GDPR

Poslední aktualizace: 26. 4. 2018

Obecné nařízení o ochraně osobních údajů účinné od 25. 5. 2018

Text Nařízení v češtině (pouze pro odvážné): https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS​

 

Na základě dostupných informací, konzultací, odborných školení a našeho nejlepšího svědomí jsme pro vás připravili článek shrnující informace a kroky, které byste si měli projít, abyste byli na Nařízení připraveni. Mějte, prosím, na paměti, že tento seznam nemusí být výčtem kompletních povinností obchodníka (správce osobních údajů), jedná se pouze o úpravy, které vám doporučujeme provést na vašem webu (týká-li se ho Nařízení) / e-shopu a oblasti, o kterých vás považujeme za vhodné informovat. Prováděné kroky vám však doporučujeme konzultovat s právním zástupcem.

 

Plán a průběh implementace chystaných změn v řešení e-shopů a webů z naší strany naleznete v článku GDPR roadmap.

Připravte se ve firmě

Ačkoli změny na e-shopech a webových stránkách jsou důležité, četné kroky vás pravděpodobně čekají i u vás ve firmě.

Eliminujte riziko úniku dat

  • Zbavte se dat, která nevyužíváte, nepotřebujete, získali jste je dávno nebo byste je mít neměli (nakoupené seznamy e-mailů,...).
  • Zabezpečte fyzicky uchovávaná data – faktury, smlouvy a další dokumenty obsahující osobní údaje je třeba chránit před únikem a možným zneužitím. Proto byste je měli mít vždy alespoň pod zámkem.
  • Zabezpečte elektronická zařízení, pomocí kterých je možné se k osobním údajům dostat. Mobilní telefony a počítače by tak měly být chráněny heslem a šifrovány.
  • V případě, že by došlo k úniku osobních údajů, je třeba nahlásit tuto skutečnost Úřadu pro ochranu osobních údajů do 72 hodin od zjištění.

Smlouvy se zaměstnanci a zpracovatelské smlouvy

  • Se zaměstanci, kteří mají přístup k osobním údajům, je třeba uzavřít dodatky ke smlouvám. Nezapomeňte, že se nejedná jen o paní účetní, ale například i o zaměstnance, kteří s fakturou v ruce připravují balíčky na expedici nebo pracovníky úklidu, kteří mohou mít přístup do místností, kde jsou skladovány výše zmiňované šanony s dokumenty.
  • S třetími stranami, které na základě vašeho pověření pracují s osobními údaji, které jim poskytujete, takzvanými zpracovateli, je třeba uzavřít zpracovatelské smlouvy, které vás chrání v případě, že zpracovatel udělá nějaký průšvih. Návrh takové smlouvy od nás obdržíte v následujících týdnech. 

Dokumentace práce s osobními údaji

  • Udělejte si přehled v tom, jaké osobní údaje máte, na co je potřebujete, kde je schraňujete, kdo k nim má u vás v organizaci přístup.
  • Připravte si dokument shrnující také to, komu osobní údaje předáváte. V minimální verzi by to mohla být například tabulka obsahující sloupce: Firma (zpracovatel), Typ údajů, Účel zpracování, Od-do a můžete doplnit zpracovatelskou smlouvou.

 

Změny týkající se e-shopů a webů

 

Jak zjistím, zda je můj web nebo e-shop připraven na GDPR?

Mělo by být splněno následující:

  1. Souhlas se zpracováním osobních údajů není součástí obchodních podmínek.
  2. Souhlas se zpracováním osobních údajů není součástí smlouvy se subjektem údajů (zákazníkem) tak, aby subjekt údajů měl možnost například objednat zboží, aniž by musel souhlasit se zpracováním osobních údajů pro marketingové účely.
  3. Souhlas se zpracováním osobních údajů udělený subjektem údajů (zákazníkem) je svobodný, subjekt údajů sám a dobrovolně rozhoduje o tom, zda jeho osobní údaje budou zpracovány.
  4. V čase získávání osobních údajů na základě souhlasu dostatečně informujete subjekty údajů (zákazníky) o tom, jak budou jejich údaje zpracovány a na jak dlouho uchovány.
  5. Políčka o udělení souhlasu nejsou předem zaškrtnutá.
  6. Souhlas se zpracováním pro jistý účel získáváte odděleně od jiných účelů (např. samostatně pro newsletter...).
  7. Umíte udělený souhlas prokázat (nejlépe písemně doložit).
  8. Subjekt údajů (zákazník) má možnost kdykoliv udělený souhlas jednoduše odvolat.

 

Více k jednotlivým bodům a jak je splnit:

Body 1, 2, 4: Stránka Osobní údaje

Ideální formou, jak poskytnout informace k souhlasu se zpracováním osobních údajů je vytvoření stránky na webu / e-shopu Osobní údaje. Dle článku 13 Nařízení by měla obsahovat:

  1. identifikační údaje vás jako správce,
  2. účel nebo důvod zpracování osobních údajů, pro který vyžadujete souhlas,
  3. příjemce, nebo kategorie příjemců (podle čl. 4 ods. 9 nařízení), kterým budete osobní údaje poskytovat,
  4. informaci, zda budete nebo nebudete osobní údaje vyvážet do třetího státu mimo Evropskou unii, pokud budete osobní údaje vyvážet do třetího státu, poté informaci o přiměřených zárukách o ochraně dat,
  5. informaci o tom, že souhlas je možné kdykoliv odvolat.

Co to znamená v praxi? 

