Užitečné tipy pro majitele malých webů a e-shopů ohledně GDPR
Možná nejfrekventovanější zkratkou posledních měsíců je GDPR, nové obecné nařízení o ochraně osobních údajů, které vejde v účinnost 25. května 2018. Jednou ze skupin, kterých se dotkne, jsou i majitelé a provozovatelé webových stránek, blogů a e-shopů. Ani v těch by však nemělo nové nařízení vyvolávat zbytečné a přehnané obavy. Společnost Webnode, která poskytuje nástroje pro tvorbu a správu internetových stránek, přináší majitelům malých i velkých webů a e-shopů několik základních rad.
Možná jste na základě článků v médiích nabyli dojmu, že GDPR je velký strašák pro každého, zbytečná administrativa, která dopadne i na běžné lidi. Není tomu tak. Tato směrnice v podstatě potvrzuje jen to, co zde už fungovalo mnoho let, některé věci upřesňuje a trochu jich přidává, a to tak, aby platily ve všech státech EU stejně. Vysoké pokuty, o kterých se často mluví, mají donutit firmy, aby začaly brát osobní údaje svých zákazníků jako tajnou a citlivou informaci a nezneužívaly je. Rozhodně nemají strašit svědomité podnikatele.
Není se tedy čeho bát. Pokud používáte zdravý rozum a nepřistupujete lehkovážně k osobním a kontaktním údajům jiných lidí, pak už nyní pravděpodobně děláte všechno pro to, abyste požadavky GDPR plnili na jedničku.
- Týká se mě vlastně GDPR?
Pravidla GDPR bude muset dodržovat každý provozovatel webových stránek, který shromažďuje údaje fyzických osob. Pod těmito údaji si můžeme představit jméno, příjmení, adresu, e-mail nebo třeba telefon. Pokud zasíláte odběratelům svého blogu novinky, zákazníkům newslettery a nabídky, stáváte se automaticky správcem osobních údajů a v určitých situacích (viz níže) musíte mít souhlas k jejich zpracování. Veškeré získané souhlasy byste měli mít možnost v případě potřeby doložit. V případě registračních formulářů postačuje třeba výpis se záznamem data vyplnění.
Polidštěně: Pokud pracuji s osobními nebo kontaktními údaji jiných lidí, pak se mě GDPR týká. Tyto údaje musím získávat a uchovávat se souhlasem dotčených osob, což ovšem není nic nového. Jen si v tom je třeba udělat pořádek.
- Kdy souhlas nepotřebuji?
Pokud máte na vašem webu, blogu či e-shopu kontaktní formulář, který slouží k vyřízení konkrétního požadavku návštěvníka, a nevyžadujete kromě e-mailu žádné další údaje, souhlas není nutný. Stejně tak není potřebný, pokud máte údaje kvůli tomu, abyste mohli plnit smluvní a právní povinnosti. Ve chvíli, kdybyste však chtěli takto získané kontaktní údaje využít k zaslání obchodního sdělení, souhlas již mít musíte. Platí to i pro objednávkové formuláře. Údaje jako adresa, jméno, případně telefon nebo e-mail potřebuje majitel e-shopu k vystavení faktury a dodání zboží, proto je může zpracovávat bez výslovného souhlasu.
Polidštěně: Pokud se na mne někdo sám obrátí, je jasné, že souhlasí s tím, abych mu odpověděl. Pokud se někdo přihlásí k odběru newsletterů, chce dostávat newslettery. Nesmím však jeho kontaktní údaje využít třeba k tomu, abych mu posílal reklamu nebo nabízel jiné služby, pokud mi to dopředu neodsouhlasí.
- Jak by měl souhlas vypadat?
Zásadní informací je to, že souhlas musí být aktivní – třeba v podobě políčka, které musejí vaši návštěvníci a zákazníci vědomě zaškrtnout. V souhlasu musí být obsaženo alespoň následující: totožnost správce údaje, účel každé z operací, pro které je žádáno o souhlas, způsob, jak souhlas odvolat, informování o rizicích v případě, kdy data posíláte do třetí země mimo EU, informace o automatizovaném zpracovávání a také vyjmenování třetích stran, které data obdrží. Souhlas umístěte do samostatného dokumentu nebo na speciální stránku v rámci vašeho webu, ten nesmí být zahrnutý například ve všeobecných obchodních podmínkách, jak tomu u některých webů bylo doposud. Na stránkách zároveň musí být uvedeny všechny prvky dle článku 13 GDPR. Podrobnější informace k podobě souhlasu naleznete třeba zde.
