Soulad s GDPR pro americké a mimoevropské společnosti: Praktický průvodce

Mnoho amerických firem se domnívá, že obecné nařízení o ochraně osobních údajů (GDPR) se týká pouze společností se sídlem v Evropě. Toto přesvědčení je riskantní. Pokud vaše firma nabízí zboží nebo služby lidem v Evropské unii, sleduje jejich chování nebo zpracovává jejich osobní údaje v souvislosti s těmito činnostmi, GDPR se na vás může vztahovat i tehdy, když je vaše společnost založena a provozována ve Spojených státech.

Pro zakladatele, startupy a rostoucí malé podniky nejde jen o právní teorii. GDPR může ovlivnit, jak sbíráte e-mailové adresy, provozujete reklamní kampaně, používáte soubory cookie, ukládáte záznamy o zákaznících, zpracováváte platby, spravujete dodavatele a řešíte bezpečnostní incidenty. Pokud je vaše společnost založena v USA a oslovuje mezinárodní publikum, musí být ochrana soukromí součástí vašeho provozního modelu od samého začátku.

Tento průvodce vysvětluje, co je GDPR, proč se na mimoevropské společnosti může vztahovat, jaké údaje pokrývá a jaké praktické kroky mohou pomoci snížit riziko.

Co je GDPR

GDPR je nařízení Evropské unie o ochraně osobních údajů. Bylo navrženo tak, aby jednotlivcům dalo větší kontrolu nad tím, jak jsou jejich osobní údaje shromažďovány, používány, sdíleny, ukládány a mazány.

Rozsah tohoto nařízení je široký. Vztahuje se na mnoho různých druhů zpracování údajů, včetně:

• Sběru kontaktních údajů prostřednictvím formulářů
• Provozování e-mailových marketingových kampaní
• Sledování návštěvníků webu pomocí souborů cookie nebo analytických nástrojů
• Ukládání zákaznických nebo zaměstnaneckých záznamů
• Sdílení údajů s dodavateli, platformami nebo poskytovateli služeb
• Zpracování platebních a předplatitelských údajů
• Používání automatizovaných systémů k profilování nebo segmentaci uživatelů

GDPR také stanovuje povinnosti v oblasti transparentnosti, bezpečnosti, práv subjektů údajů, reakce na narušení a odpovědnosti. V praxi to znamená, že firmy potřebují víc než jen zásady ochrany osobních údajů. Potřebují skutečné procesy.

Proč se mohou vztahovat na americké společnosti

GDPR se neomezuje pouze na společnosti fyzicky umístěné v EU. Nařízení se může vztahovat na organizace mimo Evropu, pokud dělají jednu z následujících věcí:

• Nabízejí zboží nebo služby lidem v EU
• Sledují chování lidí v EU, a to i prostřednictvím sledovacích technologií nebo behaviorální analytiky

To znamená, že americký startup, internetový obchod, SaaS společnost, konzultant, vývojář aplikací nebo značka v e-commerce může spadat pod GDPR, i když jsou všichni vlastníci, zaměstnanci i servery ve Spojených státech.

Příklady:

• Společnost z Delaware prodávající digitální produkty zákazníkům ve Francii nebo Německu
• LLC z Texasu provozující placenou reklamu cílenou na obyvatele EU
• Startup z Kalifornie používající analytiku a cookies ke sledování návštěvníků z EU
• Poradenská firma z New Yorku shromažďující poptávky od potenciálních zákazníků sídlících v EU

Pokud má vaše firma záměrný vztah s lidmi v EU, měli byste vyhodnotit, zda se na ni GDPR vztahuje.

Co se považuje za osobní údaje

GDPR definuje osobní údaje velmi široce. Neomezuje se na zjevné identifikátory, jako je jméno nebo číslo občanského průkazu. Nařízení může pokrývat jakékoli informace vztahující se k identifikovatelné osobě.

