Ako fungovať vo svete GDPR?
Komplexný návod pre e-shopy

Späť na BLOG

Už je to vyše mesiac, čo platí aktualizované nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane osobných údajov známe ako GDPR. Rozruch, zdá sa, utíchol. Ale znamená to, že už máte všetko nastavené správne? Pravdepodobne ste už niečo aplikovali vo vašom e-shope. Čo vám ešte chýba? Na čo ste pri implementácii zabudli? Všetky dôležité info nájdete na jednom mieste spolu s podstatnými odkazmi, napr. na spracovateľské zmluvy či vzor spracovateľského denníka.


Lepšie neskoro ako... dostať mastnú pokutu. Ochrana osobných údajov tu bola vždy, ale spomínané sumy za porušenie nariadenia sa zvýšili. Aj keď podľa EÚ nemajú byť likvidačné, prečo zbytočne vyhadzovať peniaze von oknom? Ak ste e-shop, ktorý predáva tovar a posiela ho zákazníkovi, aktívne spracúvate jeho osobné údaje (ako meno, adresu, kontakty a milión ďalších). Pozrime sa na to, čo by ste mali mať zmáknuté.



Vedeli ste, že aj toto sú osobné údaje?

Informácie o ochrane osobných údajov

Je logické, že meno, priezvisko, adresa, e-mail, tel. číslo, číslo bankového účtu a pod. sú osobné údaje. Ale vedeli ste, že aj recenzia, fotografia či video s niekým, koho možno identifikovať, spadá do tejto kategórie? Takýto obsah by ste mali mať ošetrený súhlasom daných osôb so zverejnením. A nezabúdajte, že k osobným údajom patria aj technické údaje, ktoré zbierate vo vašom e-shope, a to napr. cookies, ktoré využívate na cielenú reklamu.


Hoci máte online biznis, tak by sme sa pokojne stavili, že vaše kancelárske šuplíky obsahujú dokumenty s osobnými údajmi. Takéto spisy by ste taktiež mali z pohľadu GDPR vytriediť a zabezpečiť - najlepšie zámkom. :)


A čo B2B biznis? Nuž tam je to jemne diskutabilné. Pokiaľ ide o údaj voľne dostupný na webe alebo napr. v Obchodnom registri SR, tak nepatrí k osobným údajom. Ak spracúvate údaje konkrétneho zástupcu danej firmy, tam to už závisí od prípadu k prípadu. A v tomto si radšej nechajte poradiť od zbehlého právnika.


Ochrana osobných údajov

Hlavným problémom GDPR je, že sa vyskytujú špecifické situácie a otázky, na ktoré nevie odpovedať ani Úrad na ochranu osobných údajov, ani právnik. Nedomyslenou kuriozitou je aj fakt, že podľa GDPR musí mať firma na spracovanie údajov mladistvého do 16 rokov na marketingové účely súhlas jeho zákonného zástupcu. Ale pri vybavovaní objednávky v e-shope sa tento súhlas nevyžaduje. Takže človek do 16 rokov u vás pokojne môže nakúpiť bez súhlasu rodiča. Ale na to, aby ste mu zaslali newsletter potrebujete rodičov súhlas. Premyslené, však? :D


Ešte nám tu ostali supercitlivé údaje o zdravotnom stave, rase, vierovyznaní atď. Väčšinu z nich vy, ako e-shop, nepotrebujete. Ale čo ak predávate výživové doplnky, voľnopredajné lieky, prípadne špeciálnu stravu? Možno práve preto spracúvate aj zdravotné údaje. Ako s nimi pracovať? Opatrne. V tomto prípade smernica hovorí, že údaje o zdraví konkrétnych osôb musíte mať preukázateľne sprístupnené danou osobou. V prípade, že chcete vedieť, ako naložiť s ďalšími osobitými kategóriami citlivých údajov, určite si pozrite smernicu.



Aktualizovali ste VOP a zverejnili Zásady spracovania a ochrany osobných údajov?

Všeobecné obchodné podmienky a zásady spracovania osobných údajov v rámci GDPR

Znova niečo, čo vám už dávno vypracoval, či skontroloval nejaký šikovný právnik. Aspoň dúfame.


