-
31. března 2023
Děti tady (ne)chceme aneb 3 rychlé copy lekce
-
1. března 2023
Co se stane, pokud nezakážete automatickou migraci Google Analytics
-
21. února 2023
ChatGPT: Jaké dopady bude mít na SEO?
-
30. ledna 2023
Microcopy a UX writing: Malá slova, co vedou ke konverzím
-
2. ledna 2023
NFT budou hitem roku 2023. Víte, o co jde? Pořiďte si je taky a buďte v obraze
Firemní weblog poradenské společnosti H1.cz
Zobrazit všechny články
Zpět
GDPR (r)evoluce se blíží: Je na ni váš e-shop připravený?
O strašáku jménem GDPR jste už nejspíš slyšeli. Nařízení, které se pod touto tajemnou zkratkou skrývá, má v EU zbrzdit šílenství a hlad po datech, který je v posledním desetiletí čím dál větší.
Sbíráte data? Fajn. Udělejte si ale pořádek v tom, kde je sbíráte, proč, jak s nimi budete nakládat, a všechno pěkně sdělte lidem. Jedině tak bude všem náležitostem v oblasti osobních údajů učiněno zadost.
A kde začít u e-shopů?
1. Rozkoukejte se
V první řadě jste to vy, kdo musí rozlišit, kdy se jedná o sběr osobního údaje a kdy ne. Pokud si nejste jistí, doporučuji použít nejbezpečnější poznávací pomůcku: „Pokud policii předám sbíraný údaj – dopátrá se s jeho pomocí osoby, která se za ním skrývá?“ Pokud odpověď zní „ano“, zatřiďte údaj do kolonky „osobních údaje spadající pod GDPR“.
2. Zorientujte se
Abyste věděli, co můžete dál se sbíranými daty dělat, musíte si ujasnit, proč jste je vlastně sbírali.
Tady je škála (téměř) nekonečná:
- Údaje sbíráte, abyste věděli, kam zboží poslat.
- Údaje sbíráte, abyste mohli rozesílat mailové kampaně.
- Údaje sbíráte, abyste si s jejich pomocí vytvářeli publika v rámci marketingových nástrojů.
- Údaje sbíráte, abyste věděli, koho fakturovat nebo soudit…
Zkrátka důvod se vždycky najde.
Jakmile si tento důvod identifikujete, musíte se rozhodnout, jestli vám samotné nařízení povoluje pro tento účel osobní údaj sbírat. Pokud „své důvody“ v GDPR nenajdete, je potřeba údaje sbírat pouze na základě souhlasu.
3. Není souhlas jako souhlas
Souhlas, který od vašich (potenciálních) klientů potřebujete, musí projít kritérii přísného úředního oka. Vězte, že naformulovat souhlas tak, aby splňoval podmínky GDPR a přitom byl čtivý a jasný (jak samotné GDPR vlastně požaduje), je úkol téměř nadlidský. Co by tedy v souhlasu určitě nemělo chybět:
- Vaše identifikace
- Poučení o tom, co vlastně sbíráte, proč a na jak dlouho
- Informace o tom, jaká práva má člověk, který vám údaj předává (a že jich není málo)
- Informace o tom, komu údaje dál zpřístupníte
Souhlas přitom musí být vyčleněný zvlášť, mimo obchodní podmínky. Musí být nastavený jako „opt-in“ bez předem zaškrtnutého okna, a pokud vám ho váš potenciální klient neudělí, nesmíte jej za to bezdůvodně trestat neposkytnutím služby.
Nezapomeňte, že souhlas musíte nastavit tak, abyste kdykoliv při kontrole byly schopni prokázat, kdy, kým a v jaké podobě byl udělený.
A pozor! Souhlas nesmíte požadovat tam, kde vám zpracování umožňuje samotné GDPR.
4. Informujte
Mimo nastavení souhlasu je potřeba vědět, že veškeré zpracování musí probíhat tak, aby zákazníci přesně věděli, co se s údaji děje.
Například při koupi zboží ve vašem e-shopu určitě sbíráte jméno, příjmení a adresu zákazníka. V takovém případě souhlas nepotřebujete – GDPR vám dává možnost si tyto údaje pro účely zaslání zboží sesbírat. Informaci, kterou jsem vám ale nyní podala, musíte stejně tak přetlumočit vašim zákazníkům při vyplňování online objednávkového formuláře.
Povinností, které se na náš s květnem 2018 řítí, není málo. Nutné
je ale říct, že byste na ně měli být už dávno přichystaní. Vždyť
současná právní úprava se od té nové až tak neliší. Zkuste si tedy
udělat pořádek v osobních údajích už teď, abyste v příštím roce
nemuseli nezákonně sesbírané údaje vysypat do koše.
Pokud si chcete o celé problematice GDPR udělat přesnější představu, přijďte na školení. Zabere jen půlden a názorně vám ukáže, jak se na GDPR připravit, čím začít a jak se vyhnout nejčastějším chybám.
Dobrý den,
máte prosím příkald, jak by měl být udělený souhlas na webu uložen, aby to bylo průkazné? Stačí záznam v databázi? Jaké náležitosti by měl mít?
