Menu

Připravte svůj e-shop na GDPR. Máte nejvyšší čas

Splňuje váš eshop požadavky nového evropského nařízení o ochraně osobních údajů? GDPR vstupuje v platnost už 25. května 2018 a týká se všech internetových obchodů bez výjimky. Jaké konkrétní kroky svým klientům doporučuje Modrý duch?

Za 5 minut 12: vyhovuje váš internetový obchod nařízení GDPR?
Za 5 minut 12: vyhovuje váš internetový obchod nařízení GDPR?

Je GDPR užitečný zákon, nebo jen další důvod k výhradám vůči Evropské unii? Na tuto otázku si každý musí odpovědět sám. Přinejmenším v případě gigantů jako Facebook nebo Google a s ohledem na vetší bezpečnost nás všech v online prostoru smysl dává. Pokud na svých stránkách jakkoliv nakládáte s osobními daty uživatelů, přípravám na nařízení se nevyhnete na každý pád. Amazon i drobný prodejce rukodělných výrobků jsou v tomto ohledu na jedné lodi - aby mohli jakkoliv nakládat s osobními údaji svých zákazníků, je nejbezpečnější k tomu od nich dostat souhlas.

Je třeba mít na vědomí, že zákazníci nemohou zpracování svých osobních údajů schválit v rámci obchodních podmínek. Souhlas s obchodními podmínkami je totiž podmínkou nákupu, která v podstatě říká „kdo nesouhlasí, ať nenakupuje”. Souhlas se zpracováním osobních údajů však takto podmiňovat nelze. GDPR totiž přímo nařizuje, že zákazníkovi musí být umožněno nakoupit i bez tohoto schválení. Více už jsme se k obecnějším záležitostem týkajících se GDPR rozepsali v článku GDPR pro eshopy: vyplatí se na nový zákon připravit už dnes.

Pojďme se nyní podívat, jak váš web na GDPR reálně připravit. Dnes, nebo pokud možno co nejdříve.

4 kroky, které je nutné podniknout

1/ Pokud posíláte zákazníkům newsletter, GDPR vám zakazuje mít v databázi kontakty bez souhlasu k uchování osobních údajů. Do databáze proto nově zařazujte pouze ty, kteří vám jej poskytnou. Stávající příjemce obešlete s žádostí o souhlas, a pokud vám nevyhoví, nejpozději k 25. květnu je smažte. Drobnou výjimku mohou tvořit vaši stávající zákazníci. V tom případě ale téma newsletteru musí nějak souviset se zakoupeným zbožím nebo objednanou službou z „nedávné doby”, jejíž trvání však není nařízením nijak konkrétně stanoveno. GDPR takovou situaci posuzuje jako oprávněný zájem správce, který je vždy nutné posoudit zvlášť (detailněji v oficiálním znění důvodu 47 z článku 6).

2/ Všechna osobní data zákazníků musí být na internetu přenášena šifrovaně. To znamená, že se už žádný eshop neobejde bez zabezpečení https. Pokud váš web na https neběží, kontaktujte vašeho programátora a co nejdříve to napravte.

3/ Všechny formuláře s osobními údaji, které máte na webu, musíte opatřit souhlasem s jejich zpracováním. Jak to prakticky provést? Kdekoliv po návštěvnících žádáte vyplnění jména, e-mailu, telefonu nebo jakýchkoliv jiných informací spadající pod osobní údaje, umístěte zde zaškrtávací políčko se souhlasem. Pole nesmí být předem zaškrtnuté - to musí aktivně provést výhradně osoba, které ke zpracování dává souhlas. Pokud už na svých stránkách máte předem odsouhlasené (“předzaškrtnuté”) formuláře, je nutné je přepólovat.

