Jaké osobní údaje se GDPR týkají?
Informujte se, co vše patří mezi osobní údaje, které je potřeba patřičně chránit pro zneužití.
Poradna
Informační povinnost a GDPR
Informační povinnost je určité minimum, které byste měli udělat vždy, pokud začínáte sbírat osobní údaje vašeho návštěvníka nebo zákazníka, ať už v rámci webových stránek nebo e-shopu, ale také pomocí třetí strany a jejich nástrojů. Jako může být Google Analytics, Facebook Pixel, remarketingové služby apod.
Co musí obsahovat každá informační zpráva?
- Kdo jsem
- Jaké údaje budu zpracovávat
- Za jakým účelem údaje potřebuji
- Kdo jsou další zpracovatelé
- Jak dlouho je budu zpracovávat
- Jaké máte jako subjekt údajů (SÚ) práva
Subjekt "X" musí za účelem "Y" zpracovávat osobní údaje "Z", ke kterým se dostanou další zpracovatelé "Q" a tyto údaje budeme zpracovávat do doby "T". Jako zákazník máte práva "P".
Tato informace musí být na každém e-shopu a webu, který zpracovává osobní údaje zákazníka za účelem viz. výše. Umístění se doporučuje vložit na samostatnou stránku "Zpracování osobních údajů", na který bude vést odkaz z místa, kde ke sběru těchto údajů dochází (většinou místo s formulářem nebo košík/pokladna). Informace o zpracování osobních údajů, může být také součástí obchodník podmínek.
Informační povinnost může být odlišná podle účelu zpracování. Rozdíl je tak například, pokud údaje budeme chtít zpracovávat na základě smlouvy nebo souhlasu.
Pokud však nemám žádný právní důvod nebo oprávněný zájem, je nutné přístoupit k druhému řešení, které spočívá v žádosti o souhlas se zpracováním osobních údajů.
Nenašli jste, co jste hledali?
Vše o GDPR pro online
Kdo je to správce a zpracovatel?
Správce a zpracovatel jsou dvě klíčové role, se kterými se v rámci GDPR často setkáte.
Jak na zpracovatelské smlouvy?
Nechte si připravit zpracovatelskou smlouvu s naší agenturou a získejte přehled o dalších zpracovatelích.
Co je informační povinnost a kdy je potřeba?
Základem je návštěvníka vždy patřičně informovat, jak s jeho údaji budete nakládat.
Kdy potřebuji souhlas se zpracováním osobních údajů?
Přečte si, za jakých okolností je potřeba správně požádat o souhlas se zpracováním a jak.
Jaká nová práva získává sdělovatel osobních údajů?
Nařízení pro ochranu osobních údajů přináší také tři nová klíčová práva pro uživatele.
Jaké změny musím provést na webových stránkách?
Projděte si nejdůležitější body, které je potřeba upravit na vašich webových stránkách.
Jak připravit svůj e-shop na příchod GDPR?
Pomůžeme vám s úpravou a optimalizací e-shopu s ohledem na nařízení GDPR.
Co za změny čeká internetový marketing s příchodem GDPR?
Získejte informace a novinky o změnách, které přináší GDPR v oblasti online marketingu.
Informační povinnost
Subjekt "X" musí za účelem "Y" zpracovávat osobní údaje "Z", ke kterým se dostanou další zpracovatelé "Q" a tyto údaje budeme zpracovávat do doby "T". Jako zákazník máte práva "P".
Tato informace musí být na každém e-shopu a webu, který zpracovává osobní údaje zákazníka za účelem viz. výše. Umístění se doporučuje vložit na samostatnou stránku "Zpracování osobních údajů", na kterou bude vést odkaz z místa, kde ke sběru těchto údajů dochází (většinou místo s formulářem nebo košík/pokladna). Informace o zpracování osobních údajů, může být také součástí obchodník podmínek.
Informační povinnost může být odlišná podle účelu zpracování. Rozdíl je tak například, pokud údaje budeme chtít zpracovávat na základě smlouvy nebo souhlasu.
Druhý případ je daný ze strany zákazníka, které je potřeba tam, kde jej nevymezuje zákon. V takovém případě je potřeba požádat zákazníka o povolení zpracovávat jeho údaje, jak si ukážeme níže.