Dobrý den, Roberte, souhlasy lze zaznamenávat např. logy nebo příznaky v databázi. Vždy však musí správce zajistit, že při udělování bude zaznamenáno, jak a kdy byl souhlas udělen. Z takového záznamu musí být patrné kdo souhlas udělil (postačí uživatelské jméno nebo IP adresa), kdy byl souhlas udělen, o čem všem byl subjekt údajů informován (ideálně kopie prohlášení o souhlasu, včetně podmínek ochrany osobních údajů používáných v době udělení souhlasu), jak byl souhlas udělen (elektronický záznam spolu s časovým identifikátorem) a zda byl souhlas odvolán (pokud byl odvolán, tak kdy se tak stalo). Záznamy o udělených souhlasech by měly být chráněny proti libovolné změně správcem – v opačném případě můžou být pochybnosti o jejich autenticitě.
Dobrý den, Když neregistrovaný uživatel si prohlíží produkty na našem e-shopu ( my o něm víme jen IP adresu a cookies) a pak tyto informace (IP adresu, Identifikaci produktu) předáváme třetím stranám (Seznam, Google…) aby ho "otravovaly s reklamou na tyto produkty , potřebujeme jeho souhlas na tuto akci ? Vždyť my vlastně žádné osobní údaje nepředáváme , jen tu IP adresu, která může být dynamická.
Dobrý den, Hanko, platí, že kolik právníků, tolik názorů a v tomto případě dvojnásob… :)) osobně si myslím, že souhlas je potřeba, protože k dynamické IP adrese je apriori potřeba přistupovat jako k osobnímu údaji, upozornily na to už i soudy… I Google k tomuto nabádá. Jsou ale i opačné názorové tendence, tak pak už je to jen o argumentaci v případě kontroly… :)
Dobrý den, při registraci zákazníka v rámci objednávky tedy souhlas nepotřebuji, stačí informace o zpracování osobních údajů. Ale co když technické řešení e-shopu i v rámci objednávky souhlas požaduje? Zde jsem se dočetl, že „Souhlas nesmíte požadovat tam, kde vám zpracování umožňuje samotné GDPR“. Je to tedy velký problém? Měl bych požadovat úpravu řešení?
Děkuji za odpověď.
Dobrý den, Dane, jen ve výjimečných případech lze podmínit uskutečnění koupě registrací do uživatelského účtu (například prodej alkoholu, tabák, B2B sektor apod.). Pokud se nastavuje uživatelské rozhraní – registrace do uživatelského účtu, doporučuji nastavit souhlas se zpracováním osobních údajů + umožnit nákup i bez registrace.
Asi jsem se špatně vyjádřil, samozřejmě zákazník může nakupovat bez registrace či se v rámci objednávky zaregistrovat a vytvořit tím svůj účet.
Děkuji.
Dobrý den, Dane, pokud nakupuje bez registrace, základní osobní údaje zpracováváte z důvodu nutnosti splnit kupní smlouvu – souhlas by zde být neměl, jen informační povinnost. Pokud vyžadujete souhlas, není to podle zákona správně, ale hlava se za to netrhá :) Pokud se zaregistruje, je souhlas povinný (pokud se nejedná například o výjimky, které jsem uvedla výše) Pěkný den, Petra
Dobrý den, mám dotaz ohledně GDPR. Zákazník udělá objednávku , vše proběhne jak má . Druhý den nebo ještě ten den se potřebuje na něco zeptat a zavolá na informační linku. Za jakých podmínek jsme oprávněni mu zdělit co a jak. Dle mého názoru je celá objednávka osobní údaj a nevíme za jakých podmínek informace sdělovat. Dle mě bez čísla objednávky to nepůjde, jelikož to zná jen odběratel nebo jeho blízký. Nebo stačí jméno? Děkuji Nešleha.
Dobrý den, Jaroslave, pokud si u Vás objednávají Vaši zákazníci zboží a uvedou své osobní údaje, musíte takové osobní údaje zpracovat pro plnění smlouvy – takový důvod i samo Nařízení uvádí jako zákonný důvod zpracování – jde o „zpracování nezbytné pro provedení opatření před uzavřením smlouvy na žádost subjektu údajů“. V takovém případě je třeba zákazníka pouze o zpracování informovat a není nutné si nechávat podepsat jeho souhlas. Vaše otázka se týká poskytování informací o stavu objednávky. Při velmi striktním výkladu se dá říci, že informace o stavu objednávky poskytnete pouze na základě čísla, jak píšete. Nicméně stav objednávky souvisí s doručením zboží, které si zákazník objednal, a k tomuto účelu poskytnutí osobních údajů sloužilo. Na základě tohoto pohledu se lze domnívat, že jméno by stačit mohlo. Nicméně H1.cz je marketingovou agenturou a jako taková nemůže udělovat právní rady. Tudíž výše zmíněné informace neberte prosím jako náhradu za plnohodnotné právní poradenství v jakékoli konkrétní situaci. Pavla Hladečková, account manažerka H1.cz