30. 11. 2017
Nařízení EU o ochraně osobních údajů se přižene už na jaře 2018. Hrozí pokutami až 20 milionů euro nebo ve výši 4 % celkového ročního obratu. Vstoupí v platnost 25. května 2018 a ano – týká se i vašeho internetového obchodu.
Jak přesně aplikovat GDPR (General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů) na e-shopy zatím nebylo zcela přesně specifikováno. Podobně jako u EET budou nejspíš i zde poměrně zásadní dokumenty k dispozici až na poslední chvíli.
Co se ale rýsuje už dnes – až na výjimky budou o svých osobních údajích od příštího května rozhodovat fyzické osoby. Vaši zákazníci i příjemci newsletterů tedy budou mít právo vědět o účelu zpracovávání jejich dat a kdykoliv se vám s ním budou moct připomenout. Pojďme se tedy podívat na dosud známá fakta a postupy, které se v této chvíli v souvislosti s e-shopy dají očekávat.
Zákon mimo jiné upravuje některé základní pojmy. Za osobní údaje podstatné pro e-shopy dosud bylo považováno hlavně jméno a příjmení zákazníka, jeho adresa nebo telefonní číslo. Nově tak teď budou chápány také informace technického rázu jako e-mail nebo IP adresa. K veškerým datům pak budete muset dokumentovat, že jsou pro účely vašeho e-shopu nezbytně nutné a hlavně, že vám je zákazník poskytl vědomě. A že zároveň souhlasí s tím, jak je plánujete používat.
Základním opatřením pro všechny e-shopy se stane co největší pořádek v osobních údajích zákazníků. Veškerá důležitá data proto co nejdříve soustřeďte na co nejméně míst, díky čemuž je lépe udržíte pod kontrolou. Bude třeba zmapovat a zpřehlednit související procesy jako ukládání nebo zálohování dat.
Modrý duch pomůže nastavit procesy vašeho e-shopu tak, aby vyhověl GDPR. Nebojte se ozvat.
Nařízení slibuje větší důraz na zabezpečení a zálohu před ztrátou nebo únikem veškerých osobních údajů ve vašich databázích – v případě úniku vznikne správcovi povinnost to do 72 hodin ohlásit na dozorový úřad. Pokud vám data uniknou ze stránek bez certifikátu https nebo z nezaheslovaného notebooku, budete mít úřadu co vysvětlovat.
Části nařízení, které budí velké kontroverze, jsou právo na přístup, právo na přenositelnost údajů a právo být zapomenut. Uživatel podle nich smí požádat o zpracování svých údajů do strukturovaného, strojově čitelného formátu k osobnímu nahlédnutí. Zároveň po vás ale může chtít, abyste veškeré jeho osobní údaje smazali nebo předali třetí osobě. Na vás pak bude posoudit oprávněnost jeho požadavků a případně jim vyhovět.
V praxi by takový kolotoč vyvolaný jedním jediným zákazníkem mohl zaměstnat několik lidí na dlouhé hodiny, veškeré související úkony je přitom povinné vykonat bezplatně. Nepředpokládáme, že by s nástupem GDPR měl nastat hromadný výskyt takových případů, je ale dobré o této možnosti alespoň vědět.
Od května 2018 budou pouze sami zákazníci smět zaškrtávat souhlas se zpracováním svých údajů. Nepřípustným se stane „předzaškrtávání“ políček ve webových formulářích samotným e-shopem i jiné podmíněné získané souhlasy. Možné nebude ani uskutečnit nákup bez udělení souhlasu v obchodních podmínkách.
Pravidlo ale platí pro jakoukoliv formu uzavření smlouvy. Souhlas musí být zcela jasný a „svobodný“, vyjádřený na základě srozumitelně podaných podmínek. Double opt-in (dvojité potvrzení, které se skládá ze souhlasu s pravidly a následného zaslání potvrzovacího e-mailu) nové nařízení striktně nevyžaduje
Doporučuje se ale minimálně vzhledem k ověření věku. Zákon EU totiž nově zařazuje do světa online nakupování rodičovský souhlas. V České republice tak vznikne nutnost u každého zákazníka nebo adresáta e-mail marketingu ověřit, zda je starší 13 let. Osobní údaje mladších dětí nebude bez svolení rodičů nebo zákonných zástupců vůbec možné zpracovávat.
Problém může nastat se stávajícími e-mailovými kontakty, které jste získali například přihlášením do vašeho newsletteru ještě před přijetím všech opatření. Na ty se totiž nařízení vztahuje také a měli byste je tak znovu požádat o souhlas, který by nové podmínky splňoval. Jiným případem je situace, kdy jsou příjemci vašimi zákazníky nebo využívají vaše služby. To se dá ze zákona vyložit jako „oprávněné zájmy správce“ a souhlas zde není třeba.
Remarketingovými kampaněmi se ale bude zabývat hlavně ePrivacy – doplněk GDPR, který řeší také soubory cookies. S největší pravděpodobností se však nakonec dotkne spíše cílení pro reklamní účely, než využití internetovými obchody jako takovými.
Konkrétní informace o ePrivacy, stejně jako upřesnění potřebných kroků v souvislosti s GDPR budeme nadále sledovat. Proto stále doporučujeme: vyhněte se unáhleným krokům a raději vyčkejte na oficiální stanoviska. Na našem blogu vás o nich budeme včas informovat.
Praktický
Inspirující
Zábavný
Nic moc
