Kde začít?
Nejprve si zmapujte místa, kde všude zpracováváte osobní údaje a jaké údaje to jsou.
Typicky půjde o:
- osobní údaje zákazníků: informační systém, nákupní formulář na webu, zápis do newsletteru, uživatelské účty, cookies/IP adresa
- osobní údajů zaměstnanců
- účetnictví
Hotovo? Teď si vyhodnoťte, z jakého důvodu které z těchto osobních údajů zpracováváte. Na první pohled banální věc, ale je to vlastně alfa a omega celého procesu. Tam, kde vám zpracování osobních údajů umožňuje zákon (např. plnění smlouvy nebo váš tzv. „oprávněný zájem“), musíte o tom informovat. Tam, kde vám to zákon neumožňuje si musíte zajistit souhlas.
Souhlas nebo informace?
Nákupní formulář na webu
Tady to, marná sláva, bez osobních údajů nepůjde – abyste mohli zákazníkovi doručit zboží, tak se například bez adresy neobejdete. Chtít po něm e-mail a telefon je taky ve většině případů nezbytné. U nákupních nebo kontaktních formulářů tedy budete zákazníky o zpracování osobních údajů informovat. Stačí někde viditelně v rámci formuláře vložit odkaz na „informace o zpracování osobních údajů“. Ty můžou být i součástí vašich obchodních podmínek.
Uživatel musí mít možnost vznést námitku, která musí být samostatně vydělená a viditelná.
Zápis do newsletteru
K přihlášení do newsletteru potřebujete vždycky souhlas. Jak má ale správně vypadat? Nastavte jej jako double opt-in. U políčka pro zadání e-mailu stačí mít krátkou větu, ideálně s nutností zaškrtnout checkbox. Ta může znít „Souhlasím se zpracováním osobních údajů společností X“, ale samozřejmě si ji můžete také vyšperkovat tak, aby působila trošku víc motivačně, např. „Chci dostávat informace o slevách“. Důležité je, aby zde byl odkaz na plné znění souhlasu se zpracováním osobních údajů. Zápis do newsletteru chtějte ještě jednou odsouhlasit v potvrzovacím e-mailu.
Trošku jiná situace je, pokud chcete posílat newsletter lidem, kteří už u vás nakoupili. Toto spadá pod zmiňovaný oprávněný zájem a stačí tedy zákazníky informovat o tom, že od vás nějaké ty e-maily můžou čekat. To může být např. součástí všeobecných obchodních podmínek, se kterými zákazník souhlasí v průběhu objednávky. Měli byste jim také umožnit takové zasílání odmítnout, ideálně ještě před tím, než jim první e-mail zašlete.
V každém případě nezapomeňte, že musíte odběratelům vašeho newsletteru umožnit se z něj jednoduše odhlásit.
Registrace do uživatelského účtu
Nabízíte svým zákazníkům uživatelský účet? Tady se bez jejich souhlasu ve většině případů neobejdete. Pokud jim chcete pomocí uživatelského účtu usnadnit nákup, aby nemuseli své údaje pokaždé zadávat znovu, nebo aby měli přístup ke svým předchozím objednávkám, musí vám k tomu dát svůj souhlas, ať už v rámci první objednávky, nebo extra při registraci.
Sleva za e-mail
Snažíte se ulovit nové zákazníky na slevu, výměnou za poskytnutí e-mailu? Pokud dodržíte informační povinnost o zpracování osobních údajů a umožníte jim se z newsletteru odhlásit, aniž by o slevu přišli, žádné ustanovení GDPR neporušujete.
Cookies
O tom, jak má správně vypadat cookie lišta, se mezi sebou dohadují právníci, marketéři i úředníci a ještě nějakou dobu asi budou. S kartami totiž ještě zamíchá připravované nařízení ePrivacy, zatím to naštěstí vypadá, že změny budou k lepšímu. Do té doby platí pravidla GDPR, která zrovna tuhle oblast nechávají asi nejvíc na vodě. Zjednodušeně ale pamatujte na toto. Se sběrem cookies, které slouží pro marketingové účely – např. retargeting, z většiny také personalizace obsahu webu apod., musíte mít aktivní souhlas uživatele.
Nezapomeňte podepsat zpracovatelskou smlouvu se všemi dodavateli nebo partnery, kterým z nějakého důvodů předáváte jakékoliv osobní údaje.
Cookies, které vám umožňují samotné fungování webu či základní analytiku, můžete zahrnout pod oprávněný zájem a stačí tedy o jejich zpracování informovat. Ovšem pozor – uživatel musí mít zároveň možnost vznést námitku, která musí být samostatně vydělená a viditelná.
Tolik litera zákona. Český úřad pro ochranu osobních údajů je naštěstí v těchto věcech poměrně benevolentní a v květnu vydal prohlášení o tom, jak se bude ke cookie lištám stavět v praxi. Než se ale cookie lištu rozhodnete bojkotovat, zvažte např. i pravidla Googlu, pokud využíváte Google Ads, nebo přístup zahraničních úřadů, pokud působíte i na jiných trzích.
