Dosavadní souhlasy nemusejí stačit
Příchod GDPR ovlivní podstatným způsobem i v současnosti rychle se rozvíjející segment e-commerce a s ním často spojený e-mailový marketing. Pro něj může být nejkritičtější souhlas se zpracováním osobních údajů. Veškerá data sesbíraná jinak než aktivním souhlasem uživatele včetně pasivního souhlasu či nákupu databáze kontaktů se nebudou smět dále používat. S GDPR totiž souvisí i nutnost explicitního souhlasu se zasíláním obchodních sdělení, tedy reklamních e-mailů i elektronických newsletterů. Nyní je řada souhlasů ze strany zákazníků a uživatelů získávána takovými způsoby, že s příchodem GDPR ztratí svoji platnost a společnosti budou muset tato data přestat používat a zcela odstranit. Týká se to všech souhlasů získaných podmíněně, kdy musel uživatel souhlas udělit například v rámci obchodních podmínek nebo bez něj nemohl uskutečnit nákup. Z takových souhlasů se zpracováním osobních údajů se nyní může stát časovaná bomba. Kromě toho také za žádných okolností nebude možné využívat zakoupené databáze zákazníků včetně těch pořízených před účinností GDPR.
Řadě společností tak hrozí, že s účinností GDPR přijdou o značnou část své zákaznické báze. „Jediná situace, kdy souhlas zůstane do budoucna v platnosti, je tak případ, kdy uživatel aktivně zaškrtl políčko, že souhlasí se zpracováním svých osobních údajů, resp. se zasíláním obchodních sdělení,“ říká Filip Mejzlík ze společnosti VIVmail.cz, která se specializuje na e-mailový marketing. Podle Mejzlíka je doporučenou cestou, jak legalizovat souhlasy se zpracováním osobních údajů získaných pasivním nebo podmíněným souhlasem, vyžádání znovuobnovení souhlasu uživatelů v souladu s požadavky GDPR.
Rovná pravidla mohou mít nerovný dopad
Problém s regulatorními opatřeními, která jsou „rovným způsobem“ uplatňována na všechny, je v tom, že ne vždy představují pro podnikatele rovnou zátěž. Rozdíl je v tom, zda má firma pět, padesát, nebo pět tisíc zaměstnanců. Zpravidla malé organizace takové opatření zasáhne relativně hlouběji, jak jsme se o tom přesvědčili v souvislosti se zmíněným zákonem o elektronické evidenci tržeb.
Na problémy, kterým budou muset SMB firmy při dodržování pravidel GDPR čelit, upozornila i Asociace malých a středních podniků a živnostníků ČR (AMSP ČR). Podle jejího průzkumu, který v červenci 2017 uskutečnila agentura Ipsos, 93 % dotazovaných podnikatelů pracuje s daty svých zaměstnanců a plných 67 % s údaji o svých obchodních partnerech. Při správě zákaznických dat převládá činnost spojená s obchodními nabídkami, následuje vyhodnocování spolupráce se zákazníky a marketingová činnost spojená s vylepšováním nabízených produktů.
Menší a střední firmy jsou konzervativnější a většina z nich stále spíše sází na interní správu dat. Externí řešení volí 15 % podnikatelů a cloudová řešení využívá 13 % firem. Zatímco 18 % firem data po určité době systematicky maže, čtvrtina podnikatelů si veškerá data trvale ponechává. Polovina firem si ponechává jen vybraná data, která považuje za důležitá.
Překvapivě je ale informovanost o nových povinnostech relativně dobrá. Již téměř rok před spuštěním platnosti GDPR měla čtvrtina malých a středních firem již zpracovanou analýzu svých systémů a procesů a dvě třetiny z nich již pomýšlely na změny v zabezpečení dat. 74 % podniků se chystá na GDPR proškolit své zaměstnance, 70 % se připravuje na aktualizaci dokumentů a směrnic a plných 62 % malých a středních organizací se chystá zabezpečit ochranu osobních údajů v součinnosti s externími dodavateli, například IT firmami. „Proaktivní přístup našich členů vítáme a svědčí to o jejich velmi dobrém právním povědomí a přijímání odpovědnosti za své podnikání,“ říká Zdeněk Tomíček, člen představenstva AMSP ČR, odpovědný za problematiku GDPR.
Přístup je rozdílný i podle rozsahu činnosti firmy. Zatímco u podnikatelů s ročním obratem do pěti milionů korun se chystá udělat analýzu stavu správy dat necelá polovina z nich, u firem s obratem mezi 500 miliony až jednou miliardou korun připravuje analýzu 84 % podniků.
Jedním z rizik při ochraně dat je i kybernetický útok. Zkušenost s ním potvrdily čtyři firmy z deseti. To, že jde o navýsost aktuální hrozbu, dosvědčuje fakt, že třetina z oslovených podnikatelů se s ním setkala v posledním roce. Ukazuje se, že kybernetické útoky se stávají běžnou praxí. Nejde jen o podvodné e-maily nebo žádosti o podvodné platby, ale překvapivě téměř třetina z postižených firem má zkušenosti přímo s hackerským útokem.
„Vycházíme-li z toho, že je u nás 450 tisíc aktivních právnických subjektů a další milion osob samostatně výdělečně činných, potom je zřejmé, že se nové evropské nařízení bude týkat několikanásobně více subjektů než například EET,“ říká Karel Havlíček, předseda AMSP ČR. Jeho asociace nezaspala a je třeba ji pochválit za to, že pro své členy uskutečnila masivní informační servis a připravuje firmy na nutné změny.