Pokud jste o tom ještě neslyšeli, od 25. května 2018 má začít platit nařízení Evropské unie o ochraně osobních údajů, které je všeobecně známé pod zkratkou GDPR („General Data Protection Regulation“ = „Nařízení o ochraně osobních údajů“). Toto nařízení zpřísňuje podmínky používání osobních údajů zákazníků a tím je velmi úzce propojené i s oblastí, ve které se pohybujete – v oblasti elektronického obchodu a marketingu.
 

Tak ještě jednou: co je to vlastně GDPR? A pro koho platí?

Toto nařízení je nejkomplexnější úpravou a regulací jakéhokoliv zpracování osobních údajů. To znamená, že se týká prakticky všech subjektů, které jakkoli nakládají s informacemi vztahujícími se k identifikovatelné a identifikované osobě. Platí pro zaměstnavatele, pro obchodníky v kamenných prodejnách, i pro e-shopy. Prakticky tedy pro všechny, kteří pracují s osobními údaji občanů Evropské unie. Zavádí množství nových pojmů, práv pro občany a povinností pro subjekty těmto právům vyhovět.

Pokud provozujete e-shop, ale i pokud máte CMS stránku s kontaktním formulářem, do kterého je nutné zadávat citlivé údaje, měli byste zpozornět.

Zároveň však navzdory chystaným novinkám není nutné panikařit, protože množství opatření na ochranu osobních údajů zákazníků již je v platnosti dlouho a nové nařízení ho jen doplňuje. V principu by Vás změny měly zajímat zejména tehdy, pokud jste doposud osobní údaje svých zákazníků využívali nejen pro účely objednávek, ale i nad jejich rámec (marketingové účely, zasílání novinek, reklam, atd.), nebo pokud jste se doposud nikdy nezamýšleli nad tím, kde všude osobní údaje zákazníků uchováváte.
 

Jaké pojmy a práva zavádí GDPR pro mého zákazníka?

Z hlediska internetových obchodů jsou důležité zejména tyto nově zavedené pojmy:

1. Právo na přístup k údajům – více zde https://www.gdpr.cz/gdpr/heslo/pravo-na-pristup/

2. Právo na opravu údajů – více zde https://www.gdpr.cz/gdpr/heslo/pravo-na-opravu/

3. Právo na vymazání – s výjimkou údajů, které ze zákona musíte ukládat v účetnictví po určité období (závisí na zemi a konkrétním zákoně) https://www.gdpr.cz/gdpr/heslo/pravo-na-vymaz/

4. Právo být zapomenut – https://www.gdpr.cz/gdpr/heslo/pravo-byt-zapomenut/

5. Právo na omezení zpracování – https://www.gdpr.cz/gdpr/heslo/pravo-na-omezeni-zpracovani/

6. Právo na přenositelnost – https://www.gdpr.cz/gdpr/heslo/pravo-na-prenositelnost/

7. Právo vznést námitku proti zpracování – https://www.gdpr.cz/gdpr/heslo/pravo-vznest-namitku-proti-zpracovani/

Jestli si cokoliv z výše uvedeného vyžádá Váš zákazník, musíte mu vyhovět, jinak se vystavujete nebezpečí pokuty.

Tolik k oficiální části. Pojďme se podívat na to, jak by to mohlo fungovat v praxi.
 

Co tedy musím udělat?

Záleží na tom, jakým způsobem jste zvyklí zacházet s osobními údaji zákazníků. Důležité je zaměřit se na jednotlivé postupy a jejich kontrolu, abyste se nevystavili riziku pokut. Přestože na ochranu osobních údajů se dbalo i doposud, z jednotlivých bodů nového nařízení mohou vyplynout povinnosti, které jste doposud neměli ošetřeny. Ve zkratce jde o to, že pokud váš zákazník bude chtít od vás výpis svých osobních údajů nebo jejich vymazání, budete mu muset vyhovět.