Mezi běžné příklady patří:

• Jméno
• E-mailová adresa
• Poštovní adresa
• Telefonní číslo
• IP adresa
• Identifikátory zařízení
• Údaje o poloze
• Identifikátory cookies
• Platební údaje
• Přihlašovací údaje k účtu
• Záznamy o zaměstnání
• Zdravotní údaje
• Behaviorální údaje založené na IP adrese

Údaj nemusí někoho identifikovat sám o sobě, aby šlo o osobní údaj. Pokud jej lze přiměřeně propojit s konkrétní osobou, může spadat pod GDPR.

Tato široká definice je jedním z důvodů, proč mnoho firem význam nařízení podceňuje. Jednoduchý formulář pro přihlášení k odběru newsletteru, zákaznický portál nebo nástroj pro webovou analytiku mohou vyvolat povinnosti, pokud se týkají obyvatel EU.

Proč argument „Jsme založeni v USA“ nestačí

Některé firmy předpokládají, že protože jsou založeny podle práva některého z amerických států, GDPR se na ně nevztahuje. Takto ale toto nařízení nefunguje.

GDPR se zaměřuje na činnost, na osobu, jejíž údaje jsou zpracovávány, a na vazbu k EU. Méně záleží na tom, kde byla vaše společnost založena, a více na tom, co vaše společnost skutečně dělá.

Pokud vaše firma zpracovává osobní údaje osob z EU způsobem, na který se GDPR vztahuje, může být nutné nařízení dodržovat bez ohledu na to, zda jste:

• Korporace založená v Delaware, Wyomingu, na Floridě nebo v jiném státě
• Společnost s ručením omezeným s jedním členem
• Bootstrapovaný startup
• Firma fungující na dálku bez fyzické kanceláře mimo USA

To je jeden z důvodů, proč by zakladatelé měli při zakládání nové společnosti myslet na soulad s předpisy již od začátku. Založení je jen první krok. Důležité jsou také provoz firmy, dodavatelé, smlouvy a toky zákaznických dat.

Hlavní zásady GDPR, které by firmy měly znát

GDPR je postaveno na základních zásadách, které formují každodenní dodržování předpisů. Pro malé podniky jsou nejdůležitější tyto:

Zákonnost, korektnost a transparentnost

Musíte mít platný právní základ pro zpracování osobních údajů a musíte jasně vysvětlit, co děláte.

Omezení účelu

Osobní údaje používejte pouze pro konkrétní účel, který jste uvedli. Neshromažďujte údaje pro jeden důvod a později je nepoužívejte pro nesouvisející účel bez náležitého upozornění a právního základu.

Minimalizace údajů

Shromažďujte pouze údaje, které skutečně potřebujete. Více údajů znamená více rizika.

Přesnost

Udržujte osobní údaje přesné a podle potřeby aktualizujte záznamy.

Omezení uložení

Neponechávejte osobní údaje navždy jen proto, že můžete. Uchovávejte je pouze po dobu nezbytnou pro účel, který jste uvedli.

Integrita a důvěrnost

Chraňte osobní údaje pomocí přiměřených technických a organizačních bezpečnostních opatření.

Odpovědnost

Musíte být schopni prokázat, že předpisy dodržujete. Důležité jsou nejen zásady, ale také záznamy, smlouvy a interní postupy.

Právní základy pro zpracování údajů

Podle GDPR společnosti obecně potřebují právní základ pro zpracování osobních údajů. Mezi běžné základy patří:

• Souhlas
• Plnění smlouvy
• Právní povinnost
• Ochrana životně důležitých zájmů
• Úkol ve veřejném zájmu
• Oprávněné zájmy

Pro mnoho amerických firem jsou nejběžnějšími základy souhlas, plnění smlouvy a oprávněné zájmy.

Důležité je, že souhlas není vždy vyžadován, ale pokud se používá, musí být informovaný, konkrétní, svobodně udělený a musí být možné jej snadno odvolat. Předem zaškrtnutá políčka nebo vágní, plošná oprávnění obvykle nestačí.

