Tento text popisuje obecná pravidla pro práci s osobními údaji respondentů ve výzkumu trhu, vysvětluje na 3 příkladech různé scénáře využívané ve vztahu správce – zpracovatel v závislosti na míře práce s osobními údaji. Součástí textu jsou i návrhy smluv a popis základních principů spolupráce správce – zpracovatel při realizaci výzkumného projektu.

Výzkumné agentury sdružené v SIMAR jsou již připraveny realizovat výzkumné projekty v souladu s nařízením GDPR.  Osobní údaje respondentů již dlouho chráníme v souladu s oborovým kodexem ICC/ESOMAR. který vychází z podobných principů jako GDPR. Pracovní skupina složená ze zástupců jednotlivých agentur se implementací GDPR zabývá již od počátku roku 2017.  Identifikovali jsme si účely, pro které zpracováváme osobní údaje ve výzkumných agenturách a odpovídající právní tituly (souhlas, smlouva, oprávněný zájem). Připravili jsme mimo jiné společná východiska pro smlouvy se zaměstnanci, externisty, vypracovali texty souhlasů se zpracováním osobních údajů pro výzkumné účely, vypracovali klíčové body pro smlouvu správce/zpracovatel určené specificky pro výzkumné projekty. V současnosti společně pracujeme na podnikových směrnicích (ze kterých připravíme oborový kodex) a připravujeme materiály pro školení zaměstnanců a externistů.

Jak a proč pracujeme ve výzkumu s osobními údaji?

Při práci na výzkumném projektu v nejvyšší možné míře pracujeme s anonymizovanými či pseudonymizovanými výstupy, které přinášejí informace o chování, postojích a názorech populace, nikoliv jednotlivce. Předmětem výzkumu není sběr osobních údajů a výstupem výzkumného projektu nejsou detaily jednotlivce.

Při hledání odpovědi na výzkumnou otázku se však nevyhneme práci s daty, které pochází od jednotlivců. Respondenti nám dávají dobrovolně k dispozici své názory a my jako obor jim zaručujeme, že jejich data nebudou použita pro jiný než výzkumný účel (například nelze tyto údaje následně využít k přímému prodeji) a dále se respondentům zavazujeme, že jejich soukromí ochráníme (například provádíme pseudonymizaci v prvním možném kroku a nepředáváme údaje neautorizovaným osobám).

Právní tituly a účely zpracování ve výzkumu trhu

Jak je uvedeno výše, zpracování osobních údajů pro výzkumné účely se, i přes snahu o minimalizaci, nevyhneme. Pokud neprovádíme náhodný výběr (např. náhodné vytáčení tel. čísel při CATI), potřebujeme například kontaktní údaje respondentů, abychom s vybranými jedinci mohli realizovat rozhovor. Některé výzkumné metodiky jsou realizovány tak, že při sběru dat i ke zpracování osobních údajů dochází.  Například při kontrole kvality dat provádějí odpovědní pracovníci zpětné prověření práce tazatelů CAPI a operátorů CATI,  to se děje například pomocí náslechů, nebo se zpětně u respondentů ověřuje, že se skutečně účastnili dotazování. V některých případech se respondentům za účast ve výzkumu poskytuje odměna, potřebujeme tedy jejich administrativní údaje. I v těchto případech se snažíme o omezení zpracování na co nejnižší míru.  Technicko-organizační procesy v agenturách jsou nastaveny tak, aby ochránily soukromí respondentů v souladu s etickými pravidly oboru a GDPR nařízením.

Tabulka 1: Přehled právních titulů a účelů zpracování ve výzkumu trhu

Jak správně nastavit spolupráci správce – zpracovatel

Ochrana osobních údajů respondentů je společný úkol zadavatele a agentury. Úprava zodpovědností správce a zpracovatele je obecně určena tím, kdo stanovuje účely a prostředky zpracování osobních údajů. Ve výzkumných projektech jsme identifkovali tři možné scénáře, které spolu s příklady rozebíráme v poslední části tohoto metodického pojednání. Zpracování zpracovatelem se řídí smlouvou, nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie subjektu údajů, povinnosti a práva správce.

Tabulka 2: Vybrané otázky, které si správce a zpracovatel musí zodpovědět při přípravě výzkumného projektu. Výčet všech povinností viz nařízení GDPR, Kapitola IV, správce a zpracovatel.

Scénáře zpracování osobních údajů

Při realizaci výzkumných projektů rozeznáváme z hlediska GDPR tři varianty vztahu klient – agentura. Od situace, kdy klient/zadavatel žádné osobní údaje neobdrží (V1), přes variantu, při které je zadavatel výzkumu příjemcem, nikoliv však zpracovatelem osobních údajů (V2), až po využití databáze zákazníků klienta, kdy je správcem zadavatel výzkumu (V3).  V následujícím textu jsou tyto scénáře vysvětleny na příkladech.

1. Realizace výzkumných projektů, kdy se osobní údaje nezpracovávají, nebo zůstávají pouze v agentuře

Agentura je správce osobních údajů, klient/zadavatel nemá o osobním údajům přístup. Výzkumná agentura je SPRÁVCEM osobních údajů, pokud provádí šetření na základě vlastního vzorku, který má pro účely šetření ve své evidenci. V případě kontroly kvality sběru dat ze strany zadavatele výzkumu či SIMAR musí kontrolující subjekt postupovat v souladu se pokyny udělenými správcem (=agenturou) a tato kontrola probíhá výhradně v agentuře (dle čl. 32, odst. 4 a čl. 29 Zpracování z pověření správce).

