Úvodní stránka SEO a PPC Tipy a triky GDPR se blíží

GDPR se blíží

Jak asi někteří zaregistrovali, už v minulém roce se stále více řešil pojem GDPR. Zkratka v originále znamená – General Data Protection Regulation a překládá se jako Obecné nařízení o ochraně osobních údajů. Níže se můžete seznámit s podrobnostmi nařízení GDPR včetně konkrétních příkladů, jak budou přímo ovlivněny e-shopy.

Co je to GDPR?

GDPR bylo přijato v dubnu 2016, ale vstoupí v účinnost až od 25. května 2018. Představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Při porušení nových, přísnějších pravidel může být udělena pokuta až ve výši 20 milionů EUR nebo pokud půjde o podnik, až do výše 4 % jeho celosvětového ročního obratu. Dále nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci DPO (Data Protection Officer tj. Pověřenec pro ochranu osobních údajů).

Co je cílem?

Cílem tvůrců zákona bylo zajistit evropským občanům větší kontrolu nad jimi poskytovanými osobními údaji. GDPR se tak dotkne všech firem, institucí, jednotlivců a internetových služeb, které pracují s osobními údaji obyvatel EU. Nové pravidlo postihne i běžící e-shopy, které pracují s novými marketingovými nástroji.

Princip zodpovědnosti

GDPR zavádí tzv. princip zodpovědnosti. Ten ukládá povinnost správcům a zpracovatelům údajů zavést stanovená opatření. Opatření se budou týkat těchto oblastí:

Implementace záměrné a nezbytné ochrany dat.
Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). Jeho úkolem bude zajistit, aby aktivity firem a dalších subjektů, které zpracovávají osobní údaje jako správci, byly v souladu s GDPR. Fakticky by měl představovat odborníka na ochranu osobních údajů, který bude poskytovat odborné poradenství a komunikovat s Úřadem pro ochranu osobních údajů.
Zavedení tzv. pseudonymizace osobních údajů. Jedná se o proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost.
Vedení záznamů o činnostech zpracování. Povinnost vypracovávání těchto záznamů podle GDPR by sama o sobě ani tak problematická nebyla. Nejasná je však výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů. Prakticky to znamená, že se tato povinnost bude týkat naprosté většiny subjektů.
Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

Každý správce a zpracovatel osobních údajů bude mít povinnost spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Všechny záznamy o činnostech musí obsahovat následující informace:

jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
účely zpracování
popis kategorií subjektů údajů a kategorií osobních údajů
kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
informace o mezinárodním předávání osobních údajů
lhůty pro výmaz jednotlivých kategorií údajů
popis technických a organizačních opatření

Práva občana

Jde o práva vašich návštěvníků stránek, e-mailových kontaktů, uživatelů, zaměstnanců a zákazníků.

Práv je celá řada, proto si uvedeme pouze stručný přehled:

Právo na přístup: umožňuje občanům EU ověřit si zákonnost zpracování jejich údajů. Výjimkou z tohoto práva je omezení v případě národního zájmu, veřejné bezpečnosti, obrany a soudních řízení.
Právo na opravu: můžete požádat danou společnost či subjekt o úpravu či doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. Správce má zajistit, aby žádost bylo možné podat online.
Právo na výmaz (pokud tyto údaje nemáte povinnost ze zákona uchovávat – např. účetnictví 10 let) – více informací.
Právo být zapomenut: spočívá v provedení přiměřených kroků (včetně technických opatření) k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie. V tomto bodě však GDPR uvádí řadu výjimek, zvlášť v případech, kdy jsou údaje zpracovávány státními institucemi.
Právo na omezení zpracování: jde o nové právo fyzické osoby, které by mělo omezit zpracování osobních údajů v daném systému včetně přesunu do jiného systému zpracování, který je znepřístupní dalším uživatelům nebo je dočasně odstraní z internetových stránek.
Právo na přenositelnost: je možné uplatnit v případě, že je zpracování založeno na souhlasu majitele a je automatizované. V tomto případě si může osoba vyžádat u správce všechny jím zpracovávané informace, které může následně předat dalšímu správci a získává nad údaji větší kontrolu.
Právo vznést námitku proti zpracování: umožní konkrétní osobě, která nemůže uplatnit právo na výmaz, aby vznesla námitku, která donutí společnost k omezenému zpracování jeho osobních údajů. Na tuto možnost musí být ze strany společnosti fyzická osoba upozorněna. Námitku je možné podat i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Na základě ní již nebude možné tyto údaje dále používat.