Souhlas se zpracováním osobních údajů
Tento souhlas je vyžadován ve chvíli, kdy údaje, které budeme chtít shromažďovat, nevymezuje nijak zákon. Jedná se především o on-line marketing. A jak takový souhlas musí vypadat?
• Souhlas musí obsahovat informace vycházející z informační povinnosti a navíc také musí být viditelný a zřetelný (mimo obchodní podmínky).
• Souhlas musí být vyjádřený provedením určité interakce ze strany zákazníka. Například zaškrtnutím, napsáním, potvrzením daného souhlasu. Nemůže být součástí tlačítka nakoupit, objednat nebo předem zaškrtnutý. Doporučuje se forma opt-in.
• Souhlas musí být evidovaný a doložitelný. To znamená, že v případě kontroly jsme schopni doložit, že osoba "X" nám udělila tento konkrétní souhlas "Y" v dobu "T". Tento souhlas musí mít opět definovanou dobu zpracování (v případě on-line marketingu se doporučuje 2-3 roky),
• Údaje, které budeme získávat, musí být zároveň přiměřené účelům, za kterým je shromažďujeme. Například pro zasílání newsletterů, nepotřebujeme znát zákazníkovo rodné číslo nebo telefonní číslo.
• Souhlas musí být dobrovolný. To znamená, že zadávané údaje musí být jen takové, které jsou nutné k tomu provést službu "X", za kterou dané údaje vyplňujeme. V praxi to tak znamená, že pokud budeme chtít po zákazníkovi zcela zřetelně údaje, které nejsou vůbec nutné pro provedení služby "X", bude se jedná o tzv. nedobrovolný souhlas. Definice dobrovolného souhlasu není tak zcela jednoduchá, lze jí však interpretovat tak, že zákazník by vám měl dávat své údaje nenuceně.
Například souhlas je potřeba v případě, že návštěvník webových stránek nebo e-shopu ještě na mém e-shopu nic nenakoupil, ale přesto budeme chtít, aby nám svěřil některé své údaje (často e-mailová adresa), abychom mu mohli zasílat obchodní sdělení (newslettery). V takovém případě se nejedná o oprávněný zájem. Lépe pochopit danou problematiku lze také na infografice pro sběr e-mailu od e-legal.cz. Souhlas také potřebujete v případě registrace zákazníka.
Třívrstvé informování
Třívrstvé informování má za cíl poměrně stručným a srozumitelným způsobem informovat zákazníka o způsobu se zpracováním jeho osobních údajů od nejstručnější verze po nejvíce podrobnou.
1. Vrstva je stručná věta u potvrzovacího pole pro souhlas, která musí mít jasné znění. Například "Souhlasím se zpracováním osobních údajů"
2. Odstavec popisujícího textu o způsobu nakládání se získanými osobními údaji, například formou tzv. tooltip boxu, který se zobrazí při najetí na odkaz nebo otazník.
3. Jedná se o celé znění informace o zpracování osobních údajů, nejčastěji na samotné stránce k tomu určené, nebo modálním okně.
GDPR pro internetové podnikání a e-commerce
Pro marketing nástup GDPR přináší řadu výhody i nevýhod v oblasti ochrany osobních údajů. Mezi výhody lze zařadit možnost pro nastavení interních procesů marketingových strategií, jak s údaji klientů efektivně začít pracovat a využívat pouze ten typ dat, který je pro marketingové specialisty nezbytně nutný. Pro zákazníky, tedy uživatele to také znamená větší ochranu jejích údajů proti zasílání nežádoucích nabídek či sledování na webu či e-shopu. To přináší také určité nevýhody především pro ty skupiny marketérů nebo vlastníky e-shopů, kteří si moc nelámali hlavu s tím, jak mohou s osobními údaji svých uživatelů nakládat nebo na ně cílit remarketing. GDPR však v této oblasti nepřináší příliš mnoho nového, většina opatření proti zneužívání mailových adres nebo jiných osobních údajů je zde již v rámci ochrany osobních údajů několik let, jen se do té to doby nebrala tolik v potaz. To se však od začátku května již brzy změní a to především v těchto marketingových sektorech.
