GDPR – otázky a odpovědi
O GDPR koluje spousta mýtů a dezinformací. Pokusíme se vám zodpovědět nejčastější otázky, které by vás mohly zajímat.
Proč se GDPR připravilo?
Záměrem zákonodárců bylo dát občanům Evropské unie větší kontrolu nad tím, co se děje s jejich daty. GDPR se tedy týká jak všech firem a institucí, tak i jednotlivců a online služeb, které shromažďují nebo zpracovávají osobní údaje občanů Evropské unie. A to včetně společností a institucí mimo území EU, které působí na území EU. To de facto zahrnuje všechny e-shopy. Oproti současnému stavu jde o detailnější a širší úpravu povinností správců a zpracovatelů osobních dat.
Čeho všeho se může GDPR ve firmě týkat?
Většinou se jedná o ochranu osobních dokladů, dokumentů v písemné a elektronické podobě, zajištění ochrany vstupu do budov a kanceláří. V návaznosti na rozsah a kategorii osobních údajů a typů činností se může týkat těchto oddělení: obchodní, právní, marketingové, IT, personální a mzdová účtárna.
Opravdu hrozí tak vysoké pokuty?
Ano i ne. V médiích jste jistě četli o pokutě 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti. Nemusíte se ale bát, že by vám přišla pokuta z čista jasna, bez jakéhokoliv upozornění nebo ponechání času na nápravu. I ve chvíli, kdy byste ignorovali výzvy k nápravě (což samozřejmě nedoporučujeme), nedostanete pokutu likvidační. Pokud se včas připravíte a při nalezení nedostatků projevíte skutečnou snahu o nápravu, nemáte se čeho bát.
Jak se mám na GDPR konkrétně připravit?
S přípravou potřebných dokladů a podkladů vám pomůže náš GDPR checklist. Ve zkratce byste měli mít na konci procesu připravené následující:
- analýzu osobních údajů, přístupů a marketingových nástrojů,
- analýzu rizik a rozhodnutí o jejich úrovni,
- návrh opatření a rozhodnutí o jejich přijetí,
- samotnou implementaci potřebných opatření,
- zpracovatelské smlouvy od svých zpracovatelů (firem a služeb, které pomáhají zpracovávat = osobní údaje),
- systém uplatňování práv subjektů osobních údajů,
- systém vedení záznamů o činnostech zpracování,
- systém určení a hlášení bezpečnostních incidentů ÚOOÚ.
Jako výstup celého přípravného procesu byste měli mít k dispozici složku dokumentů, které výše zmíněné doloží případné kontrole ze strany ÚOOÚ.
Musím mít ve Zpracovatelské smlouvě konkrétní informace o všech svých obchodních partnerech, kteří zpracovávají osobní údaje?
Ne. Je vaší povinností informovat vaše zákazníky o tom, že se jejich data předávají třetím stranám. V rámci zachování obchodního tajemství ale můžete odmítnout konkretizovat, které to jsou.
Je potřeba double opt-in (dvojí potvrzení) u přihlášení do newsletteru?
Ne. Odesílání newsletterů zákazníkům e-shopu je oprávněným zájmem správce. Tyto zákazníky stačí prokazatelně informovat o účelu, zákonných důvodech zpracování osobních údajů a dalších skutečnostech uvedených v GDPR zaškrtnutím políčka o seznámení se s VOP a s podmínkami ochrany osobních údajů. V každém newsletteru je pak podle zákona o některých službách informační společnosti povinností správce dát zákazníkovi možnost odhlášení. Druhé potvrzení e-mailem zákazníka z právních předpisů nevyplývá.
Bude potřeba pro zasílaní obchodních sdělení stávajícím zákazníkům získat nový souhlas se zpracováváním osobních údajů?
Ne. Jde o oprávněný zájem provozovatele e-shopu. Důležité je pamatovat na to, aby měl adresát obchodního sdělení možnost jednoduše se z obchodních sdělení odhlásit.
