GDPR: Tipy pro majitele malých webů a e-shopů

4.5.2018

Dne 25. května 2018 vstupuje v platnost Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation). Mnozí toto nařízení vnímají jako další zbytečnou administrativní zátěž. Pokud ale nezacházíte s daty lehkovážně, tato směrnice v podstatě potvrzuje už platné praktiky. Co to znamená pro vaše stránky nebo e-shop a jak se na GDPR nachystat, vám poradíme v tomto článku.

Koho se GDPR týká

GDPR se týká každého provozovatele webových stránek nebo e-shopu, který shromažďuje údaje fyzických osob, jako jsou například jméno, příjmení, adresa, telefonní číslo či e-mail. Pokud zasíláte čtenářům svého blogu novinky, zákazníkům newsletter a další nabídky, stáváte se automaticky správcem osobních údajů a musíte mít souhlas k jejich zpracování. Získaný souhlas byste měli mít možnost v případě potřeby doložit.

Kdo souhlas nepotřebuje

V některých případech je souhlas uživatele se zpracováním osobních údajů jasně daný, a vy o něj tedy nemusíte znovu žádat.

Souhlas není nutný, pokud:

  • údaje shromažďujete za účelem plnění smlouvy (např. potřebuji jméno, příjmení a adresu, abych dodal zákazníkovi zboží);
  • údaje shromažďujete za účelem právních povinností (některé osobní údaje potřebuji, abych mohl vystavit fakturu);
  • máte-li na svém webu kontaktní formulář, který slouží k vyřízení konkrétního požadavku návštěvníka.

Kdybyste však takto získaný e-mail použili k zasílání obchodních sdělení, souhlas již mít musíte.

 Jak má souhlas vypadat

Souhlas musí být aktivní a dobrovolný – třeba v podobě políčka, které musí uživatelé vědomě zaškrtnout. Některé obchody vyžadují souhlas se zasíláním reklamních sdělení jako součást potvrzení objednávky, kterou jinak není možné dokončit. Takové jednání je v rozporu s právními předpisy a GDPR.

V souhlasu byste měli přesně definovat, k jakému účelu budete údaje používat, na jak dlouhou dobu a jak je možné souhlas odvolat.

Souhlas umístěte do samostatného dokumentu nebo na speciální stránku v rámci vašeho webu. Nově souhlas nesmí být zahrnutý například ve všeobecných podmínkách.

Na webových stránkách by navíc měly být uvedeny všechny prvky dle čl. 13 GDPR. Podrobnější informace k podobě souhlasu naleznete třeba na stránce www.uoou.cz.

A co zabezpečení

Jakmile jste jednou správcem osobních údajů, zodpovídáte i za to, že k nim nebude mít přístup nikdo nepovolaný. Měli byste se k nim proto chovat jako ke svým vlastním údajům. Svůj PIN byste také nevystavili na nástěnku, neposlali ho e-mailem nebo ho neuložili na plochu počítače, kam mají přístup všichni.

Pokud shromažďované osobní údaje zpracovává další osoba, například externí účetní, která se stará o faktury ve vašem e-shopu, je třeba s takovou osobou či poskytovatelem uzavřít zpracovatelskou smlouvu.

Zpracovatelská smlouva se může týkat také poskytovatelů cloudových řešení nebo serverů, kde je uložena většina údajů na webových stránkách. Je tedy třeba ověřit, zda je nutné smlouvu uzavřít i s touto třetí stranou. Podrobnější informace najdete v otázkách a odpovědích v druhé části tohoto článku.

Na co myslet před začátkem platnosti

Základní zásadou GDPR je minimalizace uchovávaných osobních údajů. Zamyslete se nad tím, zda opravdu potřebujete veškeré údaje o vašich návštěvnících nebo zákaznících. Jsou nějaké navíc? Pak je prostě odstraňte ze všech svých záznamů. Potřebujete je? Pak získejte souhlas s jejich zpracováním.