Na vašem webu / e-shopu je třeba vytvořit novou stránku Osobní údaje, ve které zodpovíte všechny jmenované body.  Ve vašich Obchodních podmínkách sekce Osobní údaje být nemůže, neboť udělení souhlasu se zpracováním osobních údajů by nemělo být překážkou uzavření smlouvy (např. provedení nákupu, odeslání přihlášky apod.).

Jste-li členy Asociace pro elektronickou komerci, vzor takového textu můžete najít např. v archivu dokumentů APEK, případně doporučujeme text dokumentu konzultovat s právníkem.

Podle bodu 3 doplňte text o zpracovatele osobních údajů podle služeb, které využíváte. Abychom vám usnadnili práci, připravili jsme seznam nejčastěji využívaných služeb:

  • Předávání údajů spojené se správou informačních systémů:
    • wpj s.r.o., CZ28860608
    • Smartsupp.com, s.r.o., CZ03668681
    • Crisp IM SARL, registration number: 833085806
  • Předání údajů spojené s vyřízením objednávky v závislosti na výběru způsobu platby a dopravy může proběhnout se společnostmi:
    • Balikobot, s.r.o., CZ06283799
    • Česká pošta, s.p., CZ47114983
    • DHL Express (Czech Republic) s.r.o., CZ25683446
    • General Logistics Systems Czech Republic s.r.o., CZ26087961 (využíváte-li přepravu GLS)
    • Hifour s.r.o., CZ47537841 (využíváte-li službu Balíkonoš)
    • PPL CZ s.r.o., CZ25194798
    • ThePay.cz, s.r.o., CZ28135261
  • Předávání údajů spojené s marketingovými službami:
    • Facebook Ireland Limited, IE9692928F
    • Google Ireland Limited, IE6388047V
    • Heureka Shopping s.r.o., CZ02387727
    • Seznam.cz, a.s., CZ26168685
    • UAB "MailerLite", LT100007448516

 

Body 1, 2: Stránka Obchodní podmínky

  • Zkontrolujte aktuálnost obchodních podmínek !!! (pokud používáte vzorové, aktuální verzi volně dostupných vzorových obchodních podmínek od APEK naleznete zde. Pro členy asociace je však dostupná novější verze vzorového textu v uživatelské sekci.)
  • Odstraňte z obchodních podmínek sekci týkající se Osobních údajů.
  • Pokud je váš e-shop napojen na Heureku a využívá programu Ověřeno zákazníky, doplňte sekci Ověřeno zákazníky o text doporučený Heurekou. Více informací na blogu Heureky.

Vaši spokojenost s nákupem zjišťujeme prostřednictvím e-mailových dotazníků v rámci programu Ověřeno zákazníky, do něhož je náš e-shop zapojen. Ty vám zasíláme pokaždé, když u nás nakoupíte, pokud ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti neodmítnete zasílání našich obchodních sdělení nebo neodvoláte svůj dříve udělený souhlas. Pro zasílání dotazníků, vyhodnocování vaší zpětné vazby a analýz našeho tržního postavení využíváme zpracovatele, kterým je provozovatel portálu Heureka.cz; tomu pro tyto účely můžeme předávat informace o zakoupeném zboží a vaši e-mailovou adresu.“

 

Body 3, 5, 7: Projevený souhlas a jeho prokázání

Aby byl souhlas udělen v souladu s nařízením, musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle dotčené osoby. Proto musí být políčka nepředzaškrnutá (prázdná). Tuto změnu zajistíme stejně jako další, o kterých píšeme v článku GDPR roadmap. Přihlášení k newsletteru by mělo probíhat formou double-opt in, ačkoli tuto technologii Nařízení GDPR přímo nevyžaduje, v současné době to je nejefektivnější způsob, jak zjistit, že e-mailovou adresu zadala opravdu dotčená osoba. Při zapsání do databáze kontaktů se uloží také datum, kdy byl daný kontakt zapsaný (a tedy kdy byl získán souhlas). Pro sběr kontaktů pro zasílání newsletteru je třeba vytvořit samostatný konkrétní souhlas (viz specifikace obecného souhlasu výše, ale s omezením důvodů a zpracovatelů), máte-li např. věrnostní program, je potřeba taktéž připravit text souhlasu se zpracováním osobních údajů pro účely věrnostního programu. 

 

Další informace:

Mailerlite / nástroje pro e-mailing

Pro naše klienty, kteří využívají službu Mailerlite, jsme připravili propojení služby s e-shopem včetně obousměrné synchronizace kontaktů. Více o tomto propojení naleznete v článku Newsletter.

Využíváte-li pro e-mailing jinou službu než Mailerlite, je třeba brát v potaz to, že odhlásí-li se člověk z e-mailingu prostřednictvím povinného odhlašovacího odkazu v e-mailu, lze předpokládat, že soudobé mailové chytré nástroje vám u jeho e-mailu při opakovaném importu z databáze webu / e-shopu budou stále držet informaci, že na danou e-mailovou adresu se maily nemají odesílat. Ovšem v případě, že vás někdo kontaktuje např. e-mailem s požadavkem, že chce být z databáze pro zasílání obchodních sdělení odstraněn, je potřeba změnit jeho nastavení v administraci webu / e-shopu i v nástroji pro zasílání e-mailů ručně.

 

Smartsupp

Máte-li na svém webu chat od Smartsupp, pravděpodobně máte aktivovanou i funkci Video nahrávky. Pokud nevyužíváte nahrávání pohybu uživatelů po webu, můžete tuto funkci úplně vypnout po přihlášení zde:
https://dashboard.smartsupp.com/settings/video-recordings

Pokud chcete pokračovat ve videonahrávkách, doporučujeme na výše zmíněném odkazu vypnout nahrávání formulářů a zapnout anonymizaci IP adres.