Můžu mít univerzální textaci na místech, kde je souhlas se zpracováním osobních dat nutný?
Záleží. Měli byste konkrétně vyjádřit, jakým krokem se souhlas provádí, tzn. např. „Dokončením objednávky souhlasíte s ...“ nebo „Vložením e-mailu souhlasíte s ...“. Vždy byste měli odkazovat na konkrétní články (tzn. VOP a POOÚ), kde jsou tyto souhlasy rozvedené podrobněji.
Má nakupující právo na výmaz všech svých osobních informací?
Pokud chce nakupující smazat údaje zpracované pod jiným právním titulem, než je „souhlas“ (např. doklady nebo objednávky), pak jste oprávněni říct, že to nelze. Můžete využít vašeho právního nároku/povinnosti na ukládání těchto dat po dobu až 15 let, a to z důvodu případných budoucích sporů o náhradu škody způsobené neúmyslně. U zaměstnavatelů je to 30 let. Jste oprávněni říct, že máte vyšší právní titul (tzv. oprávněný nárok), na základě kterého data sbíráte a uchováváte.
Musíme definovat, jaké cookies sbíráme?
Povinnost informovat o cookies se vztahuje k rozsahu a k účelu, ne výslovně ke konkrétním cookies. Rozsahem cookies se myslí druhy ukládaných cookies. Informační povinnost se nevztahuje na technické ukládání, přístup pro účely přenosu na cookies nezbytné pro poskytování služby informační společnosti, která je požadována účastníkem nebo uživatelem. Uživatelem je každý, kdo využívá službu elektronických komunikací. Nemusí se jednat jen o fyzickou osobu – nepodnikatele.
V samotné informační liště byste měli mít aktivní odkaz na článek, kde zákazníka o sběru cookies informujete, tzv. Podmínky ochrany osobních dat. Vzor ke stažení najdete v Shoptet Univerzitě v sekci E-shop a právo (jedná se o ikonku čapky v horní liště vašeho e-shopu).
Jaké cookies sbírá Shoptet ve výchozím režimu?
Vaší povinností je informovat nakupující o tom, že tzv. cookies sbíráte a že slouží k zvyšování kvality služeb, personalizaci nabídky, sběru anonymních dat a pro analytické účely ve vaší prezentaci. Není vaší povinností informovat o tom, jaké konkrétní cookies sbíráte a k jakému přesnému účelu. Pokud byste to chtěli i přesto učinit, tak zde je seznam cookies, které za vás sbíráme na samotném e-shopu (nejsou v tom zohledněné další služby, které si následně aktivujete).
| Cookie | Nastavitelné v administraci | Účel | Pro všechny uživatele | Čas expirace |
|---|---|---|---|---|
| CookiesOK | Ne | Souhlas s použitím cookies – starší typ souhlasu s cookies | Ano | Za 14 dní |
| CookiesConsent | Ne | Souhlas s použitím cookies – nový typ souhlasu s cookies | Ano | Za 6 měsíců |
| externalFontsLoaded | Ne | Pomáhá nám s načítáním fontů | Ano | Za 1 měsíc |
| informationBanner | Ano – nastavení vzhledu | Informační proužek | Ano | Za 24 hodin |
| pcart | Ne | Po přidání do košíku, hash spojující uživatele s jeho aktuálním uloženým košíkem | Ano | Za 1 měsíc |
| NOCACHE | Ne | Vypíná cache adminům | Pouze pro přihlášeného admina | Při ukončení návštěvy |
| PHPSESSID | Ne | Session návštěvníka | Ano | Při ukončení návštěvy |
| affiliateUniqueAccessId | Ano – provizní systém | Po příchodu přes affiliate link | Ne | |
| displayDesktop | Ne | Ve starších šablonách si může uživatel vynutit desktop verzi | Ne | |
| SRV_ID | Ne | Interní informace pro zajištění vysoké dostupnosti | Ano | Při ukončení návštěvy |
Pokud sbírám údaje pro e-shop jen pro účely objednávky, jak dlouho je můžu uchovávat?
