Podmínky ochrany osobních údajů (GDPR)

GDPR

Nejsme právníci. Následující berte prosím především jako nasměrování, co jiné eshopy typicky řeší. Pro 100% dodržení zákonu o osobních údajích a GDPR budete pravděpodobně potřebovat odbornou pomoc.

Pozor na podvodníky. Množí se nabídky na jednoduchá univerzální řešení GDPR a prakticky vždy jde o podvod. GDPR není technický problém a plnění bude v každé firmě jiné.

Odborná kontrola: Pokud potřebujete jen zkontrolovat, zda GDPR splňujete, můžete využít balíček od e-legal.cz

Samovzdělání

Pro rychlé zorientování se v problematice GDPR doporučujeme například tyto přednášky:

GDPR pro eshopy - stručně a zdarma od Petry Dolejšové (30 minut) (doporučujeme)
e-legal.cz - kompletní seminář Petry Dolejšové (2,5 hodiny)
GDPR pro eshopy stručně a specificky pro eshopy (4x40 minut)
GDPR v marketingu (6,5 hodiny)

Podrobnější český návod od Petra Kamínka z Komeční banky

ÚOOÚ také připravil spoustu textů k problematice.

Vzory souhlasů a podmínek můžete najít u APEK nebo Shoptet.cz

zabezpečte se

Největším rizikem je vysoká pokuta za únik dat.

Zkontrolujte, kdo má k jakým datům přístup (k administraci, účetníctví, PPC, ...)
Nastavte vhodná hesla, která nepoužíváte nikde jinde
Zapněte u počítačů automatické aktualizace a nastavte systém podle návodu
Zapněte si šifrování disku pomocí BitLocker nebo VeraCrypt (raději svěřte odborníkovi)
Zapněte šifrování u emailového klienta
Zabezpečte papírové dokumenty (zamčená skříň s kartami zaměstnanců, skartovat vytisknuté objednávky, ...)
Proškolte zaměstnance o základech zabezpečení (nikomu nedávat heslo, neposílat export zákazníků přes Ulož.to, ...)

dokumentujte

Měli byste mít připravené směrnice pro zaměstnance, jak mají nakládat s osobními údaji při jednotlivých procesech. Případná kontrola ÚOOÚ bude pravděpodobně chtít tyto dokumenty vidět.
Je potřeba sepsat, v jakých systémech zpracováváte osobní údaje a jakým firmám je svěřujete. Seznam lze mít třeba v Excelu nebo můžete použít připravený nástroj na záložce partneři/aplikace

sepište účely zpracování dat

Na záložce účely sepište všechny účely, k jakým osobní údaje sbíráte (odeslání newsletteru, remarketing, recenze Ověřeno zákazníky, ...)
Každý účel musí mít danou délku platnosti. Tu určujete sami a musí být minimální pro daný účel. Konkrétní délky zpracování údajů je potřeba obhájit při případné kontrole.
Systém při úpravách archivuje předchozí verze účelů - lze tak zpětně zjistit, jak byly dříve nastaveny.

Typické účely pro eshop:

vyřízení objednávky
zaslání newsletteru
přihlášení přes Facebook
recenze nákupu
vedení uživatelského účtu
remarketing
...

sepište podmínky

V sekci podmínky připravte texty souhlasů se zpracováním - odkazuje se na ně z registračních formulářů.
Ve stejné sekci připravte texty s informováním o zpracování údajů - odkazuje se na ně například z košíku.
Texty souhlasů musí být pochopitelné pro běžného zákazníka (stručné a bez právničiny).
Vzory souhlasů a podmínek můžete najít u APEK nebo Shoptet.cz
Systém při úpravách archivuje předchozí verze textů - lze tak zpětně zjistit, s jakým přesným zněním zákazník souhlasil.

Typické texty pro eshop:

obecné informování o zpracování údajů (v patičce)
informace o zpracování údajů (v košíku)
souhlas se zpracováním údajů pro newsletter (v košíku, v dialogu, ...)
...

nastavte formuláře

V sekci formuláře nastavte, jak se na webu má žádat o souhlas nebo informovat o zpracování.
Každému formuláři je potřeba nastavit účely zpracování a texty podmínek
U formuláře se nastavuje text pro zatržítko a případný vysvětlující text (příklad výsledku)
Formulář se automaticky objeví na webu v nastavené sekci. Může ale být nutné kontaktovat podporu pro úpravu šablony.
Doporučujeme k formuláři nahrát screenshot, jak vypadal na webu (iděálně celé stránky) - může se hodit při kontrole.
Systém při úpravách archivuje předchozí verze formulářů - lze tak zpětně zjistit, s jakým přesným zněním zákazník souhlasil.
Na jedné stránce (typicky v košíku) bude běžně definováno více formulářů a některé budou jen informační text bez zatržítka (viz níže)

Typické formuláře pro eshop:

košík: informování o zpracování osobních údajů (pouze text bez zatržítka)
košík: žádost o souhlas pro newsletter (nepovinné zatržítko)
košík: žádost o zaslání recenze nákupu (nepovinné zatržítko)
registrace: souhlas se zpracováním osobních údajů (podle formulace zatržítko nebo jen text)
registrace: žádost o souhlas pro newsletter (nepovinné zatržítko)
dialog newsletter: žádost o souhlas pro newsletter (pouze text nebo povinné zatržítko)
přihlášení přes Facebook: informování o zpracování osobních údajů (pouze text bez zatržítka)
horní lišta: žádost o souhlas s remarketingem (pouze text a tlačítko)
...

současná databáze emailů

Současné odběratele newsletteru můžete oslovit newsletterem s odkazem na reaktivaci souhlasu (je potřeba napojit na exitující GDPR formulář).

Důležité je email vhodně formulovat - například slíbením, že za 14 dní budete posílat newsletter se slevovým kódem a pokud nepotvrdí, že stále mají zájemtakové akce dostávat, tak už nic nedostanou.

Před rozesláním emailu si vyzkoušejte testovací email, zda email vypadá 100% podle vašich představ a stejně tak cílový formulář, ať neriskujete druhý pokus.

Pokud jste vaši databázi nasbírali zcela v souladu se zákonem 101/2000 Sb. (a tudíž pravděpodobně i s GDPR), je možné tyto emaily automaticky migrovat a přeskočit zmiňovaný potvrzující email.

Tuto stránku budeme postupně rozšiřovat podle nejčastějších dotazů.

Rychlé postřehy

Většina GDPR požadavků v ČR už dávno platila podle zákonu č. 101/2000 Sb.
GDPR se vztahuje i na vaše zaměstnance
GDPR se vztahuje i na papírové dokumenty
Osobní údaje nesmíte ukládat na servery mimo EU, pokud firma nemá speciální certifikaci (tu mají obvykle jen velké firmy typu Microsoft, Google)
Nesmíte žádat o souhlas se zpracováním, pokud ho stejně máte ze zákona (například pro vyřízení objednávky)
Souhlas se zpracováním údajů musí dobrovolný a nesouhlas nesmí znepřístupnit službu/soutěž/…

Co potřebujete najít?