Výslovný souhlas v rámci GDPR

GDPR zavádí přísnější požadavky na získání souhlasu se zpracováním osobních údajů. Konkrétně již bude nutné prohlášení týkající se souhlasu uvádět v obchodních podmínkách odlišitelně – tedy na samostatné stránce nebo zcela zvlášť. Poskytnutí služby se nově nesmí podmiňovat souhlasem se zpracováním osobních údajů k jiným, např. k marketingovým účelům.

Prakticky to pak může znamenat další zatrhávací políčko na stránce e-shopu. Zároveň k užívání informačních technologií dětmi zavádí GDPR další povinnost. U nezletilých dětí musí být souhlas se zpracováním údajů poskytnut pouze se souhlasem rodičů.

V praxi se tak dostáváme do zajímavé situace, jak ověřit, že souhlas na internetové stránce provedli opravdu rodiče.

GDPR

Dopad GDPR v oblasti přímého marketingu

Kvůli novým a přísnějším pravidlům o nakládání s osobními údaji fyzických osob je třeba se připravit na některé změny. Níže se podíváme na některé modelové situace:

GDPR a online soutěže, obsahové magnety atd.

Možná používáte pro sbírání nových e-mailových kontaktů či další propagaci e-shopu oblíbené soutěže, bezplatné ebooky nebo registrace na webináře. Aktuálně to pak funguje tak, že na registrované e-maily se po skončení soutěže či jiné akce pošle nějaká nabídka s akčními produkty.

V případě soutěže podle GDPR musíte chtít adresu (pro zaslání případné fyzické výhry), telefon a e-mail. V tomto světle to vypadá dobře. Ovšem co s nasbíranými údaji po skončení soutěže? Jelikož byl účel sběru kontaktů dokončen, musíte celou databázi smazat.

Samozřejmě je možné přidat na stránku soutěže zaškrtávací políčko, u kterého vypíšete, co vše budete zasílat. Účastník pak může dát výslovný souhlas se zasíláním, zda to udělá je otázka.

Pokud máte na stránkách umístěný bezplatný ebook či jiný obsah, který poskytujete za e-mail, je situace podobná. Vzhledem k tomu, že ebook není nutné zasílat e-mailem, pole e-mail na formuláři musí být nepovinné.

Prakticky z toho vyplývá, že zájemce o váš bezplatný obsah přesměrujete přímo na stránku s ebookem i bez zakliknutí souhlasu se zasíláním informací nebo vyplněného e-mailu.

Slevy na nákup

Používáte na e-shopu vyskakovací okna či jiné prvky, kde nabízíte slevu na nákup? V případě jednorázové slevy již nemůžete vyžadovat e-mail návštěvníka. Pokud by šlo o opakované slevy, e-mail požadovat můžete, ovšem posílat můžete pouze přesně to, co návštěvník chtěl. Tedy žádné hromadné zasílání reklamních sdělení apod.

E-mailová databáze

Využíváte v e-shopu databázi e-mailů? Musíte zpětně doložit všechny potřebné věci pro občany EU. Znovu tedy požádáte uživatele, aby se přihlásili k odběru přesně daným typům e-mailů. Může se jednat o:

souhlas s odběrem článků z vašeho blogu
souhlas s odběrem obchodního sdělení
souhlas s odběrem soutěží
souhlas o zařazení do remarketingového publika
souhlas s využitím cookies pro reklamní účely

Pokud máte v e-mailové databázi asijské nebo americké občany, na ty se GDPR nevztahuje. S GDPR není možný obecný/souhrnný souhlas s poskytnutím osobních údajů, jak tomu bylo dříve. Je vyloženě proti tomuto principu, proto to rozdělení.

Shrnutí

Problematika GDPR je poměrně hodně obsáhlá. V současnosti existují rámcová doporučení ze strany EU, která však neřeší zcela do detailu konkrétní požadované změny. Ve výsledku se tak dá očekávat, že interpretaci konkrétních opatření budou řešit především právníci a soukromí poradci.

V rámci služby Zoner inShop intenzivně pracujeme na splnění všech podmínek, které GDPR nařizuje. Naši klienti se mohou spolehnout na připravenost našeho e-shopového řešení k datu platnosti GDPR.

Kompletní nařízení Evropského parlamentu a Rady EU najdete zde.

Zdroje informací:
http://eur-lex.europa.eu/
https://www.gdpr.cz/
https://www.podnikatel.cz/clanky/gdpr-novy-strasak-pro-firmy-narizeni-shrnuje-pravnik/
https://www.danielnytra.cz/gdpr-online-marketing/
https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/
http://www.eugdpr.org/