7 věcí, které e-shopy musí udělat, aby byly připravené na GDPR
Okolo nového nařízení o ochraně osobních údajů stále panuje spousta nejasností a nevyřešených záležitostí.
Existují ale povinnosti, o kterých se už teď ví, že se jim e-shopy nevyhnou.
Prolezli jsme web skrz naskrz, zúčastnili se konferencí a školení, načetli zákony a zkusili pro vás vypátrat, co se dalo.
Výsledkem je praktický průvodce, který přináší jednoduchý přehled, co by měly e-shopy začít dělat, aby je GDPR nevypeklo.
]/toc]
Zjistěte si, kdo jakou roli podle GDPR hraje
Správce, zpracovatel a subjekt. To jsou tři hlavní pojmy, které definují, kdo hraje jakou roli podle GDPR.
Správce
Správcem je jakákoliv fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
V podstatě se jedná o jakýkoliv subjekt, který zpracovává osobní údaje.
Jako e-shop jste správce – zpracováváte údaje svých zákazníků.
Zpracovatel
Zpracovatelem je fyzická nebo právnická osoba. orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Většinou se jedná o někoho, kdo spravuje váš systém a pracuje s vašimi daty.
Za jistých okolností můžete být zpracovatelem i vy.
Kdo další může být váš zpracovatel?
- Poskytovatel cloudových služeb
- Poskytovatel hostingových služeb
- E-shopové platformy
- Účetní a fakturační systémy
- Dopravní společnosti
- Marketingové agentury
- IT firmy (např. ty, které se vám starají o úpravy na webu)
- A další subjekty, kterým posíláte data na zpracování (Heuréka, Sklik, apod.)
Subjekt údajů (uživatel)
Fyzická osoba, jejíž údaje jsou někde uvedeny.
V případě e-shopu se jedná o vašeho zákazníka.
Projděte si údaje, které zpracováváte
Většinou existují dva způsoby, kterým údaje získáváte.
údaje získáváte od samotného zákazníka
Při vyplňování objednávky zákazník uvádí jméno a příjmení, adresu, bydliště, telefon a e-mail. Tímto způsobem vám zákazník své údaje poskytne sám.
údaje získáváte automaticky
Do této kategorie většinou spadají technické parametry, jako IP adresa, doba strávená na stránce, čas, kdy uživatel stránku navštívil, údaje o prohlížeči, apod. Systém tyto údaje získává díky logům, Google Analytics, apod. Takovéto údaje neidentifikují určitou osobu, ale počítač uživatele. Vy pak díky souborům cookies můžete na tuto osobu cílit svoje obchodní a marketingové aktivity.
Co všechno je pokládáno za osobní údaj?
Při definování, co je a co není pokládáno za osobní údaj je třeba vycházet z univerzálního pravidla, a sice – lze podle tohoto údaje identifikovat určitou osobu?
Na následujících příkladech vám ukážeme, jak o osobních údajích uvažovat a rozlišovat mezi nimi.
Kdy je osobním údajem e-mailová adresa?
Jedním příkladem za všechny je e-mailová adresa. Pokud se ve vaší databázi objevuje kontakt typu mala.jaja123@email.cz, pak se s nejvyšší pravděpodobností o osobní údaj nejedná, protože se kontakt skládá z velmi obecných indicií.
Oproti tomu existuje konkrétní e-mailový kontakt, např. jana.novakova@firmanovak.cz. Dle tohoto e-mailu jste pravděpodobně schopni určit konkrétní Janu Novákovou, která pracuje ve Firmě Novák s.r.o., a spojit si s ní další informace. V tomto případě se bezesporu o osobní údaj jedná.
Jak je to se jménem nebo adresou bydliště?
Říkáte si, že když nemáte k dispozici konkrétní jméno, o osobní údaj se nejedná? Tak jednoduché to bohužel není.
Ve vaší databázi se může nacházet osoba jménem Jana Nováková a u ní je přiřazené číslo bankovního účtu. Osob s tímto jménem je spousta a vy nemůžete podle žádného klíče určit, které konkrétní Janě Novákové příslušné číslo účtu náleží.
Výše uvedený případ však porovnejte s následujícím. Muž, 50 let, bydlí v obci Horní Novákovice, číslo domu 101. V tomto případě se o osobní údaj jedná, byť neznáte jméno a příjmení. Máte však k dispozici adresu, podle níž jste schopni dotyčnou osobu vypátrat.
Patří do osobních údajů i IP adresa?
V případě IP adresy jde o to, zda lze podle ní identifikovat konkrétní osobu. IP adresa sama o sobě osobním údajem není, ale v momentě, kdy je váš zákazník registrovaný uživatel, si snadno spojíte oba ukazatele dohromady a dostanete konkrétní osobu.
Takových případů by se jistě našlo spousta. Obecně ale platí, že pokud zkombinujete jakékoliv údaje s dalšími ukazateli, a jste tak schopni identifikovat určitou osobu, jedná se o osobní údaj.