Běžné spouštěče pro malé podniky

Možná budete muset přezkoumat své povinnosti podle GDPR, pokud vaše firma dělá něco z následujícího:

• Prodává zákazníkům v EU
• Nabízí webové stránky, které aktivně oslovují obyvatele EU
• Provozuje remarketing nebo behaviorální reklamu
• Používá cookies, pixely nebo analytické nástroje, které sledují návštěvníky
• Odesílá propagační e-maily kontaktům v EU
• Ukládá profily zákaznických účtů
• Používá platební brány třetích stran, CRM systémy nebo software pro zákaznickou podporu, které zpracovávají údaje z EU
• Shromažďuje žádosti o zaměstnání od kandidátů z EU

I když je vaše firma malá, přítomnost zákazníků nebo uživatelů z EU může vytvořit povinnosti.

Proč blokování podle IP adresy není spolehlivá strategie

Některé firmy se snaží GDPR vyhnout blokováním návštěvníků z EU nebo tím, že je nechají potvrdit, že se v EU nenacházejí. Tyto zkratky nejsou spolehlivé.

Geolokace IP adres není dokonalá. VPN, mobilní operátoři, sdílené sítě i cestování mohou skutečnou polohu uživatele zkreslit. Pole formuláře nebo zaškrtávací políčko také neřeší základní otázku, zda vaše firma skutečně nabízí služby lidem v EU nebo sleduje jejich chování.

Pokud se chce vaše společnost vyhnout dopadu GDPR, jediným dlouhodobě udržitelným řešením je navrhnout podle toho obchodní model i postupy na webu. V mnoha případech je lepší jednoduše dodržovat pravidla.

Praktické kroky ke zlepšení připravenosti na GDPR

Malý podnik nepotřebuje rozsáhlé právní oddělení, aby byl lépe připraven na GDPR. Potřebuje ale strukturovaný přístup.

1. Zmapujte svá data

Zjistěte, jaké osobní údaje shromažďujete, odkud pocházejí, kam směřují, kdo k nim má přístup a jak dlouho je uchováváte.

2. Omezte zbytečný sběr

Pokud pole ve formuláři nepotřebujete, odstraňte je. Pokud nástroj od dodavatele shromažďuje data, která nikdy nepoužíváte, zvažte jeho změnu.

3. Aktualizujte své zásady ochrany osobních údajů

Vaše zásady ochrany osobních údajů by měly jasně vysvětlovat:

• Jaké údaje shromažďujete
• Proč je shromažďujete
• Jaký je právní základ pro zpracování
• Zda údaje sdílíte s třetími stranami
• Jak dlouho údaje uchováváte
• Jaká práva mají uživatelé
• Jak vás mohou uživatelé kontaktovat

4. Zkontrolujte cookies a sledovací nástroje

Pokud používáte analytiku, reklamní pixely, remarketingové nástroje nebo software pro nahrávání a analýzu relací, určete, zda je vyžadován souhlas nebo jiné zveřejnění informací.

5. Uzavřete smlouvy s dodavateli

Pokud poskytovatelé služeb zpracovávají osobní údaje vaším jménem, potřebujete smlouvy, které správně rozdělují odpovědnosti. To je obzvlášť důležité u hostingu, mezd, CRM, e-mailového marketingu a platforem zákaznické podpory.

6. Zaveďte proces pro žádosti subjektů údajů

Jednotlivci z EU mohou mít právo na přístup ke svým osobním údajům, jejich opravu, výmaz nebo omezení zpracování. Musíte vědět, jak budou žádosti přijímány, ověřovány, sledovány a vyřizovány.

7. Připravte se na úniky dat

Mějte plán reakce na bezpečnostní incidenty. GDPR může v určitých případech narušení vyžadovat rychlé oznámení, takže musíte vědět, kdo je odpovědný, co se dokumentuje a kdy je potřeba právní posouzení.

8. Školte svůj tým

Každý, kdo pracuje s údaji zákazníků, by měl rozumět základním požadavkům na ochranu soukromí a bezpečnost. Zásada je užitečná jen tehdy, když ji lidé skutečně dodržují.

