Kreditní a marketingové informace versus GDPR

Data jsou jedním ze základních stavebních kamenů každé firmy. To však několikanásobně platí pro Bisnode, který v 18 evropských zemích podniká v oblasti poskytování informačních služeb o firmách a podnikatelích. Pravidla ochrany osobních údajů se změnila a ovlivnila také způsob zpracování a využívání informací o firmách. Požadavky, které přináší GDPR, také představují nové výzvy pro podnikové informační systémy a procesy.

Na které údaje se GDPR vztahuje?

GDPR upravuje zacházení s osobními údaji fyzických osob. Kontaktních údajů právnických osob se tedy tento předpis přímo netýká. Osobními údaji však nejsou jen údaje, které obsahují jméno určité osoby, ale i pseudonymizované údaje a podobné informace, které jsou sice na první pohled zašifrované, ale jejich zpracovatel je schopen je zpětně přiřadit ke konkrétní osobě. Typickým příkladem nepřímých osobních údajů jsou telefonní čísla, čísla kreditních karet, online identifikace osob nebo přístrojů (IP adresy, cookies).

Pro ochranu osobních údajů neplatí hranice

GDPR se vztahuje nejen na společnosti se sídle v EU, ale také na podniky se sídlem v nějaké třetí zemi, pokud zároveň nabízejí své služby občanům ze zemí EU nebo zpracovávají osobní údaje občanů EU. To znamená, že sídlo zpracovatele osobních údajů umístěné v zahraničí samo o sobě již neochrání případného provinilce před dopady sankcí za porušování evropského práva.

Co se s účinností GDPR mění?

Po dvouletém přechodném období 25. května 2018 vstoupilo v účinnost evropské Obecné nařízení o ochraně osobních údajů, známé jako GDPR (General Data Protection Regulation). Účelem GDPR je sjednocení standardů ochrany osobních údajů ve všech zemích v rámci Evropské unie. Nařízení GDPR v mnoha oblastech sjednocuje požadavky, které byly v České republice již vyžadovány podle zákona o ochraně osobních údajů.  Změny, které vstoupily v platnost, tak nepředstavují zcela zásadní novinky, přesto ale stanovují nové povinnosti.

–          Vždy musí být zajištěna zákonnost zpracování osobních údajů. Každý proces zpracování musí mít stanoven konkrétní účel a právní důvod.

–          Dodržování práv fyzických osob (subjektů údajů) dotčených zpracováním jejich osobních údajů. K povinnostem patří zajištění transparentnosti procesu zpracování, řádné informování, stejně jako zodpovězení případných dotazů k rozsahu a účelu zpracování údajů. K právům subjektů údajů patří požadavky ohledně opravy nebo výmazu, omezení jejich zpracování či umožnění přenosu osobních údajů mezi různými správci.

–          Privacy by design – ochrana osobních údajů se musí brát v potaz při tvorbě nových produktů a služeb, i při nastavení všech procesů zpracování osobních údajů.

–          Musí se udržovat vhodná organizační opatření zaměřená na ochranu osobních údajů.

Co GDPR znamená pro zpracovatele kreditních a marketingových informací o firmách?

Bisnode vytváří databáze a sestavuje z nich informační produkty, aby mohl poskytovat služby s různým účelem a pro odlišné cílové skupiny. Proto shromažďuje data z rozdílných zdrojů a tato data dále strukturuje, segmentuje, řadí, analyzuje a zpracovává ještě předtím, než se dostanou do informačních produktů. V České republice se přitom soustřeďuje na informace o hospodářské činnosti a výkonnosti podnikatelských subjektů na trhu (kreditní informace), a také na vyhledávání informací za účelem realizace obchodních a marketingových strategií nebo k tvorbě analýz trhu (marketingové informace). 

Ke zdrojům, na základě, kterých Bisnode vytváří databáze, patří přímý sběr údajů (například prostřednictvím rozhovorů po telefonu), veřejné rejstříky a úřední oznámení (například informace z tisku nebo internetu), stejně jako smluvní partneři nebo jiné společnosti ze skupiny Bisnode či globálního hráče Dun & Bradstreet, který je strategickým partnerem Bisnode.