Stanovte účel, za kterým údaje zpracováváte
Když shromažďujete osobní údaje, musíte tak provádět za určitým a oprávněným účelem. GDPR terminologie hovoří o tzv. právním důvodu. Vy pak máte povinnost tyto právní důvody uvádět a být schopni je prokázat.
Kdy nastává onen právní důvod?
Když zpracovávání osobních údajů je:
- nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů (splnění smlouvy je v případě e-shopu vyřízení a odeslání objednávky)
- nezbytné pro splnění právní povinnosti, která se na správce vztahuje
- nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo fyzické osoby (je však problematické přesně definovat, co znamená slovní spojení „životně důležitý zájem“)
- nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (což se vás zřejmě jako e-shopaře netýká)
- nezbytné pro účely oprávněných zájmů příslušného správce (oprávněným zájmem může být uchování osobních údajů pro případné reklamace)
Teprve v okamžiku, kdy žádný z výše uvedených důvodů nedokážete uspokojivě nadefinovat, musíte ke zpracování osobních údajů mít souhlas subjektu údajů (tedy od vašeho zákazníka).
Výše uvedené právní důvody si zapamatujte jako kouzelnou formulku. Jedná se totiž o jeden z nejdůležitějších textů, které se v GDPR nachází.
Vyplývá z něj podstatná věc – souhlas se zpracováním osobních údajů potřebujete pouze tehdy, kdy údaje zpracováváte nad rámec plnění smlouvy, právních povinností nebo ostatních právních důvodů.
Jak je to se souhlasem u objednávky?
Souhlas se zpracováním osobních údajů nepotřebujete pro dokončení objednávky. Vyřízení objednávky se totiž pokládá za právní důvod (naplnění kupní smlouvy).
Zbystřete však ve chvíli, kdy chcete údaje používat pro marketingové účely. Například pro rozesílání novinek e-mailem souhlas potřebujete. Nejlépe uděláte, když souhlas umístíte do objednávky. Musíte jej oddělit od souhlasu s obchodními podmínkami. Zároveň nesmíte objednávku souhlasem ke zpracování osobních údajů podmiňovat. Políčko rovněž nesmí být předzaškrtnuté.
Jak je to s uchováváním údajů o transakcích?
Pokud používáte platební bránu GoPay, musíte uchovávat (například v zabezpečeném archivu) údaje o platebních transakcích, a to po dobu 10 let od ukončení obchodního vztahu.
Touto povinností se řídíme i my, jelikož nám ji ukládá zákon č. 284/2009 Sb. (zákon o platebním styku) a dále zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (tzv. AML zákon).
I kdyby vás zákazník požádal, abyste tyto údaje vymazali, vy tak činit nemůžete, z důvodu povinnosti dodržovat naše obchodní podmínky (které respektují mimo jiné povinnosti uložené výše uvedenými zákony).
Projděte si seznam vašich kontaktů
GDPR se vztahuje i na ty kontakty, které jste získali ještě před začátkem platnosti nařízení (tedy ty, které máte nyní a které nasbíráte do příštího května). Pokud sbíráte kontakty, na které posíláte např. marketingové akce, newslettery, apod., ověřte si, zda od zákazníků máte souhlas.
Problém nastává i tehdy, kdy sbíráte kontakty výměnou za něco (typicky nabízíte e-book ke stažení výměnou za e-mail). V takovém případě musí uživatel odsouhlasit, že chce, aby mu na e-mail e-book dorazil. V ideálním případě by měl poskytnout i souhlas k budoucímu zasílání dalších e-booků. Pokud souhlas neudělí, můžete mu zaslat jen ten e-book, se kterým zákazník souhlasil.
Jak by mohly vypadat podmínky souhlasu k zasílání novinek e-mailem najdete zde.
Pohlídejte si smluvní dokumentaci se zpracovateli
Projděte si, kdo všechno pro vás zpracovává data (je tedy v pozici zpracovatele). Všechny smlouvy se zpracovateli byste měli mít v souladu s GDPR. Zatím neexistuje ustálený výklad, kdo by měl tuto dokumentaci vytvořit. Přesto doporučujeme této oblasti věnovat patřičnou pozornost.
Panuje však názorová shoda, kdo je zodpovědný za případný únik dat. Pokud zpracovateli nějaká data uniknou, veškerá odpovědnost jde za vámi jako za správcem a vy budete muset platit pokutu. A to i přesto, že smlouvy budete mít právně v pořádku. Jinými slovy máte povinnost ujistit se, že váš zpracovatel (nebo zpracovatelé) je schopen s daty bezpečně nakládat.
Rozmyslete se, zda potřebujete všechna data, která shromažďujete
Zlaté pravidlo pro řádné plnění povinností definovaných v GDPR je: “Neukládejte a nezpracovávejte data, která nezbytně nepotřebujete”.
Snadno se vám totiž stane, že vám nějaký ten právní důvod vypadne, vy budete mít v databázi velké množství dat a k jejich nakládání budete postrádat souhlas uživatele.