Musíte je uchovávat po dobu existence smlouvy a po jejím ukončení to může být až na dobu dalších 15 let, což je doba opřená o zákonnou promlčecí lhůtu pro náhradu škody.
Jak uchovávat tištěné doklady? Stačí skříň, nebo musí být nějaký trezor?
Existují opatření standardní a nadstandardní. Mezi ty standardní patří například zámek, jak na kanceláři, tak na zamykatelné skříňky, kam skutečně doporučujeme listinné věci ukládat. Šanony s odběrateli, dodavateli, smlouvy atd. U těch se očekává, že budou zabezpečeny zámkem. Co se týká nadstandardních opatření, k těm patří věci typu alarm v budově, kódy na vstupních dveřích atp., ale to už se týká větších správců.
Budu muset ukončit spolupráci s Mailchimpem kvůli jejich serverům mimo EU?
To určitě nemusíte. Je ale důležité, abyste v pravidlech ochrany osobních údajů uváděli skutečnost, že posíláte osobní údaje do třetích zemí, tedy mimo EU.
Jak velkou firmu musím mít, abych měl povinnost mít pověřenou osobu?
Tahle povinnost se neodvíjí od velikosti firmy, ale od toho, co firma dělá. Tzv. pověřence musí mít firma, která provádí rozsáhlé systematické zpracování osobních údajů. Dále je to firma, která provádí rozsáhlé zpracování citlivých údajů. A třetím případem je firma, kde je správcem osobních údajů veřejný orgán. Ani do jedné z těchto kategorií běžné malé e-shopy nespadají, takže nemusejí mít pověřence pro ochranu osobních údajů, čímž odpadá velké sousto povinností.
Jak se zachovat k už registrovaným zákazníkům, kteří vyjádřili souhlas se zpracováním osobních údajů a zasíláním obchodních sdělení?
V první řadě je potřeba se podívat na svá stávající pravidla ochrany osobních údajů a zkontrolovat, jestli odpovídají textaci nového GDPR. U souhlasových agend GDPR stanovuje větší nároky na souhlas, který musí být bezpodmínečný a jasně vyjádřený, takže je skutečně potřeba zrevidovat, jestli je to v aktuální podobě splněno. Samozřejmě s tím souvisí i kontrola, jestli jsou v pravidlech uvedena všechna práva, která mají jednotliví koncoví zákazníci.
Bude v rámci GDPR pomáhat smlouva o mlčenlivosti?
Ano, bude pomáhat u zaměstnaneckých vztahů jako tzv. nástavba nad pracovní smlouvu. A bude pomáhat i v rámci dodavatelských vztahů, kde základem je zpracovatelská smlouva mezi e-shopem a Shoptetem. Shoptet také musí smlouvami o mlčenlivosti zavázat své lidi, že nebudou vynášet osobní údaje, které se v rámci plnění své práce dozví.
Co je základem pro zpracování GDPR v nějaké menší firmě? Co všechno je potřeba z pohledu e-shopaře udělat?
Připravili jsme vám přehledný checklist pro malé e-shopy. Je to rozcestník, který vám řekne, co je potřeba udělat a na co musíte dohlédnout. Doporučujeme vám si ho pečlivě projít, může vám výrazně pomoci.
Pokud vás zajímají další otázky, pusťte si speciální díl Shoptet.TV k GDPR. Ve videorozhovoru s Lucií Radkovičovou z Next Legal se dozvíte i to, jak si udělat interní analýzu nebo co upravit v e-shopu.
Kdo mi může s GDPR pomoct?
Podle typu a velikosti organizace, rozsahu a kategorií osobních údajů můžete soulad s GDPR zajišťovat interně, nebo s pomocí externích právních expertů. Můžeme vám doporučit právní kancelář Next Legal.