13. 03. 2018
Splňuje váš eshop požadavky nového evropského nařízení o ochraně osobních údajů? GDPR vstupuje v platnost už 25. května 2018 a týká se všech internetových obchodů bez výjimky. Jaké konkrétní kroky svým klientům doporučuje Modrý duch?
Je GDPR užitečný zákon, nebo jen další důvod k výhradám vůči Evropské unii? Na tuto otázku si každý musí odpovědět sám. Přinejmenším v případě gigantů jako Facebook nebo Google a s ohledem na vetší bezpečnost nás všech v online prostoru smysl dává. Pokud na svých stránkách jakkoliv nakládáte s osobními daty uživatelů, přípravám na nařízení se nevyhnete na každý pád. Amazon i drobný prodejce rukodělných výrobků jsou v tomto ohledu na jedné lodi - aby mohli jakkoliv nakládat s osobními údaji svých zákazníků, je nejbezpečnější k tomu od nich dostat souhlas.
Je třeba mít na vědomí, že zákazníci nemohou zpracování svých osobních údajů schválit v rámci obchodních podmínek. Souhlas s obchodními podmínkami je totiž podmínkou nákupu, která v podstatě říká „kdo nesouhlasí, ať nenakupuje". Souhlas se zpracováním osobních údajů však takto podmiňovat nelze. GDPR totiž přímo nařizuje, že zákazníkovi musí být umožněno nakoupit i bez tohoto schválení. Více už jsme se k obecnějším záležitostem týkajících se GDPR rozepsali v článku GDPR pro eshopy: vyplatí se na nový zákon připravit už dnes.
Pojďme se nyní podívat, jak váš web na GDPR reálně připravit. Dnes, nebo pokud možno co nejdříve.
1/ Pokud posíláte zákazníkům newsletter, GDPR vám zakazuje mít v databázi kontakty bez souhlasu k uchování osobních údajů. Do databáze proto nově zařazujte pouze ty, kteří vám jej poskytnou. Stávající příjemce obešlete s žádostí o souhlas, a pokud vám nevyhoví, nejpozději k 25. květnu je smažte. Drobnou výjimku mohou tvořit vaši stávající zákazníci. V tom případě ale téma newsletteru musí nějak souviset se zakoupeným zbožím nebo objednanou službou z „nedávné doby", jejíž trvání však není nařízením nijak konkrétně stanoveno. GDPR takovou situaci posuzuje jako oprávněný zájem správce, který je vždy nutné posoudit zvlášť (detailněji v oficiálním znění důvodu 47 z článku 6).
2/ Všechna osobní data zákazníků musí být na internetu přenášena šifrovaně. To znamená, že se už žádný eshop neobejde bez zabezpečení https. Pokud váš web na https neběží, kontaktujte vašeho programátora a co nejdříve to napravte.
3/ Všechny formuláře s osobními údaji, které máte na webu, musíte opatřit souhlasem s jejich zpracováním. Jak to prakticky provést? Kdekoliv po návštěvnících žádáte vyplnění jména, e-mailu, telefonu nebo jakýchkoliv jiných informací spadající pod osobní údaje, umístěte zde zaškrtávací políčko se souhlasem. Pole nesmí být předem zaškrtnuté - to musí aktivně provést výhradně osoba, které ke zpracování dává souhlas. Pokud už na svých stránkách máte předem odsouhlasené (“předzaškrtnuté") formuláře, je nutné je přepólovat.
4/ Veškeré předávání osobních dat mezi dvěma firmami probíhá v souladu s GDPR na bází správce - zpracovatel. Coby správce tak musíte podepsat písemnou smlouvu se všemi vašimi zpracovateli, mezi které v případě eshopu patří například:
Ani po 25. květnu 2018 vám podmínky GDPR nejsou jasné? Modrý duch zkontroluje nastavení vašeho e-shopu.
Souhlas se zpracováním osobních údajů musí být všude tam, kde zákazník zadává do eshopu své osobní údaje (jméno, email, telefon, adresu a jiné). Tedy typicky při objednávce zboží nebo služeb, registraci do newsletteru nebo registraci coby nový zákazník. V případě, že pouze odpovídáte a neukládáte data, není souhlas vyžadován u kontaktních formulářů. Přesto ho i zde doporučujeme.
Souhlas se skládá ze tří částí - titulek, perex a plný text. Zaškrtávací tlačítko (checkbox) s titulkem “Souhlasím se zpracováním osobních údajů" je přesně tím případem, který musí zákazník v případě souhlasu sám aktivně zaškrtnout. Za titulkem se umístí symbol otazníčku - po najetí myší na něj se v okně zobrazí perex souhlasu. V něm byste měli sdělovat především, kdo jste a kdo další se k údajům dostane, k jakému účelu údaje zpracováváte a jak dlouho je budete uchovávat.
Po potvrzení zákazníkem vždy zaevidujete datum, čas, IP adresu, odsouhlasený titulek, odsouhlasený perex a odsouhlasené plné znění souhlasu. Udělené souhlasy pak stačí v CSV formátu exportovat do tabulky, která bude součástí administrace eshopu. Vzor plného znění souhlasu najdete ke stažení třeba na stránkách advokátní kanceláře eLegal.
Ještě většího klidu dojdete, pokud si soulad s nařízením pojistíte pomocí double opt-in. Pomocí této metody ověříte, že vám formulář na webu nevyplnil někdo jiný než samotný zákazník. V rámci double opt-in mu tak ještě navíc zašlete potvrzovací e-mail s odkazem. Teprve po kliknutí na tento odkaz je souhlas definitivně potvrzen. Ačkoliv GDPR přímo double opt-in nevyžaduje, Úřad pro ochranu osobních údajů (garant GDPR v ČR) toto opatření doporučuje. Méně už ho ocení zákazníci, pro které se potvrzovací e-mail stane dalším krokem navíc.
Nepříjemná je situace u dětí do 13 let, u kterých musí souhlas se zpracováním osobních dat udělit jejich právní zástupce. Nejjednodušší je zahrnout do obchodních podmínek eshopu potvrzení každého zákazníka, že je starší 13 let. V případě, že jsou pro vás mladší děti zajímavým zákaznickým segmentem, je vhodné formuláře doplnit o kontakt na zákonného zástupce, kterému následně zašlete potvrzující e-mail.
Ačkoliv se v článku zabýváme převážně připraveností eshopu, GDPR se týká mnoha dalších oblastí v každé firmě. Kontroly a případné zásahy si vyžádají databáze zákazníků, odběratelů i zaměstnanců, spolupráce s externisty nebo vedení mzdového účetnictví. Mimo jiné je nutné sepsat interní směrnici pro nakládání s osobními údaji a vést důslednou evidenci záznamů o činnostech jejich zpracování. Pro bližší informace doporučujeme Sdružení pro internetový rozvoj SPIR nebo přímo web Evropské komise.
