GDPR pro e-shopy (a nejen pro ně)

ZONER software, a.s. nabízí v portfoliu internetových služeb i dvě řešení pro e-shop: InShop a InPage. Podíváme se, jak nové nařízení Evropské komise na ochranu osobních údajů ovlivňuje naše zákazníky a co pro ně z účinnosti GDPR vyplývá.

Úvod

GDPR není technický problém a váš e-shop za vás provozovatel do souladu neuvede. Aby e-shop fungoval zákonným způsobem a v souladu s nařízením GDPR, bude potřeba dodržování nových povinností ze strany majitele e-shopu, tedy správce osobních dat. Provozovatel vytváří technické prostředky k tomu, abyste mohli jednat v souladu s nařízením.

Jako majitel svého e-shopu musíte stanovit pravidla se zacházením osobních údajů tak, aby byl dodržen zákon a byly naplněny vaše marketingové a obchodní požadavky. Jelikož má každý provozovatel požadavky a strategii jinou, není možné připravit univerzální systém, který by vše ošetřil. Dodržení souladu se zákonem a dodržení práv zákazníků je podle Nařízeni na vás, jelikož jste správcem osobních údajů.

Oblíbené mýty aneb odposlechnuto v hospodě

Pojďme se stručně podívat na nejrozšířenější mýty, které v souvislosti s nařízením GDPR kolují a které lze snadno vyvrátit, případně vhodně osvětlit.

• osobní údaje nemohu zpracovat bez souhlasu (nesmysl, k tomu jsou určeny zákonné důvody a souhlas je krajním řešením)
• s účinností nařízení přijdu o možnost marketingu (pro vaše zákazníky ne, těm můžete mailovat a nabízet produkty či služby dále)
• budu potřebovat “pověřence” a to bude drahé (nebudete, povinnost má pouze několik přesně definovaných typů subjektů, většiny se to netýká)
• budu muset vést podrobné záznamy o zpracování údajů (nebudete)
• mohu dostat likvidační pokutu (teoreticky ano, ale UOOU nebude firmy likvidovat)
• GDPR mi vyřeší ajťáci nebo dodavatel IT (nevyřeší, je to procesní problém správce, tedy vás, vašich povinností se prostě nezřeknete)
• když zákazník odvolá souhlas se zpracováním údajů, musím zrušit služby (nemusíte, plnění smlouvy to není nadřazeno a budete mít zákonný důvod pro zpracování)

Jak vidíte, tak ty největší hrozby a strašáci neplatí. Jedná se typicky o nepochopení, desinformaci nebo o čistou absenci informací.

Základní povinnosti

O nařízení GDPR jste určitě už slyšeli a nemá smysl zde opět zmiňovat staré známé informace, jako maximální výši pokuty za prohřešky. Těch se není třeba bát, protože Nařízení má rozšiřovat současné povinnosti na ochranu osobních údajů, nikoliv likvidovat firmy. Kontrolní orgán působící na území ČR, kterým je UOOU, nemá v úmyslu firmy likvidovat, ale v případě potřeby edukovat a v oblasti ochrany OS pomáhat.

Pro majitele e-shopu je důležité, aby shromažďoval (spravoval) a používal (zpracovával) údaje svých zákazníků,  nikoliv ostatních subjektů, protože k těm by potřeboval souhlas. Rozsah údajů doporučujeme minimalizovat, abyste nesbírali zbytečně mnoho informací, které stejně nevyužijete. Stanovte si relevantní důvody, proč každý jednotlivý údaj potřebujete přijmout.

Zákonnost zpracování

Osobní údaje můžete zpracovávat pouze tedy, máte-li zákonný důvod, nebo souhlas daného subjektu údajů (osoby, protože se bavíme o fyzických osobách). Při každém převzetí osobních údajů byste tedy měli vědět, na základě jakého zákonného důvodu daný údaj vyžadujete. Pokud ho nemáte, tak musíte mít explicitní a zpětně prokazatelný souhlas.