E-mailový marketing
Pro mailový marketing je především zásadní mít v pořádku seznam kontaktů a schválené zařazení do mailingových listů, které musí mít evidované potvrzení nebo-li souhlas u každého uživatele s jejich zařazením. Pro zařazení zákazníka do seznamu odběratelů, je potřeba mít jeho souhlas se zasíláním obchodních sdělení.
• Pro získání obchodního sdělení, není možné daný souhlas zařadit pouze do obchodních podmínek, tento postup je v rozporu s GDPR a zákazník není povinen se zapsat pro zařazení do mailingového listu pro to, aby mohl udělat objednávku.
• Transakční zprávy informující o stavu objednávky nevyžadují samostatný souhlas. Informovanost z pohledu expedice, doručení, zaplacení, zaslaní faktury či dobropisu, není považování za e-mailový marketing z pohledu obchodního sdělení, pokud součástí těchto e-mailu není žádná další nabídka v podobě prodeje zboží či nabízení dalších služeb.
• Výjimkou také může být zaslání upozornění v rámci ochrany životně důležitých zájmů, příkladem je například nebezpečná látka v produktu, vadný lék či jiné.
• Oprávněný zájem, je diskutabilní v ohledu e-mailového marketingu. V rámci oprávněného zájmu je klíčová prokazatelnost daného zaslání, stupeň personalizace, interval či obsah sdělení. Například pokud budete chtít informovat své zákazníky o změně otevírací doby či adresy pobočky, lze dané sdělení zaslat i bez předchozího souhlasu. V takovém sdělení nevyužíváme nijak osobní údaje uživatelů, kromě e-mailové adresy za účelem informovat.
• Zásadní při získávání souhlasu je především transparentnost, mnohdy nepotřebujete více než e-mail svého zákazníka a v rámci férovosti se patří zákazníka informovat, co může dále od vás očekávat a jak často jej budete svými obchodními sděleními "obtěžovat".
• Double-opt in pro ověřený a doložitelný souhlas, spočívá v tom, že při prvním kroku vám ve formuláři zákazník vloží e-mail, na který mu následně automatizovaně přijde potvrzení, zda se chce opravdu přihlásit k odběru newsletteru (tento první informující e-mail, lze charakterizovat jako v rámci oprávněného zájmu). V daném e-mailu následně potvrdí svůj zájem a obchodník zde musí specifikovat kdo je a za jakým účelem bude e-mail a údaje svého uživatele využívat, kdo bude údaje zpracovávat a na jak dlouhou dobu. Souhlas je vždy vázaný ke konkrétní společnosti a pro konkrétní účel, není možné je využívat jinde či dále přeprodávat. Za průkaz daného potvrzení je považováno - obsah zaslání, komu bylo odeslané, kdy bylo potvrzení, z jaké IP adresy došlo k potvrzení a jaký byl odkaz pro aktivaci.
• V zápatí e-mailu musí být obsažený odkaz pro odhlášení odběru obchodních sdělení. V dnešní době prakticky každá společnost, nabízející distribuci newsletteru, daný odkaz v e-mailu vyžaduje a bez něj není možné ani rozeslání uskutečnit. Ze zákona se musíte v každém obchodním sdělení identifikovat svojí firmu, ideálně doplnit také své kontakty - telefon a e-mail.
Cloudové a externí služby pro e-mailový marketing
Většina klientu v dnešní době využívá některou z externích služeb pro rozesílání e-mailu, ať už se jedná o zahraniční Mailchimp nebo tuzemský Ecomail. Ve všech případech je potřeba věnovat pozornost následujícím věcem:
• Servery provozovatele pro rozesílání a ukládání údajů musí být garantovaný v Evropě (Mailchimp má v přípravě)
• Musíte mít definovaný smluvní vztah v souladu s GDPR v rámci zpracovatelské smlouvy (lze většinou získat od daného provozovatele)
Sociální sítě ve vztahu k e-mailovému marketingu
Fanoušky na naší facebookové stránce a jejich osobní údaje nelze využívat pro účely e-mailového marketingu, jelikož zde neexistuje žádné spojení či právní titul, na základě kterého bychom mohli využívat tyto údaje. Jediným řešením je využívat tzv. Facebook Leads a Facebook Apps s vlastní Privacy Policy pro využívání dat, které tyto aplikace mohou sbírat.
Koho se bude GDPR týkat?
