Logo

Nápověda

Pro obchody od shoptetu

 
 

GDPR - otázky a odpovědi

O GDPR koluje spousta mýtů a dezinformací. Tady se vám pokusíme zodpovědět nejčastější otázky, které k tomuhle tématu máte.

Proč se GDPR připravilo?

Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se děje s jejich daty. GDPR se tedy týká jak všech firem a institucí, tak i jednotlivců a online služeb, které shromažďují nebo zpracovávají osobní údaje Evropanů. A to včetně společností a institucí mimo území EU, které působí na evropském trhu. To de facto zahrnuje všechny e-shopy. Oproti současnému stavu jde o detailnější a širší úpravu povinností správců a zpracovatelů osobních dat.

Čeho všeho se může GDPR ve firmě týkat?

Většinou se jedná o ochranu osobních dokladů, dokumentů v písemné a elektronické podobě, zajištění ochrany vstupu do budov a kanceláří. V návaznosti na rozsah a kategorii osobních údajů a typů činností se může týkat těchto oddělení: obchodní, právní, marketingové, IT, personální a mzdová účtárna.

Opravdu hrozí tak vysoké pokuty?

Ano i ne. V médiích jste jistě četli o pokutě 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti. Nemusíte se ale bát, že by vám přišla pokuta z čista jasna, bez jakéhokoliv upozornění, nebo ponechání času na nápravu. I ve chvíli, kdy byste ignorovali výzvy k nápravě (což samozřejmě nedoporučujeme), nedostanete pokutu likvidační. Pokud se včas připravíte a při nalezení nedostatků projevíte skutečnou snahu o nápravu, nemáte se čeho bát.

Jak se mám na GDPR konkrétně připravit?

S přípravou potřebných dokladů a podkladů vám pomůže náš GDPR checklist. Ve zkratce bystě měli mít na konci procesu připravené následující:

  • Analýzu osobních údajů, přístupů a marketingových nástrojů,
  • analýzu rizik a rozhodnutí o jejich úrovni,
  • návrh opatření a rozhodnutí o jejich přijetí,
  • samotnou implementaci potřebných opatření,
  • zpracovatelské smlouvy od svých zpracovatelů (firem a služeb, které pomáhají zpracovávat vaše osobní údaje),
  • systém uplatňování práv subjektů osobních údajů,
  • systém vedení záznamů o činnostech zpracování,
  • systém určení a hlášení bezpečnostních incidentů ÚOOÚ.

Jako výstup celého přípravného procesu byste měli mít k dispozici složku dokumentů, které výše zmíněné doloží případné kontrole ze strany ÚOOÚ.

Musím mít ve Zpracovatelské smlouvě konkrétní informace o všech svých obchodních parterech, kteří zpracovávají osobní údaje?

Ne. Je vaší povinností informovat vaše zákazníky o tom, že se jejich data předávají třetím stranám. V rámci zachování obchodního tajemství ale můžete odmítnout konkretizovat, které to jsou.

Je potřeba double opt-in (dvojí potvrzení) u přihlášení do newsletteru?

Ne. Odesílání newsletterů zákazníkům e-shopu je oprávněným zájmem správce. Tyto zákazníky stačí prokazatelně informovat o účelu, zákonných důvodech zpracování osobních údajů a dalších skutečnostech uvedených v GDPR zaškrtnutím políčka o seznámení se s VOP a s podmínkami ochrany osobních údajů. V každém newsletteru je pak podle zákona o některých službách informační společnosti povinností správce dát zákazníkovi možnost odhlášení. Druhé potvrzení emailem zákazníka z právních předpisů nevyplývá.

Bude potřeba pro zasílaní obchodních sdělení stávajícím zákazníkům získat nový souhlas se zpracováváním osobních údajů?

Ne. Jde o oprávněný zájem provozovatele e-shopu. Důležité je ale pamatovat na to, aby měl adresát obchodního sdělení možnost jednoduše se ze zásilky odhlásit.

Můžu mít univerzální textaci na místech, kde je souhlas se zpracováním osobních dat nutný?

Můžete. Ale měli byste konkrétně vyjádřit, jakým krokem se souhlas provádí, tzn. např. "Dokončením objednávky souhlasíte s ..." nebo "Vložením emailu souhlasíte s ...". Vždy byste měli odkazovat na konkretní články (tzn. VOP a POOÚ), kde jsou tyto souhlasy rozvedené podrobněji.

Má nakupující právo na výmaz všech svých osobních informací?

Pokud chce nakupující smazat údaje zpracované pod jiným právním titulem než je „souhlas“ (např. doklady nebo objednávky), pak jste oprávněni říct, že to nelze. Můžete využít vašeho právního nároku/povinnosti na ukládání těchto dat po dobu až 15 let, a to z důvodu případných budoucích sporů o náhradu škody způsobené neúmyslně. U zaměstnavatelů je to 30 let. Jste oprávněni říct, že máte vyšší právní titul (tzv. "oprávněný nárok"), na základě kterého data sbíráte a uchováváte.

Musíme definovat, jaké cookies sbíráme?

Povinnost informovat o cookies se vztahuje k rozsahu a k účelu a ne výslovně ke konkrétním cookies. Rozsah cookies se myslí druhy ukládaných cookies. Informační povinnost se nevztahuje na technické ukládání, přístup pro účely přenosu na cookies nezbytné pro poskytování služby informační společnosti, která je požadována účastníkem nebo uživatelem. Uživatelem je každý, kdo využívá službu elektronických komunikací. Nemusí se jednat jen o fyzickou osobu - nepodnikatele.

