Podmínky ochrany osobních údajů (GDPR)

GDPR

 

Nejsme právníci. Následující berte prosím především jako nasměrování, co jiné eshopy typicky řeší. Pro 100% dodržení zákonu o osobních údajích a GDPR budete pravděpodobně potřebovat odbornou pomoc.

Pozor na podvodníky. Množí se nabídky na jednoduchá univerzální řešení GDPR a prakticky vždy jde o podvod. GDPR není technický problém a plnění bude v každé firmě jiné.

 

Odborná kontrola: Pokud potřebujete jen zkontrolovat, zda GDPR splňujete, můžete využít balíček od e-legal.cz

Samovzdělání

Pro rychlé zorientování se v problematice GDPR doporučujeme například tyto přednášky:

• GDPR pro eshopy - stručně a zdarma od Petry Dolejšové (30 minut) (doporučujeme)
• e-legal.cz - kompletní seminář Petry Dolejšové (2,5 hodiny)
• GDPR pro eshopy stručně a specificky pro eshopy (4x40 minut)
• GDPR v marketingu (6,5 hodiny)

Podrobnější český návod od Petra Kamínka z Komeční banky

ÚOOÚ také připravil spoustu textů k problematice.

Vzory souhlasů a podmínek můžete najít u APEK nebo Shoptet.cz

1. zabezpečte se

Největším rizikem je vysoká pokuta za únik dat.

• Zkontrolujte, kdo má k jakým datům přístup (k administraci, účetníctví, PPC, ...)
• Nastavte vhodná hesla, která nepoužíváte nikde jinde
• Zapněte u počítačů automatické aktualizace a nastavte systém podle návodu
• Zapněte si šifrování disku pomocí BitLocker nebo VeraCrypt (raději svěřte odborníkovi)
• Zapněte šifrování u emailového klienta
• Zabezpečte papírové dokumenty (zamčená skříň s kartami zaměstnanců, skartovat vytisknuté objednávky, ...)
• Proškolte zaměstnance o základech zabezpečení (nikomu nedávat heslo, neposílat export zákazníků přes Ulož.to, ...)

2. dokumentujte

• Měli byste mít připravené směrnice pro zaměstnance, jak mají nakládat s osobními údaji při jednotlivých procesech. Případná kontrola ÚOOÚ bude pravděpodobně chtít tyto dokumenty vidět.
• Je potřeba sepsat, v jakých systémech zpracováváte osobní údaje a jakým firmám je svěřujete. Seznam lze mít třeba v Excelu nebo můžete použít připravený nástroj na záložce partneři/aplikace

3. sepište účely zpracování dat

• Na záložce účely sepište všechny účely, k jakým osobní údaje sbíráte (odeslání newsletteru, remarketing, recenze Ověřeno zákazníky, ...)
• Každý účel musí mít danou délku platnosti. Tu určujete sami a musí být minimální pro daný účel. Konkrétní délky zpracování údajů je potřeba obhájit při případné kontrole.
• Systém při úpravách archivuje předchozí verze účelů - lze tak zpětně zjistit, jak byly dříve nastaveny.

Typické účely pro eshop:

• vyřízení objednávky
• zaslání newsletteru
• přihlášení přes Facebook
• recenze nákupu
• vedení uživatelského účtu
• remarketing
• ...

4. sepište podmínky

• V sekci podmínky připravte texty souhlasů se zpracováním - odkazuje se na ně z registračních formulářů.
• Ve stejné sekci připravte texty s informováním o zpracování údajů - odkazuje se na ně například z košíku.
• Texty souhlasů musí být pochopitelné pro běžného zákazníka (stručné a bez právničiny).
• Vzory souhlasů a podmínek můžete najít u APEK nebo Shoptet.cz
• Systém při úpravách archivuje předchozí verze textů - lze tak zpětně zjistit, s jakým přesným zněním zákazník souhlasil.

Typické texty pro eshop:

• obecné informování o zpracování údajů (v patičce)
• informace o zpracování údajů (v košíku)
• souhlas se zpracováním údajů pro newsletter (v košíku, v dialogu, ...)
• ...

5. nastavte formuláře

• V sekci formuláře nastavte, jak se na webu má žádat o souhlas nebo informovat o zpracování.
• Každému formuláři je potřeba nastavit účely zpracování a texty podmínek
• U formuláře se nastavuje text pro zatržítko a případný vysvětlující text (příklad výsledku)
• Formulář se automaticky objeví na webu v nastavené sekci. Může ale být nutné kontaktovat podporu pro úpravu šablony.
• Doporučujeme k formuláři nahrát screenshot, jak vypadal na webu (iděálně celé stránky) - může se hodit při kontrole.
• Systém při úpravách archivuje předchozí verze formulářů - lze tak zpětně zjistit, s jakým přesným zněním zákazník souhlasil.
• Na jedné stránce (typicky v košíku) bude běžně definováno více formulářů a některé budou jen informační text bez zatržítka (viz níže)

Typické formuláře pro eshop:

• košík: informování o zpracování osobních údajů (pouze text bez zatržítka)
• košík: žádost o souhlas pro newsletter (nepovinné zatržítko)
• košík: žádost o zaslání recenze nákupu (nepovinné zatržítko)
• registrace: souhlas se zpracováním osobních údajů (podle formulace zatržítko nebo jen text)
• registrace: žádost o souhlas pro newsletter (nepovinné zatržítko)
• dialog newsletter: žádost o souhlas pro newsletter (pouze text nebo povinné zatržítko)
• přihlášení přes Facebook: informování o zpracování osobních údajů (pouze text bez zatržítka)
• horní lišta: žádost o souhlas s remarketingem (pouze text a tlačítko)
• ...

6. současná databáze emailů

Současné odběratele newsletteru můžete oslovit newsletterem s odkazem na reaktivaci souhlasu (je potřeba napojit na exitující GDPR formulář).

Důležité je email vhodně formulovat - například slíbením, že za 14 dní budete posílat newsletter se slevovým kódem a pokud nepotvrdí, že stále mají zájemtakové akce dostávat, tak už nic nedostanou.

Před rozesláním emailu si vyzkoušejte testovací email, zda email vypadá 100% podle vašich představ a stejně tak cílový formulář, ať neriskujete druhý pokus.

Pokud jste vaši databázi nasbírali zcela v souladu se zákonem 101/2000 Sb. (a tudíž pravděpodobně i s GDPR), je možné tyto emaily automaticky migrovat a přeskočit zmiňovaný potvrzující email.

7. ...

Tuto stránku budeme postupně rozšiřovat podle nejčastějších dotazů.

Rychlé postřehy

• Většina GDPR požadavků v ČR už dávno platila podle zákonu č. 101/2000 Sb.
• GDPR se vztahuje i na vaše zaměstnance
• GDPR se vztahuje i na papírové dokumenty
• Osobní údaje nesmíte ukládat na servery mimo EU, pokud firma nemá speciální certifikaci (tu mají obvykle jen velké firmy typu Microsoft, Google)
• Nesmíte žádat o souhlas se zpracováním, pokud ho stejně máte ze zákona (například pro vyřízení objednávky)
• Souhlas se zpracováním údajů musí dobrovolný a nesouhlas nesmí znepřístupnit službu/soutěž/…