Aktualizácia VOP, kam pridáte pár riadkov o osobných údajoch nestačí. Zásady o ochrane osobných údajov by mali byť samostatný dokument s konkrétnymi informáciami. Informujete v ňom o prevádzkovateľovi (teda o vašej spoločnosti), ale aj o tom, čo konkrétne spracúvate, ako a cez koho (tretie strany = sprostredkovatelia), s akým konkrétnym účelom a na akom právnom základe (k tomu sa ešte dostaneme).


Nesmie chýbať časový rámec, dokedy informácie archivujete. Doba spracovania nemôže byť neurčitá. Aká teda? Žiaľ, neexistuje správna odpoveď. Vymyslite si preto rozumnú dobu, ktorú si viete obhájiť pri prípadnej kontrole (napr. 10 rokov). Taktiež by ste ľudí vo vašich databázach mali poučiť o možnostiach zmeniť ich osobné údaje, prípadne zrušiť povolenie tieto údaje spracovávať.



Sprostredkovateľské zmluvy? A to je čo?

Sprostredkovateľské zmluvy v rámci GDPR

Pozrime sa na ďalšie vaše povinnosti. Už by ste mali mať uzavreté zmluvy s vašimi sprostredkovateľmi. Kto sú to? Firmy, ktoré zbierajú údaje z vašej stránky, či služby, ktoré využívate na reklamu (napr. Google a jeho služby - Analytics, Ads atď.). Taktiež tie spoločnosti, ktorých nástroje využívate na zasielanie newsletterov (MailChimp a pod.).


Aká je teda vaša úloha? Vyhľadať sprostredkovateľské zmluvy na ich weboch (návod na Google Analytics, Google Ads/Tag manager alebo spomínaný MailChimp), vytlačiť, podpísať a založiť. Povinnosť splnená. Čo ďalej?


Ak máte viac ako 250 zamestnancov, tak by ste si mali viesť tzv. spracovateľský denník, resp. záznamy o spracovateľských operáciách, a tiež mať určenú zodpovednú osobu, ktorá má ochranu osobných údajov na starosti.



Stále máte neporiadok v databázach?

Poriadok v databázach

Ak ste tento rok vynechali jarné upratovanie, urobte to čo najskôr. Neskladujte, čo nepotrebujete. Kúpené databázy, kam odosielate nevyžiadanú poštu? Do koša s nimi. Zoznam kontaktov, ktorý ste zozbierali kade-tade po internete? Preč s ním. No a údaje, ktoré už desaťročia skladujete o zákazníkoch, ktorí sa už nikdy nevrátili, v nádeji, že raz ich použijete? To je ako s nohavicami, ktoré sa vám už roky nepodarilo obliecť, ale aj tak ich nechávate v skrini. S tým rozdielom, že na ne sa pokuta za porušenie GDPR nevzťahuje. :)


Na druhej strane to nepreháňajte. Sú údaje, ktoré potrebujete do účtovníctva alebo z právnych dôvodov (ak ste účastníkom právnych sporov). Vyseparujte teda dáta, ktoré máte k dispozícii. A využívajte už iba aktualizované databázy.



Právny základ vs. súhlas - kedy ho (ne)potrebujete?

Ako e-shop spracúvate osobné údaje, napr. kvôli vybavovaniu objednávky, fakturácii, starostlivosti o zákazníka, prípadne na marketingové účely. Súhlas so spracovaním teda nepotrebujete, pokiaľ spracúvate osobné údaje na jednom z týchto právnych základov:

  • plnenie zmluvy = kúpa produktov či služieb, patria sem aj logistické e-maily, ktoré zákazníkovi posielate v procese vybavovania objednávky;
  • plnenie zákonných povinností = archivácia údajov kvôli účtovníctvu;
  • oprávnený záujem, napr. zabezpečenie technického fungovania stránky (niektoré cookies); niektorí právnici v tomto bode uvádzajú aj zasielanie marketingových správ súvisiacich s minulým nákupom vášho zákazníka - s týmto by sme však boli opatrní. Zasielanie “podobných” produktov je veľmi relevantné, a tiež sa predsa nechcete obmedzovať. Tým sa dostávame k súhlasu so spracovaním osobných údajov. Kedy je nutný?