Není tedy pravda, že pokud se subjekt údajů rozhodne požadovat výmaz osobních údajů, musí mu být vyhověno. Kategorie zákonného zpracování myslí i na veřejný zájem, legislativní povinnosti a oprávněný zájem správce údajů. Do těchto kategorií patří sbírání záznamů na vašem e-shopu (logy jsou vyžadovány zákonem), uchování historie objednávek (zákonný důvod kvůli běžící záruce) nebo zachování účetních dokladů (kvůli zákonu u účetnictví).

Majitele e-shopu bude nejvíce zajímat zpracování na základě zákonného důvodu plnění smlouvy. Pokud u vás zákazník něco koupí, uzavírá tím kupní smlouvu a v rámci plnění smlouvy máte důvod údaje zpracovávat. Nepotřebujete k tomu zvláštní souhlas, a proto ho v e-shopu ani nenajdete.

Získávání souhlasu

Právě oblast získávání souhlasů vyvolala největší paniku, protože by to byla pro mnoho IT systémů včetně elektronických obchodů práce navíc. Realita je naštěstí jiná a souhlasy (ve své známé explicitní podobě zaškrtnutí něčeho na webu) jsou až poslední mechanismus pro zpracování osobních údajů. Předtím, než budete získávat souhlas, byste měli vyčerpat všechny možnosti zákonných důvodů včetně široké kategorie oprávněného zájmu.

Pro vyhnutí se povinnosti získávat souhlasy si pamatujte dvě pravidla. První říká, že pokud chcete využít osobní údaje na účel, který nesouvisí s tím, jak jste údaje získali (typicky objednávka na vašem e-shopu), tak potřebujete souhlas. Druhé pravidlo je nesbírat údaje, které nepotřebuji.

Myslete na to, že souhlas je krajní nástroj pro získání důvodu pro zpracování osobních údajů. Použije se až tehdy, když vám dojdou jiné argumenty pro zpracování (zákonné důvody). Jistě cítíte, že souhlas je potřeba pro něco, co nesouvisí s daným produktem, e-shopem a co zákazník neočekává. Nedávejte ho na web zbytečně (je to hrubá chyba a dozorový orgán nadužívání postihuje) a myslete na to, že jeden vše pokrývající souhlas neexistuje.

Transparentnost

Hlavní myšlenkou nařízení je transparentnost zpracování osobních údajů pro zákazníka. Na vašem webu byste měli mít stránku s popisem procesu zpracování osobních údajů, aby zákazník věděl, jak s nimi nakládáte. Tomuto se říká Prohlášení nebo také Zásady o zpracování osobních údajů a znáte je třeba ze služeb Google, kde je potvrzujete (možná bez přečtení). Na tyto Zásady zpracování osobních údajů odkazujte ze smluvních podmínek. Naše modelové smluvní podmínky s tím počítají.

Jak jsem už zmínil v odstavci o souhlasech, tak každý účel zpracování, který bude výjimkou od těchto Zásad (nebo nebude souviset s plněním smlouvy a objednaným zbožím), by měl zákazník znát předtím, než bude uzavírat kupní smlouvu (tedy objednávat). Mělo by zde být uvedeno i to, že osobní údaje předáváte dopravci (viz další text).

Rozhodně se vyvarujte principu “vydírání”, tedy informování o nějaké skutečnosti až na konci objednávky, pro kterou žádáte souhlas, jinak “nebude možné objednávku odeslat”. Zcela zakázaným principem je i získání “generálního” obecného souhlasu pro využití dat. Na to rozhodně nemyslete. Není možné získat souhlas subjektu údajů pro “všechny možné” účely zpracování údajů v e-shopu.

Co je potřeba si aktivně vyřešit

Zpracovatelská smlouva

Tento smluvní vztah upravuje nakládání s osobními údaji a jako správce máte povinnost mít smlouvu se zpracovatelem (poskytovatelem služby) uzavřenou. Naše společnost vám dává k dispozici šablonu smlouvy, kterou budete moci již brzy uzavřít v elektronické podobě v Centru administrace na admin.czechia.com a splnit si tak tuto povinnost.

Své návrhy dělat nemusíte a neposílejte nám je. Uzavíráme pouze náš návrh smlouvy.
Vaši zákazníci zpracovatelskou smlouvu nepotřebují, protože na váš e-shop neukládají osobní údaje jiných subjektů.