4/ Veškeré předávání osobních dat mezi dvěma firmami probíhá v souladu s GDPR na bází správce - zpracovatel. Coby správce tak musíte podepsat písemnou smlouvu se všemi vašimi zpracovateli, mezi které v případě eshopu patří například:

  • webhostingová společnost (sem se řadí třeba BlueGhost),
  • srovnávače zboží Heureka.cz nebo Zboží.cz (zde však pouze v případě zřízené služby Ověřeno zákazníky, kdy srovnávače evidují každou objednávku včetně kontaktního emailu),
  • poskytovatelé externího e-mailingu (např. MailChimp, SmartEmailing apod.),
  • poskytovatelé chatu pro zákazníky (např. Smartsupp),
  • poskytovatelé analytických nástrojů pro sledování konkrétního zákazníka (netýká se tedy Google Analytics apod., např. Hotjar však ano),
  • další externí služby napojené na eshop typicky přes javaskriptové kódy, API nebo exporty; to vyžaduje audit vložených konverzních kódů, aplikací napojených přes API (např. účetní programy) a exportů XML feedů nebo CSV souborů v eshopu.

Jak a kde žádat o souhlas

Souhlas se zpracováním osobních údajů musí být všude tam, kde zákazník zadává do eshopu své osobní údaje (jméno, email, telefon, adresu a jiné). Tedy typicky při objednávce zboží nebo služeb, registraci do newsletteru nebo registraci coby nový zákazník. V případě, že pouze odpovídáte a neukládáte data, není souhlas vyžadován u kontaktních formulářů. Přesto ho i zde doporučujeme.

Souhlas se skládá ze tří částí - titulek, perex a plný text. Zaškrtávací tlačítko (checkbox) s titulkem “Souhlasím se zpracováním osobních údajů” je přesně tím případem, který musí zákazník v případě souhlasu sám aktivně zaškrtnout. Za titulkem se umístí symbol otazníčku - po najetí myší na něj se v okně zobrazí perex souhlasu. V něm byste měli sdělovat především, kdo jste a kdo další se k údajům dostane, k jakému účelu údaje zpracováváte a jak dlouho je budete uchovávat.

Po potvrzení zákazníkem vždy zaevidujete datum, čas, IP adresu, odsouhlasený titulek, odsouhlasený perex a odsouhlasené plné znění souhlasu. Udělené souhlasy pak stačí v CSV formátu exportovat do tabulky, která bude součástí administrace eshopu. Vzor plného znění souhlasu najdete ke stažení třeba na stránkách advokátní kanceláře eLegal.

Double opt-in jako nutnost?

Ještě většího klidu dojdete, pokud si soulad s nařízením pojistíte pomocí double opt-in. Pomocí této metody ověříte, že vám formulář na webu nevyplnil někdo jiný než samotný zákazník. V rámci double opt-in mu tak ještě navíc zašlete potvrzovací e-mail s odkazem. Teprve po kliknutí na tento odkaz je souhlas definitivně potvrzen. Ačkoliv GDPR přímo double opt-in nevyžaduje, Úřad pro ochranu osobních údajů (garant GDPR v ČR) toto opatření doporučuje. Méně už ho ocení zákazníci, pro které se potvrzovací e-mail stane dalším krokem navíc.

A co děti?

Nepříjemná je situace u dětí do 13 let, u kterých musí souhlas se zpracováním osobních dat udělit jejich právní zástupce. Nejjednodušší je zahrnout do obchodních podmínek eshopu potvrzení každého zákazníka, že je starší 13 let. V případě, že jsou pro vás mladší děti zajímavým zákaznickým segmentem, je vhodné formuláře doplnit o kontakt na zákonného zástupce, kterému následně zašlete potvrzující e-mail.

GDPR není jen eshop

Ačkoliv se v článku zabýváme převážně připraveností eshopu, GDPR se týká mnoha dalších oblastí v každé firmě. Kontroly a případné zásahy si vyžádají databáze zákazníků, odběratelů i zaměstnanců, spolupráce s externisty nebo vedení mzdového účetnictví. Mimo jiné je nutné sepsat interní směrnici pro nakládání s osobními údaji a vést důslednou evidenci záznamů o činnostech jejich zpracování. Pro bližší informace doporučujeme Sdružení pro internetový rozvoj SPIR nebo přímo web Evropské komise.

Pavel Weber 13.03.2018