Právny základ vs. súhlas so spracovaním osobnývh údajov

Na zasielanie marketingových správ si firmy bežne pýtajú súhlas, aby sa nedostali do konfrontácie s počase otráveným zákazníkom. Aký súhlas potrebujete? Jasný, informovaný a hlavne dokázateľný, a teda napr. písomný - elektronický či papierový (ústny súhlas bez nahrávky nepostačuje). Ak ešte takýto súhlas nemáte, skúste si ho vypýtať cez e-mail, ale pošlite s ním aj pádny dôvod, prečo s vami zostať v kontakte = napr. užitočné info s pridanou hodnotou.


Súhlas potrebujete aj od návštevníkov webu, pokiaľ monitorujete ich pohyb na webe pomocou rôznych nástrojov s rôznymi cieľmi. Mali by ste napríklad informovať, že pomocou Google Analytics zbierate také a také údaje na taký a taký účel. Prípadne, že využívate Facebook pixel na spracovanie konkrétnych údajov na vyhodnocovanie efektivity Facebook kampaní. A ďalšie. Riešením je napr. lišta s odkazom na podrobné informácie (o konkrétnych nástrojoch, údajoch a cieľoch) a možnosťou súhlasiť, resp. odobrať súhlas so zberom týchto osobných informácií.


No a v neposlednom rade, pokiaľ sa človek prvýkrát na vašom webe prihlasuje do newslettera, mal by v rámci toho figurovať aj odkaz na spomínané Zásady o spracovaní a ochrane osobných údajov. Súhlas by nemal byť ničím podmienený, napr. zaslaním e-booku (toto ale neplatí, ak sa daný e-book dá získať aj iným spôsobom, napr. kúpou).



Bude to stačiť?

Poraďte sa ohľadom GDPR s právnikom

Rôzne spoločnosti riešili súhlas so spracovaním osobných údajov s cieľom aj naďalej posielať marketingové správy rôznym spôsobom. Schválne, či sa nájdete v jednej z týchto kategórií:

  • oznámili ste človeku zmenu VOP a aktualizáciu Zásad spracovania a ochrany osobných údajov bez výzvy na čokoľvek,
  • oznámili ste tieto zmeny s možnosťou upraviť si svoj profil, resp. odhlásiť sa z newslettera,
  • znova ste si vypýtali súhlas s odberom newslettera, aby ste mali 100% istotu, že hráte podľa pravidiel.

Nuž, len čas ukáže, či ste urobili dobre. Pri špecifickej situácii naozaj záleží od konkrétneho úradníka a od vašej obhajoby. Tá by mala vychádzať z právneho rámca ochrany osobných údajov, ktorú v SR upravujú zákon č. 351/2011 Z. z. o elektronických komunikáciách a zákon č.18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Pokiaľ by ste si chceli prečítať aj originálne nariadenie a smernicu, smelo do toho. Radíme vám, aby ste sa nespoliehali len na svoj vlastný úsudok, ale konzultovali implementované zmeny aj so skúseným právnikom.



A čo budúcnosť? Pripravte sa na ePrivacy

Ďalšie nariadenie ePrivacy prinesie právnu úpravu v oblasti bezpečnosti elektronickej komunikácie. Podľa pôvodného plánu malo nariadenie ePrivacy vstúpiť do platnosti spolu s GDPR, avšak nestihlo sa - nestalo sa. ePrivacy sa bude týkať najmä služieb, ako sú Skype, Messenger, WhatsApp a pod. Čo bude relevantné pre vás ako e-shop? O tom niekedy nabudúce. :)



percentage

Pri objednávke webu alebo e-shopu

Získavate 50% zľavu na SEO ANALÝZU alebo ANALÝZU POUŽITEĽNOSTI

Kontaktujte nás

CEO CreativeSites
Jana Zajícová, CEO
0915 215 555
Obchodné informácie
a cenové ponuky

Sales manager
Michal Mikula
0948 940 910
Obchodný zástupca
CreativeSites, s.r.o.
Ulica Svornosti 42
82106 Bratislava
Slovenská republika
Fakturačná adresa
CreativeSites, s.r.o.
Heyrovského 8
84103 Bratislava
IČO: 36662674
DIČ: 2022226448
IČ DPH: SK2022226448
Výpis z Obchodného registra
Kontaktné miesto
Ulica Svornosti 42
82106 Bratislava
Zobraziť na mape

Kontaktný formulár

close
S čím vám pomôžeme?
+421 915 215 555
Mám
záujem