Co je potřeba si aktivně vyřešit pro soulad s GDPR

Obecné nařízení o ochraně osobních údajů, neboli GDPR  vejde v platnost k 25. 5. 2018.

Ne všechny náležitosti GDPR však můžeme zajistit za vás, avšak doporučení toho, co je třeba si zajistit z vaší strany jakožto správce webu/ e-shopu vám popíšeme v tomto článku.

Doporučujeme dále pročíst stručný a pochopitelný úvod do problematiky GDPR, který připravil Úřad na ochranu osobních údajů (ÚOOÚ) .

Zpracovatelská smlouva

Kritériem pro uzavření zpracovatelské smlouvy je zpracování údajů pro jiné, než soukromé účely. Pokud jste fyzická osoba a osobní údaje zpracováváte pro soukromé účely, tak zpracovatelskou smlouvu nepotřebujete. Předpisy upravující ochranu osobních údajů se netýkají situací, kdy fyzická osoba manipuluje s osobními údaji pro osobní či domácí činnosti

Zpracovatelská smlouva mezi správcem a zpracovatelem osobních údajů je předpokladem pro zákonné zpracování osobních údajů, které předáváte ke zpracování jiným správcům. Smlouva musí obsahovat předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce (tedy zákazníka). Povinností správce je zhodnotit její potřebu a případně ji se zpracovatelem uzavřít.

Zpracovatelskou smlouvu se ZONER software, a.s. máte možnost uzavřít v Centru administrace (admin.czechia.com) v elektronické podobě.

Předávání údajů jiným správcům

E-shop nemůže fungovat bez toho, aby byl zakoupený produkt zákazníkovi poslán. Předání údajů dopravci je však předání od současného správce druhému správci. Nařízení konstatuje, že takovému předání má předcházet souhlas subjektu údajů (zákazníka).

Nemusíte mít obavy, pro dopravce nepotřebujete mít explicitní souhlas zákazníka. Předání adresy dopravci je součástí plnění smlouvy a dává oprávněný důvod k tomu, činit tak bez zvláštního souhlasu. Správce předávající údaje dopravci by však měl mít zacházení s nimi smluvně upraveno s tímto zpracovatelem. A zákazník, jehož údaje se předávají, by o tom měl vědět (minimálně ze Zásad zpracování). Zpracovatelské smlouvy na nejběžnější internetové služby naleznete zde.

Problémem by však bylo, kdybyste předávali osobní údaje mimo EU. V takovém případě je potřeba explicitní souhlas subjektu údajů (přeskočíme-li složité konstrukce Nařízení o posuzování bezpečnosti jiných zemí z pohledu údajů a smlouvy těchto států s Evropskou komisí).

Newslettery

Newsletter je natolik oblíbený marketingový nástroj, že bez něj si nejde e-shop snad ani představit. V případě GDPR zavládla podobná “souhlasová” panika a jistou dobu i názor, že přímý marketing je možný pouze na základě souhlasu. To není pravda.

Majitel e-shopu může svým zákazníkům posílat obchodní sdělení relevantní k jeho činnosti a produktům, stejně jako jiná vlastní sdělení (například návody, provozní zprávy). K tomu má zákonný důvod, který se nazývá oprávněný zájem.
Chce svým zákazníkům něco sdělit, poslat nabídku, poradit; a to je v pořádku.
Nemůže však posílat nic na cizí subjekty údajů, protože nejsou jeho zákazníky. Doba, kdy bylo možné koupit databázi e-mailů a „ospamovat“ tisíce adres je pryč a buďme za to rádi.

Získat souhlasy pro staré zákazníky

V tomto textu byl několikrát zmíněn zákonný důvod zpracování. V předchozím odstavci konstatuji, že zpracování pro marketingové účely (které vás zejména zajímá) se musí na tomto zákonném důvodu zakládat. Ne u všech zákazníků ve vaší databázi ho však máte!

Doporučujeme diverzifikovat vaše zákazníky a vyselektovat neaktivní, kteří nemají zakoupený žádný produkt a nejsou v zákonné lhůtě (záruka). Tyto neaktivní zákazníky oslovte pro získání souhlasu se zpracováním osobních údajů. Pokud nemáte zákonný důvod a nemáte ani jejich aktuální souhlas, tak jste nuceni jejich údaje vymazat.

Vytvořit scénář pro řešení požadavků zákazníků

Měli byste být připraveni na řešení požadavků zákazníků, kteří budou chtít uplatnit svá práva (v jazyce Nařízení práva subjektů údajů). Ty jsou zejména právo na aktualizaci údajů, přenositelnost, právo na informaci o rozsahu zpracovávaných údajů a nakonec nejznámější právo na zapomenutí. Měli byste být jako správce schopni reagovat na tyto případné požadavky.

Extrémním případem uplatnění práv je žádost o zapomenutí osobních údajů. Nejedná se o zrušení souhlasu k určitému zpracování, ale o výmaz údajů zákazníka z vaší databáze e-shopu a případných dalších, kde se může vyskytovat.

V těchto případech je nutné posoudit, zdali je výmaz možný, nebo mu brání jiný zákonný důvod zpracování. Nebudete například mazat osobní údaje na fakturách či faktury, protože jejich archivování vyžaduje zákon, a to je zákonný důvod zpracování. Rovněž nebudete mazat detaily objednávek s neukončenou záruční lhůtou, protože pak byste nemohli dostát, jiným zákonným povinnostem.

Žádosti o uplatnění práv subjektů údajů řeší správce a v opodstatněných případech může využít naši asistenci.

Další články týkající se GDPR

• Co byste měli vědět o GDPR
• GDPR - Novinky v administraci inPage
• GDPR - Zpracovatelské smlouvy