Vyvarujte se vytváření obrovských databází, ve kterých schováváte všechna možná data pro případ, že by se v budoucnosti hodila, ale nedokážete specifikovat přesný právní důvod, proč data zpracováváte.
Vytvořte samostatný dokument pro ochranu osobních údajů
Právníci doporučují vytvořit samostatný dokument, ve kterém popíšete, jak osobní údaje chráníte. Text umístěte na web vašeho e-shopu. Měl by být oddělený od Obchodních podmínek. Součástí dokumentu by měly být i procesy, které provádíte za účelem ochrany osobních údajů, včetně popisu účelů, za jakými zpracování údajů provádíte.
Nejlépe uděláte, když dokument dáte dohromady co nejdříve. Šušká se, že kontroly ÚOOÚ se zaměří na to, co lze kontrolovat na dálku, a to jsou právě Obchodní podmínky a dokument o zpracování osobních údajů.
Zachovejte chladnou hlavu a řiďte se selským rozumem
Pokud jste se i doteď řídili zákonem 101/2000 Sb., o ochraně osobních údajů, pak máte z půlky vyhráno. Většina věcí, které jsou popsány v GDPR, platí už teď díky tomuto zákonu, jen nejsou často dodržovány. Neříkáme, abyste celé GDPR hodili za hlavu, ale pokud dnes postupujete v souladu s výše uvedeným zákonem, není důvod k přílišné panice, jak se někteří snaží v nás probudit.
Nejste-li si jisti a raději byste chtěli slyšet názor odborníka, vyhledejte si někoho přes právní poradenství a nechte jej provést analýzu rizik a aktuálního stavu ve vašem e-shopu. Popřípadě prozkoumejte jiné e-shopy a podívejte se, kdo a jak se na GDPR připravuje.
A pokud vy sami máte v rukávu užitečné rady a tipy, jak se jako e-shopař na GDPR připravit, nezapomeňte se o ně podělit v komentářích.
01.12. 2017 at 14:12
Dobrý den,
máme 12 let eshop a za tu dobu jsme nasbírali velké množství emailových adres.
Jak můžeme tyto adresy „legalizovat“ ve vztahu ke GDPR.
Nedokáži si moc dobře představit, jak každého znovu žádáme o povolení. Každý z nás nakoupil na desítkách eshopů a to nám teď všem budou chodit tyto emaily?
Myslím si, že je to postavené na hlavu.
Děkuji
07.12. 2017 at 15:51
Dobrý den Tomáši, díky za komentář.
S e-mailovými adresami se to má vskutku tak, že budete muset získat souhlas ke zpracování osobních údajů za účelem rozesílání marketingových a obchodních sdělení.
Doporučujeme vám projít si databázi vašich kontaktů a pročistit ji. U starých kontaktů uděláte nejlépe, když je vymažete. U kontaktů, které jsou aktivní a se kterými chcete i nadále pracovat, si budete muset souhlas vyžádat.
Zní to šíleně, ale zatím to opravdu vypadá tak, že příští rok budeme všichni zavaleni podobnými e-maily až po uši.
04.05. 2018 at 21:30
Dobry den, Karin, a jak by mel takovyto email vypadat? Staci okopirovat text, ktery uvadite v clanku, a odeslat pres mailchimp apod.? A nasledne ulozit odpovedi od klientu pro budouci audit v mailove schrance?
Co kdyz nekdo neodpovi, protoze se mu nechce odpovidat, ale zajem by i mel dal dostavat newsletter? Ne vsichni klienti vzdy takovy email otevrou a prectou… Zda se mi to trochu nedotazene do konce. Nedokazu si to v praxi predstavit jako funkcni model.
Dekuji, Jana
11.05. 2018 at 17:09
Dobrý den Jano, děkuji vám za dotaz.
Svým zákazníkům můžete posílat e-maily, které budou souviset s předmětem vašeho podnikání, typicky se může jednat o různé novinky (např. jste otevřeli novou kamennou prodejnu). K takovýmto účelům souhlas se zasíláním novinek nepotřebujete.
Pokud byste jim chtěla posílat reklamní sdělení (např. že nyní nabízíte určitý produkt ve slevě), pak v tomto případě souhlas se zasláním takovýchto sdělení potřebujete. Jedna z možných podob takového souhlasu je uvedený e-mail od Sdružení pro internetový rozvoj, jehož odkaz najdete v článku (a to je pravděpodobně ten, na který se ptáte). Bohužel, pokud takový e-mail zákazník neotevře, a tudíž neudělí potřebný souhlas, tak mu raději žádná reklamní sdělení nezasílejte. Nechci ale malovat čerta na zeď, některé výklady se stále různí. Zkuste se pro jistotu zeptat někoho povolanějšího.
Přeji vám hezký den. Karin
01.06. 2018 at 07:22
Dobry den, u nadpisu v clanku 2 bych doporucil spise slovo “spravujete”. Jinak moc hezky a prehledne zpracovano. Prima den p.
01.06. 2018 at 09:18
Dobrý den Petře,
děkujeme za návrh, nadpis upravíme.
Také vám přejeme hezký den. Karin