Ochrana osobních údajů pro Bisnode představuje hlavní princip a zároveň klíčové opatření, které vytváří vzájemnou důvěru. Zákazníci Bisnode zcela oprávněně očekávají, že obdrží zprostředkovaně pouze takové údaje, které byly shromážděny a zpracovány podle práva a zákonným způsobem.

Jak Bisnode realizuje požadavky v oblasti ochrany osobních údajů

GDPR obsahuje celou řadu požadavků včetně řádného pořizování dokumentace při procesech zpracování údajů nebo přijetí vhodných ochranných a bezpečnostních opatření. Společnost Bisnode za tímto účelem zavedla v celé skupině mimo jiné softwarově chráněný systém tvorby dokumentace, který umožňuje strukturované zachycení procesů zpracování údajů. Obecné nařízení GDPR přiznává subjektům údajů práva, která Bisnode v plném rozsahu umožňuje uplatnit. Subjekt údajů má především právo na to být informován o zpracování svých osobních údajů. Jde hlavně o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o zdrojích a příjemcích osobních údajů. Stejně tak zaměstnanci Bisnode jsou pravidelně školeni jak všeobecně, tak i s ohledem na specifické oblasti ochrany údajů a bezpečnosti informačních systémů.

Zákonnost zpracování osobních údajů 

Nejdůležitějším požadavkem v oblasti ochrany osobních údajů je, že každý proces zpracování osobních údajů musí být prováděn podle zákonných předpisů, tedy podle GDPR.  Podnikání Bisnode týkající se poskytování informací za účelem podpory podnikání zákazníků v oblasti řízení kreditního rizika se řídí právním titulem podle článku 6 odst. 1 písm. f) GDPR, podle něhož GDPR povoluje zpracování osobních údajů i bez souhlasu subjektů údajů, jestliže zpracování slouží oprávněnému zájmu a zájmy ochrany základních práv a svobod dotčené osoby nepřevažují. V oblasti zpracování kreditních údajů se uznává, že ochrana před rizikem nezaplacení pohledávek a prověrka dodavatelů či obchodních partnerů je přiměřeným důvodem pro uplatnění oprávněného zájmu. Za tímto účel je možné obstarávat informace o bonitě podnikatelských subjektů od společností zabývajících se poskytováním informací o firmách, a naproti tomu mohou být takové informace od poskytovatelů služeb, jako je Bisnode, shromažďovány a na vyžádání poskytovány. I v oblasti tvorby marketingových a obchodních strategií podnikatelských subjektů je přípustné využití produktů za předpokladu, že oslovování klientů je postaveno na oprávněném zájmu správce a tento zájem není v rozporu se základními právy a svobodami subjektů údajů. V případě zpracování marketingových dat je nicméně nutné být připraven reagovat na případné námitky vůči zpracování osobních údajů subjektů údajů pro účely marketingu a takové zpracování eventuálně zastavit. Bisnode dobu uložení osobních údajů ve svých informačních systémech vždy pečlivě poměřuje s účelem zpracování s ohledem na splnění požadavku minimalizace uchovávaných údajů.

Zákazníci Bisnode, kteří využívají informační systémy a datové služby se mohou spolehnout na to, že Bisnode ve všech zemích, kde působí, od shromažďování přes zpracování až po předání údajů, dodržuje všechny relevantní právní rámcové podmínky.

Právo na ochranu dat není speciálním právem jen pro společnosti, které se zabývají poskytováním informací o firmách nebo pro poskytovatele informací. Platí pro každého, kdo osobní údaje zpracovává. Požadavky, které přináší GDPR, tak představují nové výzvy pro podnikové informační systémy a procesy všech firem. Bisnode je na GDPR beze zbytku připraven a pomoc v této oblasti nabízí také svým zákazníkům. Klienti nejčastěji u Bisnode poptávají ověření existence jednotlivých kontaktů ve veřejné části internetu, identifikaci a vyčištění firemních databází o již neexistující a nerelevantní data a v neposlední řadě radí s přípravou a implementací procesů a všech potřebných dokumentů.

 Ilustrace: Shutterstock.com