Hlavní navigace

PECR, další zkratka, která zavádí nové povinnosti

Jana Langerová

Kromě GDPR je tady další zkratka PECR (Privacy and Electronic Communications Regulations).

Doba čtení: 6 minut

PECR patří do Strategie pro jednotný digitální trh a konkrétně se jedná o nařízení o soukromí a elektronických komunikacích. Synonymem pro toto nařízení je také výraz ePrivacy nebo právě nařízení PECR. Hlavním cílem nařízení je zlepšit ochranu soukromí v prostředí elektronických komunikací a také vytvořit jednotný soubor pravidel pro celou Evropskou unii.

V nařízení PECR není konkrétně definován pojem elektronická komunikace, ale jde o jakoukoli informaci zaslanou mezi jednotlivými stranami prostřednictvím telefonní linky nebo připojení k internetu. Patří sem tak telefonní hovory, faxy, textové zprávy, video zprávy, e-maily a internetové zprávy. Naopak do elektronické komunikace nepatří obecně dostupné informace, jako je obsah webových stránek nebo programové vysílání. Existují různá pravidla pro různé typy komunikace. Pravidla jsou obecně přísnější pro nabídky činěné fyzickým osobám než pro marketing určený společnostem, vysvětluje Luděk Nezmar z ACRESIA Consulting.

Čtěte také: Monitoring služebních aut umožní i GDPR. Firemní auto je pracovním nástrojem

Oblasti, které PECR pokrývá, jsou tedy především marketing prostřednictvím elektronických prostředků (včetně marketingových hovorů, textů, e-mailů a faxů), používání souborů cookies a podobných technologií a bezpečnost veřejných elektronických komunikačních služeb. Ta se zaměřuje na soukromí zákazníků využívajících komunikační sítě nebo služby a jejich poskytovatelé jsou například povinni informovat své zákazníky o bezpečnostních rizicích a přijmout vhodná technická a organizační opatření k zajištění bezpečnosti dané služby.

PECR se vás týká, pokud:

  • k marketingu používáte telefon, e-mail, SMS nebo fax;
  • používáte soubory cookie nebo podobnou technologii na svých webových stránkách; nebo
  • vytváříte telefonní seznamy (nebo podobný veřejný adresář).

Většina pravidel v PECR se vztahuje pouze na nevyžádané marketingové zprávy a tím pádem budou marketéři často potřebovat zvláštní souhlas s odesláním nevyžádaného přímého marketingového sdělení. Nejlepší způsob, jak získat platný souhlas, je požádat zákazníky, aby zaškrtli daná políčka po přihlášení ke službě, která stvrzují ochotu přijímat marketingové hovory, SMSky nebo e-maily, dodává Luděk Nezmar. Podmíněné souhlasem bude také zpracování komunikačního obsahu a metadat, mezi které patří například místo a trvání hovoru nebo přehled o navštívených webových stránkách. 

Změny v rámci tohoto nařízení se dotknou také například call center, protože marketingové hovory budou muset zobrazovat číslo volajícího nebo používat speciální předvolbu, podle které bude takový hovor identifikovatelný. Dále nebude možné provádět automatické marketingové volání (hovor uskutečněný systémem automatického vytáčení, který pouze přehrává zaznamenanou zprávu), pokud s tím osoba výslovně nesouhlasí. Ani argument, že vaše číslo bylo náhodně vygenerováno počítačem, neobstojí, protože se stále jedná o nevyžádaný hovor. Omezeny budou také živé hovory, pokud je příjemce výslovně neschválí, a to i tehdy, když jsou stávajícími zákazníky dané firmy.

Čtěte také: Je DIČ fyzické osoby na faktuře osobní údaj? Radíme, jak jej řeší GDPR

Tomáš Ševčík z firmy Database CZ zabývající se vývojem softwaru pro call centra dodává: Dotýká se nás především obecné nařízení GDPR, a to v tom směru, že do našeho software SEVIO CALL CENTRUM, který používají call centra pro oslovování zákazníků a sběr informací, musíme implementovat některé nové prvky, které zvýší zabezpečení přenosu dat, umožní evidovat souhlas se zpracováním osobních údajů pro různé účely a nastavit životní cyklus evidovaných osobních údajů dle nařízení výše uvedené směrnice. Zároveň musíme se subjekty, jimž poskytujeme naše služby a software, uzavřít smlouvu o mlčenlivosti.