Nařízení se bude týkat téměř všech firem, mnoha institucí a poměrně zásadně e-shopů. GDPR nerozlišuje velikost e-shopu, ale ukládá všem stejné podmínky.
Povinnosti ukládající GDPR:
• vedení záznamů o shromažďování dat
• zákazníci by měli mít přístup k shromažďovaným údajům
• zákazníci mají právo na vymazání svých osobních údajů
• zpracovatel by měl získávat pouze nutná data k danému účelu
• konzultace a kontaktování dozorového orgánu před samotným shromažďováním dat
• jmenování DPO pověřence pro ochranu osobních údajů (nebude pro většinu e-shopů potřeba)
• zpracování posouzení vlivu na ochranu osobních údajů
• povinnost ohlásit Úřadu pro ochranu osobních údajů únik informací nejpozději do 72 hodin
• ve vnitřních směrnicích mít jasně dáno, jak dlouho budou data zpracovávána a také odůvodnění této délky
Práva uživatelů z pohledu GDPR
Každý uživatel má z pohledu GDPR určitá práva, která mají zajistit ochranu jeho osobních údajů a zároveň mu dávají určité výhody, které pro řadu klientů mohou způsobovat nemalé komplikace. Ačkoliv se dá předpokládat, že těchto práv využije pouze hrstka uživatelů, musí být provozovatel webu nebo e-shopu danému právu vyhovět ve stanovených lhůtách. Podrobnější se těmto právům subjektů a jejích údajů věnuje úřad pro ochranu osobních údajů.
Právo na výmaz - vymazání osobních údajů
Uživatel má právo na vymazání osobních údajů hned z několika oprávněných důvodů.
Mezi ty patří:
• údaje už nejsou potřebné pro účel, kvůli kterému byly zpracovávány, mimo údajů potřebných dle jiných zákonů (reklamace/záruka, účetnictví, archivace - pozor na konflikty s dalšími zákony!)
• osobní údaje byly zpracovány protiprávně
• uživatel se rozhodne souhlas o zpracování zrušit, pokud neexistuje důvod ke zpracování
• nebyl udělen status rodiče pro osobní údaje dětí
• přikáže to povinnost stanovená Unií nebo státem
V případě e-shopu je možné v rámci administrace e-shopu smazat veškeré údaje o zákazníkovi s ohledem na data, která je nutná archivovat (objednávky, fakturace za jinými účely).
Právo na informování - přístup k osobním údajům
Uživatel má právo na získání informací, které jsou o něm evidované, konkrétně to znamená:
• Na žádost uživatele musí provozovatel poskytnout všechny údaje, které o uživateli provozovatel má a to do lhůty 30 dnů.
• Jedná se o informace jak vyplněné ze strany zákazníka, tak ty, které jste o něm nasbírali (ačkoliv uživatel nemusí vědět, které o něm přesně sbíráte).
• V podstatě to také znamená, že musíte mít přehled o zpracovávaných údajích pro každého konkrétního uživatele a předat mu je v případě jeho žádosti.
V případě e-shopu je možné udělat export údajů o daném uživateli, které redakčním systém o uživateli shromažďuje. Výhodou je především možnost rychle uživatele nalézt a zjistit kde dále jeho údaje mohou být uložené.
Právo na přenositelnost informací - předání jinému správci
Nové právo, které uživateli umožňuje získat ve strojově čitelném (jinými slovy standardizovaném) formátu své údaje.
• Na žádost uživatele mu poskytnout standardizovaná data, která mu umožní přejít k jinému poskytovateli služeb a využít je u něj.
• V případě e-shopu jde především o osobní údaje zákazníka a historii jeho objednávek (jeho nákupní chování).
• Na vzorový formát se považuje například XML nebo CSV strukturovaný soubor dat.
V případě e-shopu je možné provést export informací o zákazníkovi a nakoupených produktech, včetně své registrace. Ten se připravuje s ohledem na standard od Asociace pro elektronickou komerci (APEK), aby mohl být využít v rámci ostatních systému, které tento standard budou chtít dodržovat.
Postihy za porušení GDPR
Pokud web, e-shop či firma poruší podmínky ochrany osobních údajů, může se dočkat vysokých pokut.