Polidštěně: Nikdo nemá rád „chytáky ve smlouvách“ a poznámky pod čarou. Takže pokud nám má někdo něco odsouhlasit, musíme to s ním probrat úplně narovinu. Pouhé uvedení v obchodních podmínkách, které stejně málokdo čte, nestačí.
- Newsletter není povinnost
Některé e-shopy vyžadují spolu s potvrzením objednávky souhlas se zasíláním dalších obchodních sdělení. Takové jednání není v souladu s platnými právními předpisy ani s GDPR. Zákazník musí mít vždy možnost objednat zboží bez povinné registrace do newsletteru, stejně jako nesmíte od účastníka vašeho školení chtít automatický souhlas se zasíláním dalších nabídek. Samozřejmě můžete svým návštěvníkům tyto možnosti dále nabízet, oni s nimi ale musí dobrovolně a výslovně souhlasit.
Polidštěně: Pokud byl někdo takový filuta, že začal posílat reklamu automaticky po prvním nákupu, nyní toho musí nechat. Taky byste nebyli rádi, kdyby vám začaly chodit letáky hned jak nakoupíte v samoobsluze na rohu.
- Zabezpečení osobních údajů
Jakmile jednou spravuji osobní údaje, zodpovídám i za to, že k nim nebude mít nikdo nepovolaný přístup. To znamená, že heslo do administrace nebude napsané doma či ve firmě na nástěnce, nebudeme si osobní údaje zákazníků posílat v excelovských tabulkách po emailu nebo je skladovat na ploše v počítači, kam má přístup každý.
Většina osobních údajů se na webových stránkách ukládá v cloudu na serverech třetích stran nebo s nimi pracuje třeba externí účetní. Je tedy třeba pro jistotu zkontrolovat, že s touto třetí stranou máte uzavřenou takzvanou zpracovatelskou smlouvu a že tedy má oficiální status zpracovatele osobních údajů.
Polidštěně: Chovejte se k osobním datům s odpovídajícím respektem. Mít soubor se stovkou emailů na ploše počítače, to je jako ho vytisknout a nechat ležet na podlaze. Vy sami byste nebyli rádi, kdyby se vaše jméno, telefon a email dostaly do rukou, do kterých nepatří, chovejte se tedy k údajům od vašich uživatelů stejně. Pokud s nimi pracuje někdo třetí (což je běžné), musíte s ním uzavřít smlouvu.
A pokud vám údaje vaší lajdáckostí někdo ukradne, budete to muset vysvětlit. Ale to je přece normální.
- Obavy nejsou na místě
Základní zásadou GDPR je minimalizace uchovávaných osobních údajů. Zamyslete se nad tím, zda opravdu potřebujete veškeré údaje o vašich návštěvnících nebo zákaznících. Jsou nějaké navíc? Pak je prostě odstraňte ze všech vašich záznamů. Potřebujete je? Pak získejte souhlas s jejich zpracováním.
Jakýkoliv strach z blížícího se začátku platnosti GDPR je zcela zbytečný. Provozovatelé webů a e-shopů, kteří se doteď řídili platnou legislativou, by neměli mít problém prokázat, jak získali jednotlivé osobní údaje zákazníků. Jediné, na co je třeba dát si pozor, jsou skryté souhlasy získané v rámci všeobecných obchodních podmínek. Ty nově nebudou považovány za platné a bude je třeba získat znova.
GDPR je zkrátka vhodnou možností, jak si udělat pořádek ve sbíraných datech a ve výsledků získat kvalitnější základnu návštěvníků a zákazníků.
Polidštěně: Nebojte, stačí používat zdravý rozum. Dobrý web a e-shop vám data bezpečně uchovává v administraci se vším potřebným. Vy si jen dejte pozor a nezapomínejte, že každý osobní údaj s sebou nese obrovskou důvěru vašeho zákazníka nebo návštěvníka. Stačí se chovat tak, abyste ji nezklamali. A pokud jste v minulosti získali souhlasy pouhým zahrnutím ve všeobecných obchodních podmínkách, oslovte tyto uživatele znovu, ať vám nově souhlas „odškrtnou“.
Zdroj a foto: Webnode, FYI Prague
Připraveno ve spolupráci s JUDr. Tomášem Šetinou, advokátem advokátní kanceláře Šetina, Komendová & Partners s.r.o.