Zaměstnanci
Sami už na e-shop nestačíte a tak jste si přizvali na pomoc někoho dalšího – zaměstnance? Aby toho nebylo málo, tak kromě spousty jiných povinností, které vám jako zaměstnavateli ukládají různé zákony, musíte splnit i ty, co patří do ochrany osobních údajů. Zaměstnance musíte informovat o sběru těch osobních údajů, které např. potřebujete jakožto zaměstnavatel buďto pro splnění zákonných povinností (třeba z důvodu různých odvodů), pro plnění pracovněprávní smlouvy nebo které sbíráte z důvodu vašeho oprávněného zájmu (např. pro případné budoucí spory).
Proškolte své zaměstnance, jak s osobními údaji bezpečně nakládat a nezapomeňte si zkontrolovat, že v pracovních smlouvách nechybí závazek mlčenlivosti.
Pokud se nevejdete do zákonných hranic, pro zpracování nad rámec už budete potřebovat získat zaměstnancův souhlas – a to třeba pokud byste chtěli jeho fotku umístit na váš facebook. Jak to prakticky provést? Souhlas je vždy nejlepší nechat zaměstnance podepsat, u informace postačí, pokud ji vezme zaměstnanec na vědomí – můžete mu ji poslat do mailu nebo třeba vyvěsit na firemní intranet.
Jelikož vaši zaměstnanci budou pracovat s osobními údaji vašich zákazníků, proškolte je, jak s osobními údaji bezpečně nakládat a nezapomeňte si zkontrolovat, že v pracovních smlouvách nechybí závazek mlčenlivosti.
Co musí text informace nebo souhlasu obsahovat
- které údaje shromažďuji
- kdo jsem a kdo další je zpracovává
- za jakým účelem
- na jakou dobu
- jaká má člověk, jehož osobní údaje zpracovávám, práva
Vzor souhlasu se zpracováním osobních údajů si můžete stáhnout tady. U informace navíc nezapomeňte uvést, že vám zpracování povoluje zákon (např. plnění smlouvy nebo oprávněný zájem).
GDPR a srovnávače zboží
Zasílání žádostí o hodnocení prostřednictvím srovnávačů Heuréka nebo Zboží.cz vyvolalo v souvislosti s GDPR spoustu otazníků. Jako provozovatel e-shopu jim totiž předáváte osobní údaje svých zákazníků a podle striktního výkladu GDPR byste to měli udělat až s jejich souhlasem (opt-in). Heuréka však tuto situaci vyhodnotila jinak a ve svých podmínkách uvádí, že stačí dát zákazníkům možnost zaslání dotazníků odmítnout (opt-out). Úřad pro ochranu osobních údajů Heuréce její výklad posvětil, nezbývá tedy než doufat, že budou podobně benevolentní i soudy.
Zpracovatelské smlouvy
Nezapomeňte podepsat zpracovatelskou smlouvu se všemi dodavateli nebo partnery, kterým z nějakého důvodů předáváte jakékoliv osobní údaje. Typicky půjde o kurýrní služby, provozovatele vašeho webu, externí účetní, marketingovou agenturu nebo freelancery, se kterými spolupracujete. Jasně v ní vyjmenujte, jaké osobní údaje pro vás zpracovávají, za jakým účelem, a vymezte jejich práva a povinnosti. Nezapomeňte ani na závazek mlčenlivosti, vč. zaměstnanců nebo externích spolupracovníků.
Záznamy o činnostech zpracování
GDPR všem ukládá povinnost vést si záznamy o činnostech zpracování. Pod touhle krkolomně nazvanou aktivitou nehledejte žádné složitosti. Jde vlastně o jakýsi „stavební deník“, kde si zapisujete, jaké osobní údaje, v jakém rozsahu, na jak dlouho a za jakým účelem zpracováváte, kdo je jejich správcem a případně zpracovatelem a jak je máte zabezpečené. Případná úřední kontrola bude chtít tuhle evidenci vidět, a je fajn nezklamat jejich očekávání.
Pověřence pro ochranu osobních údajů potřebují všichni podnikatelé, jejichž hlavní činnost spočívá v “rozsáhlém pravidelném a systematickém monitorování občanů”.
Zabezpečení dat
Úroveň zabezpečení přizpůsobte citlivosti dat a míře rizika jejich úniku. Není potřeba jít s kanonem na vrabce, podceňovat zabezpečení dat se ale nevyplatí, nejen kvůli GDPR.
DPO
Pověřence pro ochranu osobních údajů potřebují všichni podnikatelé, jejichž hlavní činnost spočívá v “rozsáhlém pravidelném a systematickém monitorování občanů”, případně ve větší míře zpracovávají “citlivé osobní údaje.” E-shopy sem na první pohled nespadají, pokud ale např. v rámci objednávek zpracováváte zdravotní údaje zákazníků nebo máte rozsáhlejší věrnostní program, povinnost mít DPO už by se vás mohla týkat.
Pokud váháte, nechte si zpracovat odborný posudek. Negativní výsledek vám zaručí klidné spaní a potvrzení pro případnou kontrolu, pozitivní předejde potížím, které by nastaly v případě, že DPO nemáte a potřebujete ho.