Bezpečnost dat je důležitá

Bezpečnost není jen otázkou IT. Podle GDPR musí být osobní údaje chráněny před neoprávněným přístupem, zveřejněním, změnou a ztrátou.

Dobré základní kontroly často zahrnují:

• Silná hesla a vícefaktorové ověřování
• Přístupová práva založená na rolích
• Šifrování při přenosu i v klidu, kde je to vhodné
• Prověřování dodavatelů
• Pravidelné aktualizace a záplaty softwaru
• Zálohování a postupy obnovy
• Logování přístupu k citlivým systémům
• Bezpečnou likvidaci zastaralých záznamů

Malé podniky nemusí vše přehnaně komplikovat, ale měly by umět vysvětlit svá rozhodnutí a doložit, že přijaly přiměřená opatření.

Zvláštní pozornost pro startupy a nové společnosti

Pokud zakládáte firmu nyní, měla by být ochrana soukromí součástí vašeho seznamu kroků při spuštění. To platí zejména tehdy, pokud očekáváte zákazníky i mimo Spojené státy.

Když zakladatelé nastavují firmu, dělají současně rozhodnutí o typu společnosti, vlastnictví, službě registrovaného agenta, zakladatelských dokumentech, bankovnictví a daňové registraci. Je rozumné zároveň přemýšlet o tom:

• Jaká data bude firma shromažďovat
• Kteří dodavatelé budou s těmito údaji pracovat
• Na jaké zákaznické trhy se firma zaměří
• Zda bude mít firma návštěvníky nebo zákazníky z EU
• Jaké interní zásady by měly existovat před spuštěním

Zenind podporuje podnikatele v procesu zakládání společnosti a připravenost na ochranu soukromí do stejného disciplinovaného přístupu zapadá: vybudujte firmu správně od začátku, aby budoucí růst nevytvářel zbytečné riziko.

Kdy vyhledat právní pomoc

GDPR je podrobné nařízení a mnoho firem potřebuje právní podporu k posouzení svých konkrétních povinností. Profesionální vedení byste měli zvážit, pokud:

• Vaše společnost má zákazníky nebo uživatele v EU
• Zpracováváte citlivé osobní údaje
• Silně spoléháte na reklamu, sledování nebo profilování
• Zpracováváte údaje ve velkém měřítku
• Nejste si jisti, jaký právní základ se uplatní
• Potřebujete připravit nebo zkontrolovat smlouvy s dodavateli
• Obdrželi jste žádost od osoby z EU nebo od regulátora

Tento článek je praktický přehled, nikoli právní rada. Pro skutečné posouzení souladu spolupracujte s kvalifikovaným právníkem nebo specialistou na ochranu osobních údajů.

Hlavní závěry

• GDPR se může vztahovat na americké i jiné mimoevropské společnosti.
• Nařízení se zaměřuje na to, jak zpracováváte osobní údaje, nejen na to, kde je vaše společnost založena.
• Osobní údaje jsou definovány široce a mohou zahrnovat IP adresy, cookies a behaviorální identifikátory.
• Malé podniky by měly zmapovat datové toky, aktualizovat oznámení, kontrolovat dodavatele a připravit se na žádosti o práva uživatelů.
• Pokud vaše firma slouží zákazníkům v EU nebo sleduje návštěvníky z EU, mělo by být GDPR součástí vašeho provozního plánu.

Závěr

Pro americké firmy není GDPR vzdálený evropský problém. Je to praktická otázka souladu, která může ovlivnit fungování vašeho webu, smluvní dokumentaci, marketing i zabezpečení dat.

Společnosti, které zvládají GDPR nejlépe, nejsou ty, které ho ignorují. Jsou to ty, které ho identifikují včas, sbírají méně údajů, nastaví jasná pravidla a od začátku začlení soulad do svého pracovního postupu. Pokud vaše firma vzniká právě teď nebo se chystá expandovat do zahraničí, je to správný čas dát vše do pořádku.