Do nabytí účinnosti nařízení GDPR však zbývá už pouze měsíc. Pokud si nejste jisti, jak přesně se GDPR dotkne vašeho podnikání, může vám být útěchou, že v tom rozhodně nejste sami. Společnost Webnode naštěstí sestavila několik základních tipů pro provozovatele e-shopů.
„Pokud používáte zdravý rozum a nepřistupujete lehkovážně k osobním a kontaktním údajům jiných lidí, pak už nyní pravděpodobně děláte všechno pro to, abyste požadavky GDPR plnili na jedničku,“ uvádí Webnode v úvodu svých rad a nabádá majitele e-shopů, aby zachovali klid.
1) Týká se vás GDPR?
Pravidla GDPR bude muset dodržovat každý provozovatel webových stránek, který shromažďuje údaje fyzických osob. Pod těmito údaji si můžeme představit jméno, příjmení, adresu, e-mail nebo třeba telefon.
Pokud zasíláte odběratelům svého blogu novinky, zákazníkům newslettery a nabídky, stáváte se automaticky správcem osobních údajů a v určitých situacích musíte mít souhlas k jejich zpracování.
Veškeré získané souhlasy byste měli mít možnost v případě potřeby doložit. V případě registračních formulářů postačuje třeba výpis se záznamem data vyplnění.
Jiný slovy: Pokud pracujete s osobními nebo kontaktními údaji jiných lidí, pak se vás GDPR týká. Tyto údaje musíte získávat a uchovávat se souhlasem dotčených osob, což ovšem není nic nového. Jen si v tom je třeba udělat pořádek.
2) Kdy není souhlas potřeba?
Pokud máte na vašem webu, blogu či e-shopu kontaktní formulář, který slouží k vyřízení konkrétního požadavku návštěvníka a nevyžadujete kromě e-mailu žádné další údaje, není nutné získat výslovný souhlas.
Totéž platí pro osobní údaje nezbytné ke splnění smluvní povinnosti – například musíte znát jméno a adresu pro odeslání zakoupeného zboží. Ovšem ve chvíli, kdybyste chtěli takto získané kontaktní údaje využít k zaslání obchodního sdělení, již souhlas mít musíte.
Jinými slovy: Pokud vám někdo napíše e-mail, je jasné, že chce, abyste mu odpověděli. Kontaktní údaje dotyčné osoby však bez jejího výslovného souhlasu nesmíte následně použít k zasílání reklam nebo nabídky jiných služeb.
3) Jak má souhlas vypadat?
Zásadní informací je to, že souhlas musí být aktivní – třeba v podobě políčka, které musejí vaši návštěvníci a zákazníci vědomě zaškrtnout. Uživatelův souhlas musí být explicitní, nikoliv implicitní.
V souhlasu musí být obsažena totožnost správce údaje, účely, pro které je žádáno o souhlas, způsob, jak souhlas odvolat, informování o rizicích v případě zasílání dat do země mimo EU, informace o automatizovaném zpracovávání a vyjmenování třetích stran, které data obdrží.
Souhlas je třeba umístit do samostatného dokumentu nebo na speciální stránku v rámci webu. Nesmí být zahrnutý ve všeobecných obchodních podmínkách, jak tomu u některých webů bylo doposud. Web musí zároveň uvádět všechny prvky podle článku 13 GDPR.
Jinými slovy: Nikdo nemá rád chytáky ve smlouvách a poznámky pod čarou. Pokud vám má někdo něco odsouhlasit, musíte to s ním probrat úplně na rovinu. Pouhé uvedení v obchodních podmínkách již nestačí.
4) Newsletter nesmí být povinnost
Některé e-shopy vyžadují spolu s potvrzením objednávky souhlas se zasíláním dalších obchodních sdělení. Takové jednání není v souladu s platnými právními předpisy ani s GDPR. Zákazník musí mít vždy možnost objednat zboží bez povinné registrace do newsletteru.
Úplně stejně nesmíte například od účastníka vašeho školení požadovat automatický souhlas se zasíláním dalších nabídek. Samozřejmě můžete svým návštěvníkům tyto možnosti nabídnout, oni s nimi však musí dobrovolně a výslovně souhlasit.
Jinými slovy: Pokud svým zákazníkům automaticky zasíláte reklamu hned po prvním nákupu, aniž by si o ni řekli, je nejvyšší čas toho nechat.
5) Zabezpečení osobních údajů
Jako správce osobních údajů zodpovídáte i za to, že k nim nebude mít nikdo nepovolaný přístup. To znamená, že heslo do administrace nebude napsané na nástěnce, osobní údaje nebudou posílány v excelovských tabulkách po emailu nebo uloženy na volně přístupném PC.
Většina osobních údajů se na webových stránkách ukládá v cloudu na serverech třetích stran nebo s nimi pracuje například externí účetní. Je tedy třeba pro jistotu zkontrolovat, že s touto třetí stranou máte uzavřenou zpracovatelskou smlouvu.
Jinými slovy: Ochraně osobních údajů zákazníků věnujte stejnou péči jako ochraně svých vlastních. Pokud s těmito údaji pracuje třetí strana, musíte s ní uzavřít smlouvu. A pokud tyto údaje vinou vaší laxnosti někdo ukradne, ponesete zodpovědnost.
6) Obavy nejsou na místě
Základní zásadou GDPR je minimalizace uchovávaných osobních údajů. Zamyslete se nad tím, zda opravdu potřebujete schraňovat veškerá data o svých zákaznících. Nepotřebujete? Smažte je. Potřebujete? Požádejte o souhlas.
Jakýkoliv strach z blížícího se začátku platnosti GDPR je zcela zbytečný. Provozovatelé e-shopů, kteří se doteď řídili platnou legislativou, by neměli mít problém prokázat, jak získali jednotlivé osobní údaje zákazníků.
Jediné, na co je třeba dát si pozor, jsou skryté souhlasy získané v rámci všeobecných obchodních podmínek. Ty nově nebudou považovány za platné a bude je třeba získat znova.
GDPR je zkrátka vhodnou možností, jak si udělat pořádek a získat kvalitnější databázi.
Jinými slovy: Stačí používat zdravý rozum. Dobrý e-shop vám data bezpečně uchovává v administraci se vším potřebným. Vy si jen dejte pozor a nezapomínejte, že každý osobní údaj s sebou nese důvěru vašeho zákazníka nebo návštěvníka.
Stačí se chovat tak, abyste tuto důvěru nezklamali. A pokud jste v minulosti získali souhlasy pouhým zahrnutím ve všeobecných obchodních podmínkách, oslovte tyto uživatele znovu, ať vám nově souhlas „odškrtnou“.
Zdroj: Webnode