Jakýkoliv strach z blížícího se začátku platnosti GDPR je zcela zbytečný. Provozovatelé webů a e-shopů, kteří se doteď řídili platnou legislativou, by neměli mít problém prokázat, jak získali jednotlivé osobní údaje zákazníků. Pro ty ostatní je GDPR vhodnou příležitostí, jak si udělat pořádek ve shromažďovaných datech a ve výsledku získat kvalitnější základnu návštěvníků a zákazníků.

Nejčastější dotazy

Příprava na GDPR je opravdu velmi aktuální téma a vy se nás na ni často ptáte. V následující části článku jsme proto zodpovědli vaše nejčastější dotazy.

 Bude sběr dat o návštěvnících a zákaznících nelegální?

Ne, GDPR upravuje a potvrzuje stávající systém ochrany, snaží se postihnout nepravosti a dává uživatelům větší přehled o tom, jak je s jejich daty nakládáno. Shromažďování osobních údajů bude nelegální pouze v případě těch, kteří k němu nemají oprávněný zájem.

 Co je oprávněný zájem?

Oprávněným zájmem se rozumí plnění smluvních nebo právních povinností, jakými jsou například dodání zboží nebo vystavení faktury.

Pokud informace shromažďujete za jiným účelem, například rozesílání obchodních nabídek, musíte k tomu mít aktivní souhlas uživatelů.

Jsem zodpovědný za správu osobních údajů, když mám svůj web vytvořený u Webnode?

Ano. Pokud v rámci svého webu shromažďujete osobní údaje o svých návštěvnících, zodpovídáte za správu a bezpečnost těchto údajů.

Potřebuji aktivní souhlas k zasílání newsletteru?

Využíváte-li na svých stránkách ke sběru kontaktních údajů formulář, který jasně a jednoznačně stanovuje, k jakému účelu jej používáte, například „Přihlášení k odběru novinek“,  další aktivní souhlas už není třeba. Na webu byste ale měli zveřejnit informace o tom, která data shromažďujete, jak s nimi nakládáte, kdo další je zpracovává a jaká práva uživatel má. Pokud ke sběru dat používáte způsob, ze kterého není jasně patrné, k čemu následně data využíváte, souhlas je nutný.

Je však třeba dávat pozor i na obsah vašich newsletterů. Nadále zůstává povinnou možnost odhlásit se z newsletteru. Zákazníkům také musí chodit e-maily pouze o zboží či službách, které u vás nakoupili. Pokud prodáváte zboží z více kategorií, je nutné databázi kontaktů roztřídit.

Potřebuji zpracovatelskou smlouvu od Webnode?

Ano, zpracovatelská smlouva je dostupná na našich webových stránkách. Jak data konkrétně zpracováváme a používáme, najdete v Pravidlech ochrany soukromí.

Je firma Webnode a její editor v souladu s GDPR?

Ano, Webnode jako firma i samotný editor fungují v souladu s touto směrnicí. Pro uživatele, kteří pomocí našeho nového editoru vytváří e-shop, jsme přichystali vzorové Podmínky ochrany osobních údajů i zaškrtávací políčko v objednávce pro aktivní souhlas se zasíláním reklamních sdělení.

Vzorové podmínky však nemohou postihnout každý individuální způsob použití, proto doporučujeme váš konkrétní případ konzultovat s Úřadem pro ochranu osobních údajů či vaším právníkem a přizpůsobit podmínky potřebám vašeho obchodu.

Je důležité si uvědomit, k jakému účelu údaje využíváte. Pokud je prodáváte třetím stranám, nebo je používáte k jinému účelu, než ke kterému vám dali vaši uživatelé souhlas, pak GDPR porušujete. Pokud k osobním a kontaktním údajům nepřistupujete nerozvážně, je pravděpodobné, že budete plnit požadavky GDPR správně.

Kde ukládá Webnode svoje data?

Veškerý provoz a vývoj Webnode probíhá v rámci EU a data skladujeme na serverech v rámci EU.

Věříme, že vám článek pomohl rozptýlit některé obavy a dohady ohledně nové směrnice. Je však jasné, že tyto tipy nemohou pokrýt všechno. Proto vám doporučujeme váš konkrétní případ konzultovat s příslušnými autoritami. Plánujete vytvořit vlastní online obchod? Vyzkoušejte návod krok za krokem.