GDPR a e-shopy

GDPR - evropské nařízení o ochraně osobních údajů - vyžaduje pečlivé zacházení s daty. E-shopy musí zajistit souhlas zákazníků s využitím jejich osobních údajů, dodržet přesnou informovanost a respektovat jejich práva. Připravte se na nové povinnosti a vyhněte se potenciálním soudním sporům.

Petra Dolejšová
Petra Dolejšová
13.9.2017
Sdílejte
GDPR a e-shopy

O strašáku jménem GDPR jste už nejspíš zaslechli. Nařízení, které se pod touto tajemnou zkratkou skrývá, má v EU celoplošně zabrzdit šílenství a hlad, který je po datech v posledním desetiletí čím dál větší. Sbíráte data? Fajn. Udělejte si ale pořádek v tom, kde je sbíráte, proč, jak s nimi budete nakládat a všechno pěkně sdělte lidem. Jedině tak bude „fair trade“ v oblasti osobních údajů učiněno za dost.

A kde začít u e-shopů?

1. Rozkoukejte se

V první řadě jste to vy, kdo musí být schopen rozlišit, kdy se jedná o sběr osobního údaje a kdy ne. Pokud si nejste jistí, jestli se v tomto orientujete, doporučuji použít nejbezpečnější poznávací pomůcku: „Pokud policii předám sbíraný údaj – dopátrá se s jeho pomocí osoby, která se za ním skrývá?“ Pokud zní odpověď „ano“, zatřiďte údaj do kolonky „osobních údaje spadající pod GDPR“.

2. Zorientujte se

Abyste věděli, co si můžete dál se sbíranými daty počít, musíte vědět, proč jste je vlastně sbírali? Tady je škála nekonečná:

  • Údaje sbíráte, abyste věděli, kam zboží poslat
  • Údaje sbíráte, abyste mohli rozesílat vaše mailové kampaně
  • Údaje sbíráte, abyste si s jejich pomocí vytvářeli publika v rámci marketingových nástrojů
  • Údaje sbíráte, abyste věděli, koho fakturovat nebo soudit…

Aneb důvod se vždycky najde.

Jakmile si tento důvod identifikujete, musíte se rozhodnout, jestli vám samotné nařízení povoluje pro tento účel osobní údaj sbírat. Pokud „své důvody“ v GDPR nenajdete, je potřeba údaje sbírat pouze na základě souhlasu.

3. Není souhlas jako souhlas

Souhlas, který od vašich (potenciálních) klientů potřebujete, musí projít kritérii přísného úředního oka. Vězte, že naformulovat souhlas tak, aby splňoval podmínky GDPR a přitom byl čtivý a jasný (jak samotné GDPR vlastně požaduje) – je úkol téměř nadlidský. Co by tedy v souhlasu určitě nemělo chybět:

  • Vaše identifikace
  • Poučení o tom, co vlastně sbíráte, proč a na jak dlouho
  • Informace o tom, jaká práva má člověk, který vám údaj předává (a že jich není málo)
  • Informace o tom, komu údaje dál zpřístupníte

Souhlas přitom musí být vyčleněný zvlášť, mimo obchodní podmínky, musí být nastaven jako „opt-in“ bez „předzaškrtnutého“ okna a pokud vám ho váš potenciální klient neudělí, nesmíte jej za to bezdůvodně trestat neposkytnutím služby. 

Nezapomeňte, že souhlas musíte nastavit tak, abyste kdykoliv při kontrole byly schopni prokázat, kdy, kým a v jaké podobě byl udělen.

A pozor! Souhlas nesmíte požadovat tam, kde vám zpracování umožňuje samotné GDPR.

4. Informujte

Mimo nastavení souhlasu je potřeba vědět, že veškeré zpracování musí probíhat tak, aby zákazníci přesně věděli, co se s údaji děje. 

Tak například při koupi zboží ve vašem eshopu jistě sbíráte jméno, příjmení a adresu zákazníka. V takovém případě souhlas nepotřebujete – GDPR vám dává možnost si tyto údaje pro účely zaslání zboží sesbírat. Informaci, kterou jsem vám ale nyní podala, musíte stejně tak přetlumočit vašim zákazníkům při vyplňování online objednávkového formuláře. 

Povinností, které se na náš s květnem 2018 řítí, není málo. Nutno ale říct, že byste na ně měli být už dávno přichystáni. Vždyť současná právní úprava se od té nové až tak neliší. Zkuste si tedy udělat pořádek v osobních údajích už teď, abyste od příštího roku nemuseli nezákonně sesbírané údaje vysypávat do koše.

Další články

Chcete mě k vám do firmy? Napište mi.

Dokážu najít cestu i tam, kde to ostatní vzdali. Dejte vědět, s čím potřebujete poradit. Vymyslím, jak na to.

Napište mi