Z dostupných informací, které jsme analyzovali, doporučujeme jednoduše řečeno následující: Učiňte všechna opatření pro to, aby Váš zákazník nemohl poukazovat na porušení pravidel o ochraně jeho osobních údajů.

Zároveň buďte připraveni na to, že zákazník může kdykoli požádat o naplnění svých práv.

Co konkrétně doporučujeme?
 

1. Pověřte ve své firmě osobu odpovědnou za správu citlivých údajů. Tento zaměstnanec by se měl zaměřit na souhrn toho, jak zacházíte s osobními údaji. Právě pro to, že každá firma má jiné postupy, jen vy sami si ve vaši společnosti dokážete udělat adekvátní představu o tom, na co si dát pozor. Ujasněte si, na co osobní údaje zákazníků využíváte. Je to jen samotné nejnutnější vyřízení objednávky, nebo jim posíláte obchodní e-maily s nabídkami? Jaké informace od zákazníka vlastně vyžadujete a za jakým účelem? Je to číslo, e-mail, nebo zaznamenáváte i technické údaje, jako je IP adresa? V tomto všem je třeba mít jasno.
    
2. Veškeré osobní údaje klientů, se kterými zacházíte, byste měli mít přehledně uloženy v dokumentech, abyste k nim mohli jednoduše přistupovat.
    
3. Dále doporučujeme projít si prohlášení o ochraně osobních údajů na vašich stránkách, v případě, že je tam nemáte vůbec, rozhodně tuto sekci doporučujeme doplnit. Pokud máte pouze stručné informace, doporučujeme text upravit do konkrétnější podoby. Co by měl takovýto text obsahovat?
   • Na jaké účely používáte osobní údaje zákazníka
   • Kde všude je máte uložené
   • Jak dlouho je uchováváte
   • Jaké používáte externí nástroje, které nakládají s osobními daty zákazníků – ať už se jedná o sociální sítě, nebo mailové nástroje na rozesílání newsletterů
4. Každé využití informací o zákazníkovi, nad rámec toho, na co je nutně potřebujete, by od 25.5.2018 mělo být vysloveně odsouhlaseno zákazníkem. Pokud jste dosud při dokončení objednávky, vyplnění kontaktního formuláře nebo registraci zákazníka neměli pole „Souhlas se zpracováním osobních údajů pro marketingové účely“, a přesto zákazníkům posílali obchodní nabídky a hromadné maily, pozor na to. Doporučujeme zavést takové pole, přičemž dokončení objednávky nesmí být podmíněno souhlasem se zasíláním obchodních nabídek. Jednoduše řečeno, zákazník musí použití svého mailu, telefonního čísla nebo jakéhokoli jiného osobního údaje vysloveně odsouhlasit. A vy zase budete mít garanci, že v případě stížnosti budete moci prokázat, že dal ke zpracování svých dat souhlas.
    
5. Pokračováním předešlého bodu je fakt, že tento výslovný souhlas se zpracováním údajů pro jiné účely, než jsou nezbytné kroky k dokončení objednávky, nemůže být součástí Všeobecných obchodních podmínek. Takže ne, odesláním objednávky s odkazem na VOP jste nezískali od zákazníků souhlas na další nakládání s jejich osobními daty. Musí to potvrdit vysloveně zaškrtnutím odděleného pole.
    
6. Pokud jste zaznamenali porušení ochrany osobních údajů, neprodleně a nejpozději do 72 hodin to musíte oznámit na kontrolním orgánu, kterým je Úřad pro ochranu osobních údajů.
    
7. A na závěr. Tyto body jsou všeobecným shrnutím GDPR tak, jak ho chápeme my. Měly by sloužit jako odrazový můstek pro pochopení toho, co od vás tato regulace očekává. Není však možné pokrýt všechna specifika všech webových aplikací, proto pro konkrétní případy doporučujeme konzultaci s právníkem.