Předávání údajů jiným správcům

E-shop nemůže fungovat bez toho, aby byl zakoupený produkt zákazníkovi poslán. Předání údajů dopravci je však předání od současného správce druhému správci. Nařízení konstatuje, že takovému předání má předcházet souhlas subjektu údajů (zákazníka).

Nemusíte mít obavy, pro dopravce nepotřebujete mít explicitní souhlas zákazníka. Předání adresy dopravci je součástí plnění smlouvy a dává oprávněný důvod k tomu, činit tak bez zvláštního souhlasu. Správce předávající údaje dopravci by však měl mít zacházení s nimi smluvně upraveno s tímto zpracovatelem. A zákazník, jehož údaje se předávají, by o tom měl vědět (minimálně ze Zásad zpracování).

Problémem by však bylo, kdybyste předávali osobní údaje mimo EU. V takovém případě je potřeba explicitní souhlas subjektu údajů (přeskočíme-li složité konstrukce Nařízení o posuzování bezpečnosti jiných zemí z pohledu údajů a smlouvy těchto států s Evropskou komisí).

Newslettery

Newsletter je natolik oblíbený marketingový nástroj, že bez něj si nejde e-shop snad ani představit. V případě GDPR zavládla podobná “souhlasová” panika a jistou dobu i názor, že přímý marketing je možný pouze na základě souhlasu. To není pravda.

Majitel e-shopu může svým zákazníkům posílat obchodní sdělení relevantní k jeho činnosti a produktům, stejně jako jiná vlastní sdělení (například návody, provozní zprávy). K tomu má zákonný důvod, který se nazývá oprávněný zájem.
Chce svým zákazníkům něco sdělit, poslat nabídku, poradit; a to je v pořádku.
Nemůže však posílat nic na cizí subjekty údajů, protože nejsou jeho zákazníky. Doba, kdy bylo možné koupit databázi e-mailů a „ospamovat“ tisíce adres je pryč a buďme za to rádi.

Získat souhlasy pro staré zákazníky

V tomto textu byl několikrát zmíněn zákonný důvod zpracování. V předchozím odstavci konstatuji, že zpracování pro marketingové účely (které vás zejména zajímá) se musí na tomto zákonném důvodu zakládat. Ne u všech zákazníků ve vaší databázi ho však máte!

Doporučujeme diverzifikovat vaše zákazníky a vyselektovat neaktivní, kteří nemají zakoupený žádný produkt a nejsou v zákonné lhůtě (záruka). Tyto neaktivní zákazníky oslovte pro získání souhlasu se zpracováním osobních údajů. Pokud nemáte zákonný důvod a nemáte ani jejich aktuální souhlas, tak jste nuceni jejich údaje vymazat.

Vytvořit scénář pro řešení požadavků zákazníků

Měli byste být připraveni na řešení požadavků zákazníků, kteří budou chtít uplatnit svá práva (v jazyce Nařízení práva subjektů údajů). Ty jsou zejména právo na aktualizaci údajů, přenositelnost, právo na informaci o rozsahu zpracovávaných údajů a nakonec nejznámější právo na zapomenutí. Měli byste být jako správce schopni reagovat na tyto případné požadavky.

Extrémním případem uplatnění práv je žádost o zapomenutí osobních údajů. Nejedná se o zrušení souhlasu k určitému zpracování (například odvolání souhlasu ke zpracování osobních údajů pro marketingové účely má zákazník k dispozici v InShopu, nebo to zařídíte manuálně), ale o výmaz údajů zákazníka z vaší databáze e-shopu a případných dalších, kde se může vyskytovat.

V těchto případech je nutné posoudit, zdali je výmaz možný, nebo mu brání jiný zákonný důvod zpracování. Nebudete například mazat osobní údaje na fakturách či faktury, protože jejich archivování vyžaduje zákon, a to je zákonný důvod zpracování. Rovněž nebudete mazat detaily objednávek s neukončenou záruční lhůtou, protože pak byste nemohli dostát jiným zákonným povinnostem.

Žádosti o uplatnění práv subjektů údajů řeší správce a v opodstatněných případech může využít naši asistenci.



Za ZONER Software, a.s.
Ing. Jindřich Zechmeister