Přejít k obsahu  Přejít k hlavnímu menu

Firemní weblog poradenské společnosti H1.cz

Zobrazit všechny články
Zpět

GDPR (r)evoluce se blíží: Je na ni váš e-shop připravený?

O strašáku jménem GDPR jste už nejspíš slyšeli. Nařízení, které se pod touto tajemnou zkratkou skrývá, má v EU zbrzdit šílenství a hlad po datech, který je v posledním desetiletí čím dál větší.

Sbíráte data? Fajn. Udělejte si ale pořádek v tom, kde je sbíráte, proč, jak s nimi budete nakládat, a všechno pěkně sdělte lidem. Jedině tak bude všem náležitostem v oblasti osobních údajů učiněno zadost.

A kde začít u e-shopů?

1. Rozkoukejte se

V první řadě jste to vy, kdo musí rozlišit, kdy se jedná o sběr osobního údaje a kdy ne. Pokud si nejste jistí, doporučuji použít nejbezpečnější poznávací pomůcku: „Pokud policii předám sbíraný údaj – dopátrá se s jeho pomocí osoby, která se za ním skrývá?“ Pokud odpověď zní „ano“, zatřiďte údaj do kolonky „osobních údaje spadající pod GDPR“.

2. Zorientujte se

Abyste věděli, co můžete dál se sbíranými daty dělat, musíte si ujasnit, proč jste je vlastně sbírali.

Tady je škála (téměř) nekonečná:

  • Údaje sbíráte, abyste věděli, kam zboží poslat.
  • Údaje sbíráte, abyste mohli rozesílat mailové kampaně.
  • Údaje sbíráte, abyste si s jejich pomocí vytvářeli publika v rámci marketingových nástrojů.
  • Údaje sbíráte, abyste věděli, koho fakturovat nebo soudit…

Zkrátka důvod se vždycky najde.

Jakmile si tento důvod identifikujete, musíte se rozhodnout, jestli vám samotné nařízení povoluje pro tento účel osobní údaj sbírat. Pokud „své důvody“ v GDPR nenajdete, je potřeba údaje sbírat pouze na základě souhlasu.

3. Není souhlas jako souhlas

Souhlas, který od vašich (potenciálních) klientů potřebujete, musí projít kritérii přísného úředního oka. Vězte, že naformulovat souhlas tak, aby splňoval podmínky GDPR a přitom byl čtivý a jasný (jak samotné GDPR vlastně požaduje), je úkol téměř nadlidský. Co by tedy v souhlasu určitě nemělo chybět:

  • Vaše identifikace
  • Poučení o tom, co vlastně sbíráte, proč a na jak dlouho
  • Informace o tom, jaká práva má člověk, který vám údaj předává (a že jich není málo)
  • Informace o tom, komu údaje dál zpřístupníte

Souhlas přitom musí být vyčleněný zvlášť, mimo obchodní podmínky. Musí být nastavený jako „opt-in“ bez předem zaškrtnutého okna, a pokud vám ho váš potenciální klient neudělí, nesmíte jej za to bezdůvodně trestat neposkytnutím služby.

Nezapomeňte, že souhlas musíte nastavit tak, abyste kdykoliv při kontrole byly schopni prokázat, kdy, kým a v jaké podobě byl udělený.

A pozor! Souhlas nesmíte požadovat tam, kde vám zpracování umožňuje samotné GDPR.

4. Informujte

Mimo nastavení souhlasu je potřeba vědět, že veškeré zpracování musí probíhat tak, aby zákazníci přesně věděli, co se s údaji děje.

Například při koupi zboží ve vašem e-shopu určitě sbíráte jméno, příjmení a adresu zákazníka. V takovém případě souhlas nepotřebujete – GDPR vám dává možnost si tyto údaje pro účely zaslání zboží sesbírat. Informaci, kterou jsem vám ale nyní podala, musíte stejně tak přetlumočit vašim zákazníkům při vyplňování online objednávkového formuláře.


Povinností, které se na náš s květnem 2018 řítí, není málo. Nutné je ale říct, že byste na ně měli být už dávno přichystaní. Vždyť současná právní úprava se od té nové až tak neliší. Zkuste si tedy udělat pořádek v osobních údajích už teď, abyste v příštím roce nemuseli nezákonně sesbírané údaje vysypat do koše.

Pokud si chcete o celé problematice GDPR udělat přesnější představu, přijďte na školení. Zabere jen půlden a názorně vám ukáže, jak se na GDPR připravit, čím začít a jak se vyhnout nejčastějším chybám.

  • Robert Reček
    31. 10. 2017 / 14:37

    Dobrý den,

    máte prosím příkald, jak by měl být udělený souhlas na webu uložen, aby to bylo průkazné? Stačí záznam v databázi? Jaké náležitosti by měl mít?

