GDPR pro finanční poradce

GDPR pro finanční poradce

GDPR je téma, které se v posledních měsících spojuje s celou řadou přívlastků. Většinou nelichotivých a nepopulárních. Stalo se z toho téma obávané díky hláškám typu "hrozí vám pokuta až 550 milionů korun". To když někdo chce moc a moc upoutat pozornost výškou pokuty a přepočítá horní hranici z EUR na koruny. Pro vytváření senzací do bulváru je pokuta půl miliardy dostatečně ohromující. Stalo se z toho taky dobré téma pro řadu školitelů a právníků, protože z GDPR se stal taky legitimní byznys. Taky se tohle téma stalo dobrým společníkem různým šiřitelům paniky, protože je dost lidí, kteří rádi posílají poplašné zprávy dál.   

GDPR je na světě. My sami tohle nařízení nebereme na lehkou váhu, ale nevnímáme ho jako něco, co by zásadně měnilo způsob nakládání s osobními údaji. Přesněji - nic zásadního se nemění pro ty, kteří s údaji dosud nakládali podle zákonných norem, zejména v duchu zákona č. 101/2000 Sb. o ochraně osobních údajů.  Pro finanční poradce jsme připravili souhrn nejdůležitějších informací, které jim pomohou zařídit si včas všechno tak, aby se nedostali do rozporu s novou evropskou normou pro ochranu osobních údajů.

Existuje několik možností, jak se do problematiky GDPR vpravit. Tou nejméně populární je zkrátka si to nařízení pěkně pročíst. Tady je celé znění GDPR. Pro méně trpělivé může být dobrou volbou navštívit stránky Úřadu pro ochranu osobních údajů a tam si pročíst základní příručku k GDPR. Pokud i to je pro vás příliš dlouhé čtení, najdete na stránkách úřadu taky jednostránkový text "GDPR stručně". No a jestli to chcete mít celé pěkně "polopatě" a srozumitelně, čtěte dál. Protože provozujeme aplikaci E-konzultant, která se specializuje na řešení webů a online marketingu pro finanční poradce, tak přicházíme s výkladem GDPR pro finanční poradce. 

Co všechno by měl finanční poradce o GDPR vědět? 

Jsou dvě kategorie opatření, která musí každý finanční poradce udělat. Ta první kategorie vyplývá z typu činnosti finančního poradce. Pokud pracujete pod síťovou firmou, pod poolem nebo jako zprostředkovatel napřímo pod institucí, budete muset ochránit všechna osobní data podle pokynů svého chlebodárce a podle jeho pokynů s nimi také do budoucna nakládat. Vedle toho ale budete muset nakládat s osobními daty jako samostatná podnikatelská jednotka - ať už fyzická jednotka nebo s.r.o. To je ta druhá kategorie. Detailně se na ní podíváme na webináři, a to hlavně v souvislosti s provozem vlastního webu a on-line marketingu. Pár věcí si o tom ale povíme i v tomto článku.

Jsou věci, ve kterých je nutné mít jasno. Výkladů téhle normy GDPR je ale kolem nás tolik, že se ani spočítat nedají. Z některých výkladů se pak stanou mýty. Jeden z mýtů říká, že pro zpracování osobních údajů musíte mít souhlas. A některé výklady dodávají, že souhlas musí být písemný. To ale není pravda.

Musím mít vždy souhlas se zpracováním osobních údajů? 


Nemusíte. Souhlas je jedním z šesti právních důvodů, které vás opravňují k jejich zpracování. Osobní údaje tedy můžete zpracovávat, pokud je naplněn alespoň jeden z těchto právních důvodů

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Sami jsme se připravovali na GDPR. Četli jsme, školili jsme se a taky jsme konzultovali s marketéry i právníky. Nutno uznat, že jsme se setkali s různými výklady a že nejméně odlišností jsme našli u výkladu právníků. Přesto i právníci se občas ve výkladu rozcházeli. Spíš to bylo ale mírou "opatrnosti" ve výkladu. Nejlépe se to popíše na jednom z nejčastěji diskutovaných témat. Shrnuto do otázky:

Když tedy budu zpracovávat na základě souhlasu, musí mít souhlas písemnou podobu?

Ufff! Nemusí. Obecné nařízení GDPR to nikde nenařizuje. To je výklad ten "méně opatrnický". Text normy skutečně nikde nenařizuje, že musíte mít písemný souhlas. Zároveň ale říká, že "správce musí být shopen doložit, že subjekt údajů udělil souhlas se zpracováním". Přečtěte si článek 7, odstavec 1, který o tom pojednává. Ten "více opatrnický výklad" říká, že GDPR to sice nenařizuje, ale je lepší to mít pro účely případného sporu nebo kontroly podepsané. Co teď s tím?

Já rád popisuji podobné věci na příkladech. Tak tedy: Jsou dva finanční poradci. Jeden z nich sbírá e-mailové adresy kde se dá a rozesílá spamy. Je velmi pravděpodobné, že tímhle obtěžováním hodně lidí naštve. Pokud si na něj budou příjemci stěžovat, tak jich asi bude hodně a těžko se mu bude při kontrole dokládat, jak přišel k souhlasům.

Druhý poradce bude při osobních setkáních nabízet možnost zařazení do odběru svých newsletterů a získá k tomu ústní souhlas. Nemá sice v ruce žádný podepsaný papír, ale má souhlas. Pokud bude chtít mít jistotu, že má souhlas zaznamenaný a doložitelný, má dvě možnosti. Buďto si do svého diáře napíše datum a čas setkání, na kterém souhlas dostal nebo večer pošle e-mail s rekapitulací a nechá takový kontakt projít přes double opt-in.  

Je double opt-in povinný?

Není. Ale my ho doproučujeme. Double opt-in je česky něco jako dvoukrokové přihlášení do databáze kontaktů. Bývá používán na webových formulářích. Nejčastěji na těch, které slouží k přihlášení se k odběru newsletterů. V praxi to funguje tak, že na webu zadáte e-mail do formuláře k odběru newsletterů. Do databáze se ale dostanete až po druhém potvrzení kliknutím na odkaz v e-mailu. Tím se jednoznačně potvrdí, že do databáze se dostane e-mailová adresa s vědomím jejího majitele. 


Záznam webináře na téma GDPR pro finanční poradce si můžete prohlédnout tady:

Sdílejte článek

50% ho
tovo

30 dní aplikace zdarma

Na jaký e-mail Vám můžeme poslat přístup do aplikace?

(pokud e-mail s přístupy nedorazí do 5 minut, zkontrolujte také hromadnou a spam složku)