Na téma GDPR kolují mezi lidmi mnohé mýty a vtipy, ale víte doopravdy, o co se jedná? Existuje řada předpisů, zákonů a nařízení, jimiž se provozovatelé e-shopů musí řídit, pokud se chtějí vyhnout sankcím. Jedním z takových nařízení, které určitě nedoporučujeme zanedbat, je GDPR. Co znamená povinnost dodržovat GDPR pro e-shopy rozebereme v dnešním článku.
Co je GDPR?
GDPR je právní předpis Evropské Unie, který se zabývá ochranou osobních údajů a týká se všech členských zemí EU již od roku 2018. Toto nařízení upravuje způsoby, jakými lze osobní údaje shromažďovat, uchovávat a dále využívat. Netýká se tedy jen e-shopů, ale všech oblastí, ve kterých se pracuje s osobními údaji.
Co jsou osobní údaje z hlediska GDPR?
Dle GDPR se za osobní údaje považují veškerá data, která by mohla sloužit k identifikaci osoby. Například se jedná o:
- jméno a příjmení
- adresa bydliště
- e-mailová adresa obsahující jméno a/nebo příjmení
- číslo občanského průkazu, identifikační číslo podnikatele apod.
- lokalizační údaje (např. informace o poloze mobilního telefonu)
- IP adresa
- data ze souborů netechnických cookies
- fotografie osob
Oproti tomu například e-mailová adresa typu info@firma.com nebo identifikační číslo společnosti za osobní údaje považované nejsou.
Co musí obsahovat e-shop, aby vyhověl požadavkům GDPR?
Z příkladů osobních údajů výše je jasné, že e-shopy při prodeji s osobními údaji zákazníků pracují a tedy musí dodržovat nařízení GDPR. Pro běžný e-shop se GDPR týká následujících bodů.
Cookies
První věcí, na kterou na většině webových stránek narazíte, je dotaz, zda souhlasíte s použitím cookies. Tím důvodem je právě GDPR, neboť kromě technicky nezbytně nutných cookies, všechny ostatní cookies GDPR podléhají.
Pokud chcete používat cookies například pro marketingové, analytické nebo jiné než technické účely, musí návštěvník e-shopu hned na úvod dostat příležitost je schválit či odmítnout.
Toto většina webů řeší informačními lištami či pop-up okny, na které se vztahují pravidla:
- souhlas nebo nesouhlas musí být stejně snadné
- souhlas nesmí být předem potvrzen (např. předem zaškrtnuté políčko nebo přepínač)
- lišta nebo pop-up nesmí bránit v použití webu i bez udělení souhlasu nebo nesouhlasu
- před udělením souhlasu není možné netechnické cookies využívat
- návštěvník musí mít před rozhodnutím k dispozici informace o zpracování osobních údajů
Velká část webů tuto problematiku neřeší správně, když například znepříjemňují odmítnutí cookies nutností další prokliků, více zvýrazňují tlačítko souhlasu, předem potvrzují souhlasy, nebo dokonce používají cookies bez souhlasu. Stejně jako u dalších bodů za takové jednání hrozí vysoké sankce, viz dále.
Zásady zpracování osobních údajů
Zásady zpracování osobních údajů jsou dokumentem, který popisuje, kdo, proč a jak sbírá osobní údaje a jak s nimi dále nakládá. V běžném e-shopu do tohoto dokumentu patří:
- kontaktní údaje provozovatele (= správce osobních údajů)
- konkrétní výpis osobních údajů, které jsou shromažďovány
- účel, za jakým jsou informace využívány
- právní důvody ke zpracování osobních údajů – takovým důvodem může být zákazníkem udělený souhlas, ale i uskutečněný prodej nebo tzv. oprávněný zájem, viz dále
- informace o uchovávání osobních údajů – především doba uchování dat a právo na výmaz nebo změnu údajů zákazníkem a jak je provést
- informace o poskytování osobních údajů třetím stranám (u e-shopů se jedná typicky o dopravce, ale např. i účetní, marketingová agentura apod.), vč. postupování údajů do zemí mimo EU, kde GDPR neplatí
Zásady by měly být samostatným dokumentem odděleným od obchodních podmínek e-shopu a měly by být na webu snadno přístupné.
