Vaše luxusní prodejna

Jak na GDPR v eshopu v 7 krocích

Nařízení GDPR se týká všech firem, které působí na území EU a pracují s osobními daty. Můžeme zjednodušeně říci, že se tedy týká každé firmy, která má nějaké zákazníky, dodavatele nebo zaměstnance.

V tomto článku se nebudeme věnovat obecným povinnostem vyplývajícím z GDPR, ale pouze hlavním specifickým prvkům eshopu, které umožní naplnit některé z požadavků nařízení GDPR.

1. Zveřejnění Zásad ochrany osobních údajů v eshopu

Tento bod je velmi důležitou povinností, vyplývající z GDPR. Zde zákazníkům sdělíte, jakým způsobem nakládáte s osobními údaji.

Vzor zásad najdete např. zde.

Zásady si prosím pozorně přečtěte a upravte podle svých představ a uložte na webu.


Zásady ochrany osobních údajů by měly být samostatným dokumentem, odděleným od Obchodních podmínek eshopu (z důvodu zajištění možnosti nesouhlasu se zásadami, k tomu se ještě dostaneme níže).


Zveřejnění zásad je pro Vaše zákazníky důležitým a viditelným ukazatelem, že ochranu osobních údajů berete vážně. Pokud by tato povinnost nebyla naplněna, bude to také nejsnadnější a nejviditelnější ukazatel pro kontrolní orgány, že pravděpodobně nemáte vše v pořádku.

Nepodceňujte prosím tento bod.

 

2. Souhlas se Zásadami ochrany osobních údajů

nesmí být předem zaškrtnutý, musí být odvolatelný a nesmí podmiňovat využití služby. Musíte tedy přijmout i objednávku bez souhlasu se zpracováním osobních údajů. Lze tedy očekávat, že souhlas  se Zásadami poskytne jen menší část zákazníků.

I proto je zapotřebí oddělit od sebe Obchodní podmínky a Zásady ochrany osobních údajů. Obchodní podmínky jsou závazné, souhlas se Zásadami ochrany osobních údajů musí být naopak nepovinný.

Souhlas musí být také doložitelný. Proto nyní nově v editačním okně Zákazníka uvidíte na záložce „Souhlas se zásadami“ historii udělených a odvolaných souhlasů s časy a IP adresami.

 

Historie souhlasů se zásadami

 

3. Jak budete postupovat u zákazníků, kteří vám souhlas se zpracováním osobních údajů neudělí?

Kontaktní údaje zákazníka potřebujete k vyřízení objednávky, doručení objednávky, evidence účetnictví, reklamační řízení, evidence platebních transakcí platební brány, vše v řádu platnosti mnoha let. To vše tvoří zákonný důvod k uchování osobních údajů zákazníka, přestože eshopu neposkytl souhlas se zásadami zpracování osobních údajů. Kontaktní údaje tedy můžete po dobu trvání zákonných důvodů uložit i bez souhlasu příslušné osoby.


Nemůžete ale v takovém případě údaje použít nad rámec zákonného důvodu. Nesmíte například zákazníka oslovit s žádnou další nabídkou, například ho nesmíte zařadit na seznam adresátů newsletterů eshopu (i když je v každém z newsletterů odkaz pro odhlášení z odběru).

4. Jak správně nastavit odkaz na stránku se souhlasem na zaškrtávací políčko souhlasu v eshopu?

 

eshop admin - Nastavení - záložka "Systémová nastavení eshopu": 

admin-nastaveni-zasady

 

Na webu se při zaškrtávání souhlasů pak zobrazí odkazy na příslušné sekce:

 

souhlas_se_zasadami

Pokud si nevíte rady při propojení odkazů a příslušných sekcí s plným zněním podmínek, kontaktujte nás, zašlete nám adresu, na které máte vloženy podmínky a propojení vám nastavíme.

 

5. Právo zákazníka na opravu osobních údajů

Zákazník může veškeré své kontaktní údaje editovat přímo v eshopu. Pokud se zákazník nezaregistroval, může do formuláře „Zapomněli jste heslo?“ zadat svou emailovou adresu a do emailové schránky mu budou doručeny přihlašovací údaje s nově vygenerovaným heslem. Následně může v rozhraní eshopu provést editaci kontaktních údajů.