Maximální výši pokuty 20 milionů Eur nebo 4 % z celkového obratu (vyšší hodnota) bude možno udělit jak malé firmě, tak nadnárodní korporaci.
Největši riziko však není samotný kontrolní úřad, který by snad mohl přijít na váš e-shop nebo web a shledat jej nedostatečným, ale vzhledem k medializaci celého GDPR nařízení, budou největším rizikem samotní uživatelé, kteří si budou chtít jen jednoduše řečeno "prudit" a zkoušet vaší připravenost na GDPR.
Klíčem je využívat v rámci GDPR především zdravý rozum a veškera opatření sestavit tak, aby uživatele nemuseli mít pocit, že se snažíte jejich údaje zneužít neoprávněným způsobem.
GDPR ukládá mnoho povinností, které budou muset e-shopy včas reflektovat a přizpůsobit se jim. V opačném případě hrozí vysoké pokuty.
Mnoho e-shopů v tomto roce čeká úprava svého informačního systému a postupu zpracování osobních údajů.
Další informace o GDPR:
• https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/
Časté otázky a odpovědi v souvislosti s GDPR
Musím uzavírat zpracovatelskou smlouvu pro své zaměstnance nebo jiné osoby, které mi pomáhají s e-shopem či webem a dochází tak do styku s osobními údaji?
V odpovědi na danou otázku se mohou odpovědi jednotlivých právníku odlišovat, jde totiž o to, zda daná osoba pracuje s údaji za účelem jejich zpracování (v takovém případě je nutná zpracovatelská smlouva) nebo zda do nich může jen náhlednout, ale není její hlavní činností údaje zpracovávat (v takovém případě stačí smlouva o mlčenlivosti - NDA).
Kdo musí mít dokument o způsobu zpracování osobních údajů vedený?
Každý podnikatel musí mít prakticky tento dokument zpracovaný, pokud shromaždujeme údaje systematicky za konkrétním účelem (což je prakticky vždy). Zároveň tento dokument by měl definovat, ke kterým údajům mají zaměstnanci přístup a jaká opatření je potřeba udělat proto, aby se k osobních údajů vašich uživatelů nedostala neoprávněná osoba - například do Google Analytics, objednávek apod. V daném dokumentu je tak nutné především definovat, jakým způsobem s osobními údaji nakladáme, kde jsou uložené, kdo k ním má přístup, jak jsou zabezpečené, jak defiujete oprávněný zájem atd...
Jsou e-shopy a weby od ANT studia připravené na GDPR?
Naše e-shopy a weby vytváříme na vlastním redakčním systému (CMS) nebo na open source redakčním systému WordPress. V obou případech připravujeme opatření, které zajistí ze strany e-shopů a webů podporu pro GDPR legislativu. V případě našeho CMS plánujeme přípravy během měsíců únor-březen, kdy dojde k nasazení na aktuální verzi našeho redakčního systému. Následně budeme dané úpravy dle zájmu ze strany klientů implementovat i na starší verze redakčního systému. Vyhrazujeme si v tomto ohledu právo, nasazení neprovádět na redakčním systémech, které budou starší verze a data dle určení. V případě redakčního systému WordPress, bude většina úprav v souladu s GDPR vytvářena autory daného systému a jednotlivých modulů, které fungují za účelem sběru osobních údajů. Doporučujeme vždy řešení GDPR u vašeho webu či e-shopu řešit s vaším projektovým manažérem nebo obchodním zástupcem naší firmy. Provedeme případný audit vašeho webu či e-shopu a navrhneme vhodná opatření pro zajištění souladu s GDPR. Myslete však na to, že samotný způsob, jak nakládáte s osobními údaji svých klientů, je závislí také na vašich vlastních procesech nebo externí službách (například účetní nebo podnikové systémy).
Co se stane, když nebudu se účinnosti od 25. května 2018 web nebo e-shop v souladu s GDPR?
Správně by takový e-shop nebo web neměl mít možnost sbírat osobní údaje v rámci formulářů, dotazníků, komentářů, objednávek či jiným způsobem, který zahrnuje evidování osobních údajů od uživatele, dle podmínek a kritérií zmíněných v článku. Přesto i tak lze předpokládat, že takových e-shopů a webových stránek bude velké množství. Myslete však na to, že neznalost zákona vás v této věci neomlouvá a jako správci těchto údajů, nesete odpovědnost za případná rizika spojená s nesplněním dané nařízení. Myslete také na to, že se jedná o evropské nařízení. Vaše povinnost splňovat tyto podmínky tak vyplývá z povinnosti ke všem uživatelům Evropské unie a tedy i zahraničním zákazníkům.