TIP: Další povinnosti e-shopu, tentokrát z hlediska spotřebitelského zákona, jsme rozebírali v článku Povinnosti e-shopu: Víte, co musíte uvádět u prodávaných produktů?
Jaké jsou další povinnosti e-shopu v souvislosti s GDPR?
Kromě informací pro návštěvníky webu, jsou tu v souvislosti s GDPR e-shopu další povinnosti:
Uchovávání, zabezpečení a dokumentace
Další oblastí, kterou jako e-shop budete muset upravit podle GDPR je uchovávání a zabezpečení svěřených dat.
Doba uchovávání dat by neměla přesáhnout dobu nezbytně nutnou vzhledem k účelu uchování. V praxi to tedy například znamená, že pokud uchováváte data k marketingovým účelům, při skončení e-shopu je nutné je vymazat.
GDPR také ukládá povinnost zabezpečení dat tak, aby nebyla veřejně přístupná, a to jak data v digitální, tak ve fyzické podobě. Pro digitální data jde např. o zabezpečení silným heslem nebo kódování databáze, u fyzických nosičů pak uchovávání pod zámkem.
S GDPR se pojí také nutnost dokumentace. Záznamy o činnostech zpracování osobních údajů jsou povinné vést společnosti s více než 250 zaměstnanci, což se většiny e-shopů v ČR netýká. Stejně tak se běžných e-shopů netýká nutnost jmenování pověřence pro ochranu osobních údajů.
Co se ale i menších e-shopů týká, je Vnitřní předpis o zpracování osobních údajů, který uvádí, kdo má k osobním údajům přístup a jak s nimi nakládá. Tento dokument vychází z údajů uvedených v Zásadách ochrany osobních údajů.
V případě, že dochází k předání dat třetím stranám (dopravci, účetní apod.), čeká vás ještě smluvní ošetření předávání osobních údajů třetím stranám podle GDPR. Nezapomeňte, že musí být také uvedeno v Zásadách zpracování osobních údajů (viz výše).
Ohlašovací povinnost při narušení ochrany osobních údajů
Při porušení zabezpečení shromažďovaných dat, při kterém dojde k úniku, změně nebo ztrátě, musí správce osobních údajů (provozovatel e-shopu) tuto událost ohlásit Úřadu pro ochranu osobních údajů a to nejpozději do 72 hodin od zjištění. Informovat je třeba také osoby, o jejichž data se jedná, pokud existuje vysoké riziko jejich zneužití.
Potřebuje e-shop souhlas se zpracováním osobních údajů?
Možná by se zdálo, že každý e-shop bude potřebovat souhlas ke zpracování osobních údajů, ale není tomu tak. Právní důvody ke zpracování osobních údajů, které je třeba uvést v Zásadách ochrany dat, vám můžou pomoci.
Zpracování pro účely plnění smlouvy: Pro účely e-prodeje a reklamace některé osobní údaje nezbytně potřebujete – typicky se jedná o jméno, příjmení, adresu a další kontaktní údaje sloužící pro zaplacení a doručení zásilky. Pro shromažďování těchto dat při prodeji nepotřebujete dodatečný souhlas – bez nich totiž prodej na e-shopu nelze uskutečnit.
Oprávněný zájem v Zásadách ochrany osobních údajů znamená, že můžete zpracovávat osobní údaje zákazníků bez jejich souhlasu, pokud je to ve vašem zájmu. Týká se to například přímého marketingu v podobě nabídky zboží nebo služeb zákazníkům, kteří u vás již nakoupili. Pokud byste ale chtěli využít personalizovaný marketing nebo oslovovat ty, kteří zatím nenakoupili, souhlas budete potřebovat.
