Menu

GDPR pro e-shopy: vyplatí se na nový zákon připravit už dnes?

Nařízení EU o ochraně osobních údajů se přižene už na jaře 2018. Hrozí pokutami až 20 milionů euro nebo ve výši 4 % celkového ročního obratu. Vstoupí v platnost 25. května 2018 a ano - týká se i vašeho internetového obchodu.

GDPR pro e-shopy: vyplatí se na nový zákon připravit už dnes?

Jak přesně aplikovat GDPR (General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů) na e-shopy zatím nebylo zcela přesně specifikováno. Podobně jako u EET budou nejspíš i zde poměrně zásadní dokumenty k dispozici až na poslední chvíli.

Co se ale rýsuje už dnes - až na výjimky budou o svých osobních údajích od příštího května rozhodovat fyzické osoby. Vaši zákazníci i příjemci newsletterů tedy budou mít právo vědět o účelu zpracovávání jejich dat a kdykoliv se vám s ním budou moct připomenout. Pojďme se tedy podívat na dosud známá fakta a postupy, které se v této chvíli v souvislosti s e-shopy dají očekávat.

Osobní údaje před a po GDPR

Zákon mimo jiné upravuje některé základní pojmy. Za osobní údaje podstatné pro e-shopy dosud bylo považováno hlavně jméno a příjmení zákazníka, jeho adresa nebo telefonní číslo. Nově tak teď budou chápány také informace technického rázu jako e-mail nebo IP adresa. K veškerým datům pak budete muset dokumentovat, že jsou pro účely vašeho e-shopu nezbytně nutné a hlavně, že vám je zákazník poskytl vědomě. A že zároveň souhlasí s tím, jak je plánujete používat.

Jak se na GDPR nejlépe připravit

Základním opatřením pro všechny e-shopy se stane co největší pořádek v osobních údajích zákazníků. Veškerá důležitá data proto co nejdříve soustřeďte na co nejméně míst, díky čemuž je lépe udržíte pod kontrolou. Bude třeba zmapovat a zpřehlednit související procesy jako ukládání nebo zálohování dat.

Nařízení slibuje větší důraz na zabezpečení a zálohu před ztrátou nebo únikem veškerých osobních údajů ve vašich databázích - v případě úniku vznikne správcovi povinnost to do 72 hodin ohlásit na dozorový úřad. Pokud vám data uniknou ze stránek bez certifikátu https nebo z nezaheslovaného notebooku, budete mít úřadu co vysvětlovat.

Právo na přístup, být zapomenut a právo na přenositelnost údajů

Části nařízení, které budí velké kontroverze, jsou právo na přístup, právo na přenositelnost údajů a právo být zapomenut. Uživatel podle nich smí požádat o zpracování svých údajů do strukturovaného, strojově čitelného formátu k osobnímu nahlédnutí. Zároveň po vás ale může chtít, abyste veškeré jeho osobní údaje smazali nebo předali třetí osobě. Na vás pak bude posoudit oprávněnost jeho požadavků a případně jim vyhovět.

V praxi by takový kolotoč vyvolaný jedním jediným zákazníkem mohl zaměstnat několik lidí na dlouhé hodiny, veškeré související úkony je přitom povinné vykonat bezplatně. Nepředpokládáme, že by s nástupem GDPR měl nastat hromadný výskyt takových případů, je ale dobré o této možnosti alespoň vědět.

Souhlas s podmínkou není podmínkou nákupu

Od května 2018 budou pouze sami zákazníci smět zaškrtávat souhlas se zpracováním svých údajů. Nepřípustným se stane „předzaškrtávání” políček ve webových formulářích samotným e-shopem i jiné podmíněné získané souhlasy. Možné nebude ani uskutečnit nákup bez udělení souhlasu v obchodních podmínkách.

Pravidlo ale platí pro jakoukoliv formu uzavření smlouvy. Souhlas musí být zcela jasný a “svobodný”, vyjádřený na základě srozumitelně podaných podmínek. Double opt-in (dvojité potvrzení, které se skládá ze souhlasu s pravidly a následného zaslání potvrzovacího e-mailu) nové nařízení striktně nevyžaduje

Doporučuje se ale minimálně vzhledem k ověření věku. Zákon EU totiž nově zařazuje do světa online nakupování rodičovský souhlas. V České republice tak vznikne nutnost u každého zákazníka nebo adresáta e-mail marketingu ověřit, zda je starší 13 let. Osobní údaje mladších dětí nebude bez svolení rodičů nebo zákonných zástupců vůbec možné zpracovávat.

Jak na update stávajících kontaktů?

Problém může nastat se stávajícími e-mailovými kontakty, které jste získali například přihlášením do vašeho newsletteru ještě před přijetím všech opatření. Na ty se totiž nařízení vztahuje také a měli byste je tak znovu požádat o souhlas, který by nové podmínky splňoval. Jiným případem je situace, kdy jsou příjemci vašimi zákazníky nebo využívají vaše služby. To se dá ze zákona vyložit jako „oprávněné zájmy správce” a souhlas zde není třeba.

Remarketingovými kampaněmi se ale bude zabývat hlavně ePrivacy - doplněk GDPR, který řeší také soubory cookies. S největší pravděpodobností se však nakonec dotkne spíše cílení pro reklamní účely, než využití internetovými obchody jako takovými.

Konkrétní informace o ePrivacy, stejně jako upřesnění potřebných kroků v souvislosti s GDPR budeme nadále sledovat. Proto stále doporučujeme: vyhněte se unáhleným krokům a raději vyčkejte na oficiální stanoviska. Na našem blogu vás o nich budeme včas informovat.