V samotné informační liště byste měli mít aktivní odkaz na článek, kde zákazníka o sběru cookies informujete, tzv. Podmínky ochrany osobních dat (vzorový formulář ke stažení).

Jaké cookies sbírá Shoptet ve výchozím režimu?

Vaši povinností je informovat nakupující o tom, že tzv. „cookies“ sbíráte a že slouží k zvyšování kvality služeb, personalizace nabídky, sběru anonymních dat a pro analytické účely ve své prezentaci. Není vaší povinností informovat o tom jaké konkrétní cookies sbíráte a k jakému přesnému účelu. Pokud byste to chtěli i přesto učinit, tak zde je seznam cookies, které za vás sbíráme na samotném e-shopu (nejsou v tom zohledněné další služby které si následně zaktivujete).

Cookie Nastavitelné v administraci Účel Pro všechny uživatele
CookiesOK Ne Souhlas s použitím cookies Ano
externalFontsLoaded Ne Pomáhá nám s načítáním fontů Ano
informationBanner Ano - nastavení vzhledu Informační proužek Ano
pcart Ne Po přidání do košíku, hash spojující uživatele s jeho aktuálním uloženým košíkem Ano
NOCACHE Ne Vypíná cache adminům Pouze pro přihlášeného admina
PHPSESSID Ne Session návštěvníka Ano
affiliateUniqueAccessId Ano - provizní systém Po příchodu přes affiliate link Ne
displayDesktop Ne Ve starších šablonách si může uživatel vynutit desktop verzi Ne
SRV_ID Ne Interní informace pro zajištění vysoké dostupnosti Ano


Pokud sbírám údaje pro e-shop jen pro účely objednávky, jak dlouho je můžu uchovávat?

Musíte je uchovávat po dobu existence smlouvy a po jejím ukončení to může být až na dobu dalších 15 let, což je doba opřená o zákonnou promlčecí lhůtu pro náhradu škody.

Jak uchovávat tištěné doklady? Stačí skříň, nebo musí být nějaký trezor?

Máme opatření standardní a nadstandardní. Mezi ty standardní patří například zámek, jak na kanceláři, tak zamykatelné skříňky, kam skutečně doporučuji listinné věci ukládat. Šanony s odběrateli, dodavateli, smlouvy… U těch se očekává, že budou pod zámkem. Co se týká nadstandardních opatření, k těm patří věci typu alarm v budově, kódy na vstupních dveřích a tak dále, ale to už se týká větších správců.

Budu muset ukončit spolupráci s Mailchimpem kvůli jejich serverům mimo EU?

To určitě nemusíte. Co je ale důležité – abyste v pravidlech ochrany osobních údajů uváděli skutečnost, že posíláte osobní údaje do třetích zemí, tedy mimo EU.

Jak velkou firmu musím mít, abych měl povinnost mít pověřenou osobu.

Tahle povinnost se neodvíjí od velikosti firmy, ale od toho, co firma dělá. Tzv. pověřence musí mít firma, která provádí rozsáhlé systematické zpracování osobních údajů. Dále je to firma, která provádí rozsáhlé zpracování citlivých údajů. A třetím případem je firma, kde je správcem osobních údajů veřejný orgán. Ani do jedné z těchto kategorií běžné malé e-shopy nespadají, takže nemusejí mít pověřence pro ochranu osobních údajů, čímž odpadá velké sousto povinností.

Jak se zachovat k už registrovaným zákazníkům, kteří vyjádřili souhlas se zpracováním osobních údajů a zasíláním obchodních sdělení?

V první řadě je potřeba se podívat na svá stávající pravidla ochrany osobních údajů a zkontrolovat, jestli odpovídají textaci nového GDPR. U souhlasových agend GDPR stanovuje větší nároky na souhlas, který musí být bezpodmínečný a jasně vyjádřený, takže je skutečně potřeba zrevidovat, jestli je to v aktuální podobě splněno. Samozřejmě s tím souvisí i kontrola toho, jestli mám v pravidlech uvedena všechna práva, která mají jednotliví koncoví zákazníci.

Bude v rámci GDPR pomáhat smlouva o mlčenlivosti?

Ano, bude pomáhat u zaměstnaneckých vztahů jako tzv. nástavba nad pracovní smlouvu. A bude pomáhat i v rámci dodavatelských vztahů, kde základem je zpracovatelská smlouva mezi e-shopem a Shoptetem. Shoptet taky musí smlouvami o mlčenlivosti zavázat své lidi, že nebudou vynášet osobní údaje, které se v rámci plnění své práce dozví.

Co je základem pro zpracování GDPR v nějaké menší firmě? Co všechno je potřeba z pohledu eshopaře udělat?

Se Shoptetem jsme připravili přehledný checklist pro malé e-shopy. Je to takový rozcestník, který vám  řekne, co je potřeba udělat a na co musíte dohlédnout. Doporučuji každé menší firmě, aby si tento checklist prošla, protože jí to může výrazně pomoct.

Pokud vás zajímají další odpovědi, pusťte si speciální díl Shoptet.TV k GDPR. Ve videorozhovoru s Lucií Radkovičovou z Next Legal se dozvíte i to, jak si udělat interní analýzu nebo co upravit v e-shopu.

Kdo mi může s GDPR pomoct?

Podle typu a velikosti organizace, rozsahu a kategorií osobních údajů můžete soulad s GDPR zajišťovat interně, nebo s pomocí externích právních expertů. Můžeme doporučit právní kancelář Next Legal.

Související příspěvky

Nahlásit neaktuální obsah

Nevyplňujte toto pole:
Nahlásit neaktuální obsah