Jak pracovat se seznamem uživatelů/zákazníků, ke kterým mám jejich osobní údaje, ale nemám prokazatelný souhlas s jejich zpracováním?
Zde záleží hodně na způsobu získání daného kontaktu, ve většině případech lze však předpokládat, že korektní a prokazatelný souhlas bude scházet. Jak tedy zpětně získat tento souhlas co nejlepším způsobem? Pokud máme seznam uživatelů, o kterém pořádně nevíme kde se vzal, na základě jaké minulosti jsme kontakty získali, nebo jsou data smíchaná z různých zdrojů, v takovém případě se doporučuje zcela na tyto údaje rezignovat a zcela je smazat. Pokud naopak máme seznam k vedenému seznamu určitý právni titul, jako je například, seznam klientu, ktěří nakoupili na mém e-shopu věc "X" v době "Y" a nejsme si jen jisti, zda máme potřebný souhlas pro jejich další zpracování nebo zasílání obchodního sdělení, můžeme takovém případě požádat o dodatečný souhlas. Opět zde platí selský rozum, je potřeba vždy myslet, jestli máme k danému kontaktu určitý vztah nebo spojení, o které jsme schopni se opřít v rámci oprávněného zájmu. Jak o daný souhlas vhodně požádat vám mohou pomoci i naši odbornící na e-mailový marketing, základem je přijít s kreativní řešením, které zákazníky nepohorší, ale pobaví nebo nabídne něco na oplátku. Čím dříve budeme mít váš seznam uživatelů a souhlas zaopatřený, tím větší budete mít šanci, že zůstanou vaše seznamy spíše kompletní.
Jakým způsobem budou fungovat výhody pro zákazníky v podobě dopravy zdarma, dárku, slevy či jiného benefitu za poskytnutí e-mailové adresy nebo jiného osobního údaje?
Souhlas musí být především dobrovolný a nepodmíněný. To znamená, že zákazníkovi nesmíme bránit v nákupu zboží nebo nastavením nepřiměřené ceny za dopravu či zboží, pokud se rozhodne naší nabídky nevyužít. Například pokud budeme mít zboží dvakrát dražší, než je jeho běžná cena a pro získání "normální ceny" budete chtít e-mailovou adresu pro zaslání slevového kuponu, je to považáno za nedobrovolný souhlas, protože zákazníka v podstatě nutíte (ne-li vydíráte). Zároveň musíte jasně definovat, za jakým účelem budete e-mail či jiný osobní údaj dále využívat a na jak dlouho. Pokud bude e-mail jen za účelem účasti v soutěži, určitě vám neprojde, pokud následně zákazníkovi začnete zasílat i obchodní sdělení na zboží, který s tím nijak nesouvisí.
Jak má vypadat správně tzv. cookies lišta?
Musí splňovat formu aktivního potvrzení, tedy souhlasu, který bude doložitelný a potvrdí nám, že návštěvník souhlasí se sběrem jeho osobních údajů.Opět je nutné definovat, jaké informace v rámci cookies budeme chtít shromaždovat, kde budou uložené, na jak dlouho, za jakým účelem a jaká mají uživatelé práva. Cookies nemusí vždy nést informaci i návštěvníkovi a jeho osobních údajích. Bez získaného souhlasu nemůžeme tyto údaje zpracovávat, pouze pokud by se jednalo o anonymní údaje, v rámci kterých není možné udělat spojení s konkrétní osobou, což však může být mnohdy sporné, protože prakticky vždy budete znát minimálně IP adresu uživatele, která patří pod osobní údaj. Blíže bude danou legislativu řešit blíže nástup ePrivacy. V rámci e-shopu i webu, kde dochází ke zpracováním osobních údajů, se tak v této chvili doporučuje minimálně cookies lištu mít, dokud nebude přesněji definová nová legislativa pro celou Evropu.
