Chtěl bych prodávat hudbu své kapely přes internet. Prodej hudby by se měl uskutečňovat přes server Bandcamp. Tento server získává od fanoušků, kteří si zakoupí mou hudbu emailové adresy a ty si poté mohu přidat do svého mailing listu a posílat fanouškům novinky. Mailing list by byl veden u společnosti Mailchimp. Pokud si fanoušek objedná fyzické CD, jsou mi navíc na email vždy odeslány jeho doručovací údaje. Tyto údaje bych nepoužíval k jiným účelům, než je doručení zboží. Dále bych chtěl zřídit kapelní webovou stránku, kde by se fanoušci mohli pomocí formuláře (zadají přezdívku/křestní jméno a email) opět zaregistrovat do mailing listu k odebírání novinek. Webová stránka poběží na serveru Webnode, který nabízí základní měření návštěvnosti. Kromě toho bych chtěl na stránku umístit Facebook pixel a s jeho pomocí na Facebooku vytvářet vlastní okruhy uživatelů. Facebook Pixel funguje zhruba tak, že eviduje uživatele, kteří se prokliknou z FB na moji stránku a podle následné automatické analýzy zájmů a dalších údajů těchto uživatelů pak Facebook dokáže vytvořit určitý okruh uživatelů. Na ten mohu zacílit svou reklamu. Vše se děje anonymně, tzn. uživatele nejsem schopen nijak konkrétně identifikovat. Věděl byste prosím Vás, které z povinností podle GDPR by se na mě vztahovaly?

Rozdělíme si daný dotaz na jednotlivé části a u nich se pokusíme nalézt možné řešení:

• Pokud Vám subjekt údajů poskytne např. emailovou adresu pro doručení Vašeho produktu, tak tuto emailovou adresu nepoužijete k jiným účelům, které omezuje nařízení GDPR. Je však otázkou, když jste uvedl, že emailovou adresu poskytl subjekt údajů serveru Bandcamp. Zde předpokládám, že nejste majitelem a provozovatelem tohoto server a tudíž bude potřeba vyřešit problém, kdy daný subjekt údajů poskytl email a jiné své OÚ subjektu, který provozuje Bandcamp a nikoliv Vám. Jedno z možných řešení je, že Vy po obdržení informace z Bandcampu poskytnete daný produkt Bandcamp a ten již ji odešle danému subjektu OÚ. Je ovšem zvážit i navazující problémy spojené s smluvním kontraktem a jeho dopady a povinnosti. Pokud by tento model nebyl možný ať už z jakéhokoliv důvodu, doporučujeme při objednání na serveru Bandcamp, aby při objednávání byla ošetřena skutečnost, že pro zaslání Vašeho produktu Vám bude předána emailová subjektu údajů a daný subjekt údajů, že s tím výslovně souhlasí a to formou CHECK BOXU či něčeho obdobného, kdy prokazatelně s plně v souladu s GDPR získáte jeho souhlas. Pro Vás to znamená, že po odeslání Vašeho produktu na danou adresu doporučujeme danou emailovou adresu následně nepoužívat k jiným účelům, než které nařízení GDPR či jiná legislativa zapovídá. Zde pravděpodobně budete muset opět jinak řešit smluvní a případně reklamační podmínky. V rámci distribuce např. pomocí CD je situace obdobná.
• Pro odebírání novinek je třeba tedy získat souhlas daného subjektu OÚ, nejlépe obdobným způsobem jako je popsán výše, jen s tím rozdílem, že bude upraven účel zpracování OÚ, v tomto případě o distribuci novinek. Upozorňujeme opět na situaci, že je nanejvýše vhodné dodržovat účel zpracování OÚ ke kterému byl souhlas udělen.
• U měření návštěvnosti je potřeba si dát pozor, aby nebyly zpracovávány jednotlivé údaje, které dokáží identifikovat subjekt údajů, ale pouze použít statistické informace, pomocí kterých nelze identifikaci provést. Mimochodem předpokládám, že tuto povinnost poskytovatelé WEB služeb budou znát a Vy by jste ji měl jako vlastník a správce OÚ po poskytovateli takových služeb vyžadovat.
• K problematice FC Pixel apod. pokud získáte souhlas od subjektu údajů, že takovou činnost, jakou výše zmiňovaný produkt či služba provádí, pak takovou činnost můžete provádět a to formou v souladu s GDPR. Zde jen pozor na skutečnost, že subjekt údajů může kdykoliv takový souhlas odvolat či omezit způsob zpracování jeho OÚ u Vás.