Příklad varianty 1 - osobní údaje jsou pouze v agentuře

Agentura X provádí studii o konzumaci výrobků denní spotřeby na panelu domácností. Při analýze se v prvním možném kroku oddělí osobní údaje a dále se pracuje s daty bez informací o jednotlivcích. Uživatelům výstupů této studie jsou poskytnuty anonymní údaje například o frekvenci spotřeby, nebo o repertoáru značek. Při realizaci výzkumu na online panelu je postup obdobný; zadavatel výzkumu opět obdrží výzkumnou zprávu a datový soubor prostý osobních údajů respondentů v online panelu, nebo třeba při realizaci většiny volně prodejných studií.

2. Agentura poskytuje některé osobní údaje zadavateli

Při realizaci skupinových diskusí agenturou obdrží zadavatel výzkumu anonymizovanou výzkumnou zprávu a videonahrávku. Videonahrávka obsahuje osobní údaje, účel užití této videonahrávky však není zpracování osobních údajů, agentura i zadavatel z videonahrávky čerpá inspiraci na jejímž základě si dělá závěry např. o vnímání svých služeb či produktů.

V tomto případě je výzkumná agentura je SPRÁVCEM, zadavatel je PŘÍJEMCEM osobních údajů, tyto osobní údaje dále nezpracovává. Realizace takového výzkumného projektu se děje za podmínky, že respondenti jsou řádně poučeni a udělují souhlas s využitím svých osobních údajů pro výzkumné účely a také jsou seznámení s účelem pořízení nahrávky dle §85 Občanského zákoníku a jejím předáním zadavateli/příjemci osobních údajů.

Zadavatel výzkumu je poučen správcem - agenturou, že obrazové a zvukové záznamy nejsou užívány za účelem identifikace subjektu údajů a nesmí tyto údaje dále zpracovávat. V případě odvolání souhlasu ze strany respondenta je postupováno dle §87 Občanského zákoníku, včetně toho , že odvolávající je povinen nahradit případnou vzniklou škodu.

Příklad varianty 2

Agentura A realizuje diskusní skupiny (FGD) pro zadavatele B.  Pro realizaci skupinové diskuse jsou kontaktováni respondenti, se kterými je podepsán příslušný souhlas o zpracování osobních údajů pro účely výzkumu, který obsahuje i informaci, že videonahrávka bude sdílena se zadavatelem. Agentura odstraní osobní údaje z výzkumné zprávy a jména respondentů anonymizuje. Videonahrávka je však předána zadavateli, který je poučen, že tuto nahrávku může použít pouze a jenom pro výzkumný účel a nesmí zpracovávat osobní údaje v něm obsažené.  Agentura jako správce určí pravidla nakládání s těmito údaji a termín, kdy musí být nahrávka vymazána.

3. Realizace výzkumu s využitím databáze zákazníků zadavatele

Samostatnou kapitolu pak tvoří realizace výzkumných projektů s využitím databáze respondentů poskytnutá zadavatelem. Recitál č. 47 GDPR nařízení praví, že pokud existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem (například subjekt údajů je zákazníkem Banky Y) , může být právním základem zpracování osobních údajů oprávněný zájem správce. Zpracování však musí být v takovém kontextu, který subjekt údajů může důvodně očekávat. Lze tedy například zjišťovat spokojenost se zakoupeným výrobkem, nelze však na databázi spotřebitelů jogurtu zjišťovat informace o užívaných pojišťovacích produktech.

Příklad varianty 3

Bankovní dům Y realizuje mezi svými zákazníky spokojenostní šetření o nových parametrech osobního účtu. Právní titul je zde oprávněný zájem, banka jako správce má vůči subjektům údajů informační povinnost, nemusí však dopředu vyžadovat souhlas s realizací výzkumu.

Banka Y (správce) pověří realizací šetření Agenturu A (zpracovatele) na základě smlouvy správce – zpracovatel. Správce předá oprávněné osobě v agentuře databázi s nezbytně nutnými údaji svých zákazníků dohodnutým, zabezpečeným způsobem. Správce a zpracovatel se dohodnou, zda budou spojovat odpovědi respondentů s osobními údaji. Obecně je doporučována i v tomto případě pseudonymizace, pokud si správce vyžádá ztotožnění respondentů, je třeba na to respondenty upozornit. V každém případě je namístě při realizaci výzkumu splnit vůči subjektu osobních údajů informační povinnost. Při realizaci výzkumu je mimo jiné stanoven proces na vypořádání námitek subjektu údajů, případně proces na zpracování žádosti respondenta na omezení zpracování. Po ukončení projektu, v souladu s dohodou mezi zpracovatelem a správcem, vymaže Agentura A osobní údaje spojené s projektem ze svých systémů.

Smluvní dokumentace

Agentury sdružené v SIMAR ve spolupráci s advokátní kanceláři připravil smluvní dokumenty, které vhodným způsobem naplňují povinnosti správce a zpracovatele vycházející z GDPR.

Tabulka 3: Varianty smluvních ujednání správce – zpracovatel

Technicko-organizační opatření

Vhodná technicko-organizační opatření jsou součástí podnikových směrnic, jejichž podobu pracovní skupina SIMAR připravuje. Na základě podnikových směrnic bude probíhat také proškolení zaměstnanců a externistů agentur. SIMAR také, kromě Kodexu ICC/ESOMAR, vytvoří Kodex ochrany osobních údajů ve výzkumu trhu, kterým se členské agentury budou řídit.