    • Petra Dolejšová
      02. 11. 2017 / 16:06

      Dobrý den, Roberte, souhlasy lze zaznamenávat např. logy nebo příznaky v databázi. Vždy však musí správce zajistit, že při udělování bude zaznamenáno, jak a kdy byl souhlas udělen. Z takového záznamu musí být patrné kdo souhlas udělil (postačí uživatelské jméno nebo IP adresa), kdy byl souhlas udělen, o čem všem byl subjekt údajů informován (ideálně kopie prohlášení o souhlasu, včetně podmínek ochrany osobních údajů používáných v době udělení souhlasu), jak byl souhlas udělen (elektronický záznam spolu s časovým identifikátorem) a zda byl souhlas odvolán (pokud byl odvolán, tak kdy se tak stalo). Záznamy o udělených souhlasech by měly být chráněny proti libovolné změně správcem – v opačném případě můžou být pochybnosti o jejich autenticitě.

  • Hanka
    02. 05. 2018 / 16:10

    Dobrý den, Když neregistrovaný uživatel si prohlíží produkty na našem e-shopu ( my o něm víme jen IP adresu a cookies) a pak tyto informace (IP adresu, Identifikaci produktu) předáváme třetím stranám (Seznam, Google…) aby ho "otravovaly s reklamou na tyto produkty , potřebujeme jeho souhlas na tuto akci ? Vždyť my vlastně žádné osobní údaje nepředáváme , jen tu IP adresu, která může být dynamická.

  • Petra
    03. 05. 2018 / 20:49

    Dobrý den, Hanko, platí, že kolik právníků, tolik názorů a v tomto případě dvojnásob… :)) osobně si myslím, že souhlas je potřeba, protože k dynamické IP adrese je apriori potřeba přistupovat jako k osobnímu údaji, upozornily na to už i soudy… I Google k tomuto nabádá. Jsou ale i opačné názorové tendence, tak pak už je to jen o argumentaci v případě kontroly… :)

  • Dan
    10. 05. 2018 / 06:54

    Dobrý den, při registraci zákazníka v rámci objednávky tedy souhlas nepotřebuji, stačí informace o zpracování osobních údajů. Ale co když technické řešení e-shopu i v rámci objednávky souhlas požaduje? Zde jsem se dočetl, že „Souhlas nesmíte požadovat tam, kde vám zpracování umožňuje samotné GDPR“. Je to tedy velký problém? Měl bych požadovat úpravu řešení?

    Děkuji za odpověď.

  • Petra Dolejšová
    10. 05. 2018 / 10:30

    Dobrý den, Dane, jen ve výjimečných případech lze podmínit uskutečnění koupě registrací do uživatelského účtu (například prodej alkoholu, tabák, B2B sektor apod.). Pokud se nastavuje uživatelské rozhraní – registrace do uživatelského účtu, doporučuji nastavit souhlas se zpracováním osobních údajů + umožnit nákup i bez registrace.

    • Dan
      10. 05. 2018 / 14:05

      Asi jsem se špatně vyjádřil, samozřejmě zákazník může nakupovat bez registrace či se v rámci objednávky zaregistrovat a vytvořit tím svůj účet.

      1. Pokud tedy nakupuje bez registrace a přesto po něm souhlas požaduji, je to tedy v rozporu se zákonem?
      2. Pokud se v rámci objednávky zaregistruje, souhlas se zpracováním je již povinný?

      Děkuji.

  • Petra Dolejšová
    10. 05. 2018 / 17:52

    Dobrý den, Dane, pokud nakupuje bez registrace, základní osobní údaje zpracováváte z důvodu nutnosti splnit kupní smlouvu – souhlas by zde být neměl, jen informační povinnost. Pokud vyžadujete souhlas, není to podle zákona správně, ale hlava se za to netrhá :) Pokud se zaregistruje, je souhlas povinný (pokud se nejedná například o výjimky, které jsem uvedla výše) Pěkný den, Petra

  • Jaroslav Nešleha
    22. 05. 2018 / 13:22

    Dobrý den, mám dotaz ohledně GDPR. Zákazník udělá objednávku , vše proběhne jak má . Druhý den nebo ještě ten den se potřebuje na něco zeptat a zavolá na informační linku. Za jakých podmínek jsme oprávněni mu zdělit co a jak. Dle mého názoru je celá objednávka osobní údaj a nevíme za jakých podmínek informace sdělovat. Dle mě bez čísla objednávky to nepůjde, jelikož to zná jen odběratel nebo jeho blízký. Nebo stačí jméno? Děkuji Nešleha.

RSS feed komentářů k tomuto článku
RSS feed komentářů ke všem článkům



(nebude zveřejněn)



Položky označené * jsou povinné