Dalšími výjimkami, u kterých nepotřebujete souhlas, je zpracování dat pro účely plnění zákonné povinnosti e-shopu (např. daňové povinnosti) nebo trestně-právní úkony.
Souhlas se zpracováním osobních údajů budete potřebovat, pokud předáváte informace o osobních údajích třetí straně nebo je jinak využíváte a zároveň se nejedná o oprávněný zájem ani zpracování pro účely plnění smlouvy nebo plnění zákonných povinností e-shopu. Tento souhlas nesmí být nijak podmíněn (např. nemožností nakoupit bez udělení souhlasu), nesmí být předem potvrzen (např. výchozím zaškrtnutím souhlasu) a informace o zpracování osobních údajů musí být snadno dostupné a srozumitelné.
E-shop, GDPR a e-mailing
Pryč jsou doby, kdy jste mohli rozesílat reklamní e-maily hlava nehlava. GDPR upravuje také e-mail marketing, který je pro e-shopy důležitou součástí marketingového mixu. Čemu věnovat pozornost?
TIP: E-mail marketingu pro e-shopy jsme se již dříve věnovali v článku E-mail marketing umí nakopnout prodeje.
Zákaznická výjimka
Při zasílání e-mailů zákazníkům, kteří již u vás nakoupili, můžete využít zákaznickou výjimku. Díky ní můžete stávajícím zákazníkům zasílat nabídky podobného zboží a služeb, které u vás zakoupili.
Nakupující zákazník ale musí mít možnost zasílání e-mailů předem odmítnout. Běžným řešením je checkbox v pokladně, kde zákazník potvrdí, že si nepřeje dostávat reklamní sdělení.
Sběr nových kontaktů
Pokud chcete zasílat e-maily i těm, kdo u vás nenakoupili, budete potřebovat jejich souhlas se Zásadami zpracování osobních údajů, které zájemcům poskytnete k přečtení. Tento souhlas musí být svobodný, aktivní a vědomý, a jste povinni jej evidovat – tedy žádná dopředu zaškrtnutá pole ve formuláři.
Standardem je tzv. double opt-in: Zákazník požádá (většinou prostřednictvím kontaktního formuláře) o zasílání newsletteru, na zadanou e-mailovou adresu mu přijde e-mail, který ho vybízí k potvrzení odběru kliknutím na přiložený odkaz. Po kliknutí dojde k zařazení příjemce do e-mailové databáze. Takto zajistíte z hlediska GDPR takřka neprůstřelný důkaz pro případ kontroly a zároveň odfiltrujete chybné adresy.
TIP: Pro propojení WooCommerce a e-mailingové služby slouží plugin SmartEmailing. Díky pluginu se kontaktní údaje získané ve vašem e-shopu rovnou přenesou do databáze e-mailů ve SmartEmailingu, kde můžete vytvářet své e-mailingové kampaně.
Možnost odhlášení se z odběru e-mailů
V každém e-mailu, který zasíláte svým kontaktům, je nutné připojit odkaz pro odhlášení se z odběru e-mailů. Odvolání souhlasu by mělo být stejně snadné jako souhlas. Složitý proces odhlášení se může být důvodem k sankcím ze strany kontrolního orgánu.
Jaké sankce hrozí e-shopům za porušení GDPR?
O tom, že GDPR je třeba brát vážně, svědčí i velmi vysoké pokuty, které hrozí při porušení tohoto nařízení. Maximální výše sankcí je 20 000 000€ nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností). Kromě uvedené pokuty navíc hrozí žaloby dotčených osob o náhradu škody v případě újmy.
Implementaci opatření pro GDPR tedy není radno zanedbat, ať už vlastníte malý, nebo velký e-shop. Abyste měli jistotu, že daná nařízení plníte správně, doporučujeme se obrátit na odborníky. Pro tuto právní oblast existují specializovaní poradci GDPR, jejichž služeb můžete využít.
Plné znění GDPR naleznete na eur-lex.europa.eu
Pozn.: Článek nenahrazuje odborné právní poradenství.