 

6. Právo zákazníka na výmaz osobních údajů

Zde je zapotřebí postupovat podle aktuální situace. Pokud se zákazník pouze zaregistroval, žádné zboží si nakonec neobjednal a nyní žádá o výmaz údajů, smažte jednoduše účet zákazníka v administraci eshopu.


Pokud ale jsou u účtu zákazníka vedeny nějaké objednávky, pak musíte uchovat osobní údaje k naplnění vašich dalších zákonných nebo smluvních povinností, které vám nařizují po stanovenou dobu údaje o zákazníkovi evidovat (např. reklamační řízení, účetnictví, smlouva s provozovatelem platební brány o uchování dat platebních transakcí). Vymazat můžete pouze taková osobní data, která k naplnění dalších zákonných povinností nejsou zapotřebí (pokud takové existují).

 

7. Jak to bude se zasíláním newsletterů zákazníkům Vašeho eshopu?

Pokud newslettery nerozesíláte, můžete tento bod přeskočit. Pokud ano, zvyšte nyní pozornost na maximum :) Zde dochází k největším změnám a možná také k největšímu riziku nedodržení nařízení ze strany eshopů, které rozesílají svým zákazníkům newslettery.

 

Samozřejmostí je, aby každý zaslaný newsletter automaticky obsahoval odkaz k vyřazení emailu z databáze adresátů. Pokud využíváte náš modul Newslettery, je zde tato funkce automaticky přítomna již od počátku existence modulu. To už ale nestačí.

 

Pokud rozesíláte nebo v budoucnu plánujete rozesílat newslettery zákazníkům, nezapomeňte tuto skutečnost zdůraznit v Zásadách ochrany osobních údajů. Vzor zásad již obsahuje příslušné informace.


Zákazník se zásadami ale nemusí souhlasit a v praxi také velká část zákazníků se zásadami souhlasit nebude, protože souhlas musí být ze zákona vědomý, nepovinný a odvolatelný. A na email zákazníka, který souhlas neposkytl, nemůžete newsletter dále zasílat, protože k tomu nemáte jeho doložitelný souhlas. Nařízení má zpětnou platnost, není tedy žádným argumentem, že newsletter zákazníkovi zasíláte již 5 let a nikdy se z odběru neodhlásil.


V modulu Newsletter tedy prosím věnujte pozornost adresátům, kteří jsou označeni jako „importováno správcem“ (a u kterých tedy není uložen čas a IP adresa návštěvníka, který se sám k odběru přihlásil). U těchto emailů musíte buď nyní dodatečně získat doložitelný souhlas nebo email odstranit z databáze adresátů před 25.5.2018, kdy nařízení GDPR vstupuje v platnost.

Provozovatelům, kteří rozesílají newslettery, ještě připravíme samostatný článek s návodem k dalšímu postupu.


Poznámka: Tento článek není návodem na kompletní splnění požadavků EU nařízení GDPR.

Pokud jde o další náležitosti GDPR, pak nejsou většinou pro eshop nijak specifické, platí zde stejný postup jako u libovolné jiné firmy poskytující služby na území EU, tedy např.: analýza všech míst, kde se pracuje s osobními údaji (zákazníků, dodavatelů, zaměstnanců, ...), vyhodnocení zákonnosti uložených dat (tzn. zákonný důvod nebo ověřitelný souhlas osoby), výmaz dat, ke kterým není zákonný důvod včetně záloh, analýza bezpečnosti uložení dat, návrh zvýšení zabezpečení dat (elektronických i písemných), zabezpečené předávání osobních dat třetím stranám (např. účetní firma), písemné protokoly o provedených činnostech v souvislosti s GDPR, strategie pro včasné informování osob a úřadů v případě úniku dat a podobně. Tyto povinnosti jsou specifické pro každou firmu a závisí na postupu zpracování osobních dat. Připravili jsme pro Vás orientační článek, který vám v několika krocích nastíní body, kterým byste měli věnovat pozornost.

 


chci vyzkoušet na 30 dnů zdarma
spuštění do 24 hodin
Demo
chci vyzkoušet s ukázkovými daty ihned