Jakým způsobem pracovat s aplikacemi třetích stran, jako je například vložený Facebook, on-line chat, hotjar či další nástroje, které sledují pohyb uživatelů na webových stránkách či e-shopu?
Daná problematika bude velice složitě uchopitelná, záleží na tom, zda budou tyto aplikace sbírat také osobní údaje vašich návštěvníků či nikoliv. Mnohdy však nemusíte ani mít povědomí o tom, že dané aplikace vše sbírají, v tomto ohledu je potřeba mít mezi vámi a třetí stranou sjednanou zpracovatelskou smlouvu, která jasně vymezuje tento rozsah.
Patří mezi zpracovatele také pronajímatel webhostingu nebo správce fyzického serveru, kde je obsah webových stránek uložen?
V případě, klasického webhostingu se poskytovatel stává zpracovatelem dat, protože má možnost nahlížet do databáze. Doporučuje se mí tak vyřešenou zpracovatelskou smlouvu mezi poskytovatelem webhostingu (nebo agenturou, která webhosting zajišťuje a ta má již svojí smlouvu přímo s konkrétním webhosterem). Zároveň každý poskytovatel webhostingu, který webové stránky nebo e-shop provozuje, by měl být schopný deklarovat, jakým způsobem zajistil bezpečnost vašich dat a zda provozuje své servery v Evropě. Poskytovatel musí splnit přiměřená bezpečnosti pravidla, která jsou adekvátní jeho nákladům a odpovídajícímu úsilí. Například často diskutovaná problematika vytváření záloh databáze, která obsahuje osobní údaje zákazníků, musí mít jasně definovaný proces uchovávání dat (především dobu).
Naším poskytovatelem webhostingu je společnost Coolhosting, která provozuje své servery v České republice využívající aktuální bezpečností verze softwaru pro zajištění provozu našich pronajatých serverů s šifrovaným přenosem dat. S poskytovatelem máme uzavřenou zpracovatelskou smlouvu a zároveň plníme veškerá nařízení v souladu s Úřadem pro ochranu osobních dat. V případě, že budete mít zájem o webové stránky nebo e-shop z naší strany, doporučujeme využívat také našich webhostingových služeb, které pro vás ve spolupráci s Coolhostingem zajišťujeme.
Jakým způsobem pracovat s údaji, které jsme nasbírali do doby, než přišlo v účinnost nařízení GDPR?
Pokud k těmto údajům jste schopni doložit způsob jejich získání a je tak potvrzení v souladu s GDPR, můžete s nimi dále nakládat v rámci rozsahu, který vám klient či návštěvník odsouhlasil. V případě, že máte tyto údaje bez patřičných souhlasů nebo dobu přesahující cca 3 roky a nepotřebujete dále uchovávat za jiným účelem vyplývající ze zákona, doporučuje se tyto údaje vymazat nebo si zajistit nový patřičný souhlas. Osobní data, která nepotřebujete a nevyužíváte, je lepší raději vůbec nemít.
Jakým způsobem nakládat s osobními údaji, které jsou v nestrukturované podobě a například se objeví ve zprávě k objednávce nebo u formuláře?
Ačkoliv je daný případ dosti nepravděpodobný, může se vám za určitých okolní stát, že vám návštěvník webu při vytváření objednávky, rezervace či zaslání přes formulář do kolonky pro poznámky či zprávy pro příjemce, napíše některou z informací spadající pod osobní údaje, bez toho abyste to po něm vyžadovali. Údaje, které jsou získávané nesystematicky a nejsou automatizovaně zpracovávané, nepohledají nařízení GDPR.
Jakým způsobem řešit objednávku, kterou zadávám za klienta ručně například na základě osobního nebo telefonického rozhovoru?
V takovém případě se doporučuje, abyste daného zákazníka upozornili na to, že budete zpracovávat jeho údaje za účelem, který je blíže popsán na webových stránkách. Samozřejmě máte i možnost danému člověku přečíst celé prohlášení o nakládání s osobními údaji, ovšem takové řešení bude dosti nepraktické. Zároveň myslete na to, že si takový rozhovor nemůže bez jeho souhlasu nahrát, abyste měli doložené, že s tím opravdu souhlasil. Samotný souhlas je zde tedy poněkud problematický, ale opět vychází ze zdravého rozumu a komunikace mezi klientem.
