
V dalším díle si rozebereme konkrétní příklady, které jsou GDPR-risky, a povíme si, jak to udělat lépe. Máte otázky ke GDPR či zpracovatelské smlouvě? Napište mi na Facebooku.