Jak je to s cookies a marketingovými seznamy

Jak jsme psali výše, nařízení PECR se týká všech, kteří na webových stránkách používají cookies. Cookie je textový soubor, který se stáhne na koncové zařízení, když uživatel přistupuje k webové stránce, a umožňuje stránce rozpoznat zařízení a ukládat informace o chování uživatele. Je důležité informovat návštěvníky, že jsou na stránce cookies, vysvětlit jim, co dělají a proč a také získat souhlas k uložení cookies. Zde by mělo dojít k určitému zjednodušení, protože nově by nebyl potřeba souhlas tam, kde tyto soubory nejsou chráněny soukromím, tedy pokud například cookies slouží pouze k počítání návštěvníků dané webové stránky nebo zlepšují obecné služby internetu.

Co se týče vytváření marketingových seznamů, je především důležité uchovávat jasné záznamy o souhlasu, a to hlavně s marketingem prostřednictvím elektronických komunikací. Ideální je poskytnout zákazníkům pole pro přihlášení určující konkrétně typ zpráv, které máte v plánu zasílat. Zvláštní souhlas je potřeba také v případě, že máte v plánu tyto seznamy předávat dál jiným společnostem. Zde je nutné je pojmenovat a popsat.

Čtěte také: Umožňuje GDPR naskenovat osobní doklady zákazníků? Odpovídáme v poradně

Také u adresářů musíte jednotlivé členy informovat o účelu daného adresáře a především jim poskytnout možnost k odhlášení se. Na požádání také máte právo opravovat nebo odebírat jednotlivé položky, a to bez účtování jakýchkoliv poplatků.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Nařízení PECR nestanovuje konkrétní pravidla pro online marketing, tedy například pro bannerovou reklamu, ale pozor si dejte na virální marketing, při kterém podněcujete oslovené ke sdílení a jedná se tak o typ marketingové zprávy. Nařízení rovněž nepokrývá přímou reklamu do poštovní schránky v listinné podobě. K obecným výjimkám z PECR patří: výjimky pro národní bezpečnost, vymáhání práva nebo dodržování jiných zákonů. Vše je nutné posuzovat individuálně a nejčastěji se jedná o výjimky pro poskytovatele komunikačních služeb.

Shrnutí oblastí PECR
Co PECR pokrývá Co PECR nepokrývá Výjimky
Veškeré nevyžádané marketingové zprávy Vyžádané marketingové zprávy (ke kterým jsme dali souhlas) Výjimky pro národní bezpečnost
Webové stránky s cookies Online reklamu Vymáhání práva
Vytváření marketingových seznamů a adresářů Přímou reklamu do poštovní schránky Dodržování jiných zákonů
Individuální výjimky

Rozdíl mezi GDPR a PECR

Nařízení PECR je de facto doplněním nebo rozšířením nařízení na ochranu osobních údajů GDPR. Nařízení PECR vychází z článku sedm Charty lidských práv, zatímco GDPR je postaveno na osmém článku Charty. Přirozeně dochází k určitému překrytí obou nařízení, neboť obě normy mají za cíl chránit soukromí lidí. Dodržování PECR pomůže organizaci splnit zákonné požadavky plynoucí z ochrany osobních údajů a naopak. Existují však určité rozdíly a organizace se musí ujistit, že dodržuje obě nařízení.

Významný rozdíl tkví v tom, že PECR platí i v případě, že nezpracováváte osobní údaje. Například mnoho pravidel PECR chrání společnosti, stejně jako jednotlivce, a pravidla pro marketing platí i v případě, že nemůžete identifikovat osobu, kterou se snažíte oslovit, říká Luděk Nezmar.

EBF18_tip_v_clanku_obecny

Evropské komise hovoří také o nových podnikatelských příležitostech souvisejících s tím, že uživatel udělí souhlas se zpracováním komunikačních údajů, obsahu nebo metadat. Tradiční telekomunikační operátoři budou mít více příležitostí k jejich využití a poskytování doplňkových služeb. Mohli by například generovat tepelné mapy označující přítomnost fyzických osob, a pomáhat tak veřejným orgánům a dopravním podnikům při přípravě nových projektů infrastruktury, jak je uvedeno v tiskové zprávě

K přijetí tohoto nařízení by mohlo dojít již v druhé polovině tohoto roku. Původní záměr a přání Evropského inspektora pro ochranu osobních údajů bylo, aby PECR vstoupilo v účinnost spolu s GDPR, tedy 25. května 2018, dodává závěrem Luděk Nezmar z ACRESIA Consulting. Nicméně je také nutné poskytnout všem dotčeným úplný právní rámec na toto téma a čas se krátí, tak zůstávejme ve střehu.