Přejít k obsahu  Přejít k hlavnímu menu

Firemní weblog poradenské společnosti H1.cz

Zobrazit všechny články
Zpět

GDPR (r)evoluce se blíží: Je na ni váš e-shop připravený?

O strašáku jménem GDPR jste už nejspíš slyšeli. Nařízení, které se pod touto tajemnou zkratkou skrývá, má v EU zbrzdit šílenství a hlad po datech, který je v posledním desetiletí čím dál větší.

Sbíráte data? Fajn. Udělejte si ale pořádek v tom, kde je sbíráte, proč, jak s nimi budete nakládat, a všechno pěkně sdělte lidem. Jedině tak bude všem náležitostem v oblasti osobních údajů učiněno zadost.

A kde začít u e-shopů?

1. Rozkoukejte se

V první řadě jste to vy, kdo musí rozlišit, kdy se jedná o sběr osobního údaje a kdy ne. Pokud si nejste jistí, doporučuji použít nejbezpečnější poznávací pomůcku: „Pokud policii předám sbíraný údaj – dopátrá se s jeho pomocí osoby, která se za ním skrývá?“ Pokud odpověď zní „ano“, zatřiďte údaj do kolonky „osobních údaje spadající pod GDPR“.

2. Zorientujte se

Abyste věděli, co můžete dál se sbíranými daty dělat, musíte si ujasnit, proč jste je vlastně sbírali.

Tady je škála (téměř) nekonečná:

  • Údaje sbíráte, abyste věděli, kam zboží poslat.
  • Údaje sbíráte, abyste mohli rozesílat mailové kampaně.
  • Údaje sbíráte, abyste si s jejich pomocí vytvářeli publika v rámci marketingových nástrojů.
  • Údaje sbíráte, abyste věděli, koho fakturovat nebo soudit…

Zkrátka důvod se vždycky najde.

Jakmile si tento důvod identifikujete, musíte se rozhodnout, jestli vám samotné nařízení povoluje pro tento účel osobní údaj sbírat. Pokud „své důvody“ v GDPR nenajdete, je potřeba údaje sbírat pouze na základě souhlasu.

3. Není souhlas jako souhlas

Souhlas, který od vašich (potenciálních) klientů potřebujete, musí projít kritérii přísného úředního oka. Vězte, že naformulovat souhlas tak, aby splňoval podmínky GDPR a přitom byl čtivý a jasný (jak samotné GDPR vlastně požaduje), je úkol téměř nadlidský. Co by tedy v souhlasu určitě nemělo chybět:

  • Vaše identifikace
  • Poučení o tom, co vlastně sbíráte, proč a na jak dlouho
  • Informace o tom, jaká práva má člověk, který vám údaj předává (a že jich není málo)
  • Informace o tom, komu údaje dál zpřístupníte

Souhlas přitom musí být vyčleněný zvlášť, mimo obchodní podmínky. Musí být nastavený jako „opt-in“ bez předem zaškrtnutého okna, a pokud vám ho váš potenciální klient neudělí, nesmíte jej za to bezdůvodně trestat neposkytnutím služby.

Nezapomeňte, že souhlas musíte nastavit tak, abyste kdykoliv při kontrole byly schopni prokázat, kdy, kým a v jaké podobě byl udělený.

A pozor! Souhlas nesmíte požadovat tam, kde vám zpracování umožňuje samotné GDPR.

4. Informujte

Mimo nastavení souhlasu je potřeba vědět, že veškeré zpracování musí probíhat tak, aby zákazníci přesně věděli, co se s údaji děje.

Například při koupi zboží ve vašem e-shopu určitě sbíráte jméno, příjmení a adresu zákazníka. V takovém případě souhlas nepotřebujete – GDPR vám dává možnost si tyto údaje pro účely zaslání zboží sesbírat. Informaci, kterou jsem vám ale nyní podala, musíte stejně tak přetlumočit vašim zákazníkům při vyplňování online objednávkového formuláře.


Povinností, které se na náš s květnem 2018 řítí, není málo. Nutné je ale říct, že byste na ně měli být už dávno přichystaní. Vždyť současná právní úprava se od té nové až tak neliší. Zkuste si tedy udělat pořádek v osobních údajích už teď, abyste v příštím roce nemuseli nezákonně sesbírané údaje vysypat do koše.

Pokud si chcete o celé problematice GDPR udělat přesnější představu, přijďte na školení. Zabere jen půlden a názorně vám ukáže, jak se na GDPR připravit, čím začít a jak se vyhnout nejčastějším chybám.

  • Robert Reček
    31. 10. 2017 / 14:37

    Dobrý den,

    máte prosím příkald, jak by měl být udělený souhlas na webu uložen, aby to bylo průkazné? Stačí záznam v databázi? Jaké náležitosti by měl mít?

    • Petra Dolejšová
      02. 11. 2017 / 16:06

      Dobrý den, Roberte, souhlasy lze zaznamenávat např. logy nebo příznaky v databázi. Vždy však musí správce zajistit, že při udělování bude zaznamenáno, jak a kdy byl souhlas udělen. Z takového záznamu musí být patrné kdo souhlas udělil (postačí uživatelské jméno nebo IP adresa), kdy byl souhlas udělen, o čem všem byl subjekt údajů informován (ideálně kopie prohlášení o souhlasu, včetně podmínek ochrany osobních údajů používáných v době udělení souhlasu), jak byl souhlas udělen (elektronický záznam spolu s časovým identifikátorem) a zda byl souhlas odvolán (pokud byl odvolán, tak kdy se tak stalo). Záznamy o udělených souhlasech by měly být chráněny proti libovolné změně správcem – v opačném případě můžou být pochybnosti o jejich autenticitě.

RSS feed komentářů k tomuto článku
RSS feed komentářů ke všem článkům



(nebude zveřejněn)



Položky označené * jsou povinné