Co přinese GDPR pro e-shopy a internetové obchody?

Jaké interní povinnosti musí splňovat e-shopy? V případě e-shopu se setkáte s informační povinností, smlouvou o zpracování osobních údajů a záznamech o zpracování osobních údajů. Za zpracovatele osobních údajů v případě e-shopů je považována například marketingová agentura, určité externí aplikace nebo softwary. Dále třeba provozovatel webhostingových služeb, na kterém jsou vaše data uložena, zaměstnanci, kteří přicházejí s administrací e-shopu do kontaktu, ale třeba i účetní, která zpracovává vaše faktury.

Redakční systém a vedení záznamů o aktivitách

V rámci GDPR by měl být využíván vždy bezpečný a aktualizovaný redakční systém, který bude splňovat patřičné zabezpečení proti možnému odcizení osobních údajů, které je adekvátní jeho možnostem. V případě aktivit, které budou vyžadovat potvrdit souhlas se zpracováním osobních údajů. Doporučujeme v rámci redakčního systému implementovat možnost vytváření tzv. “logů” či záznamů ke každému souhlasu, či přihlášení do administrace, nebo jiné manipulaci s osobními daty. Tyto záznamy slouží především jako důkaz, že vám daný návštěvník souhlas potvrdil.

Na našem redakčním systému ANT CMS je logování aktivit přítomné v nejnovější verzi již v základu a počítáme s jeho dalším rozvojem. Pro stávající klienty je možné implementaci dodělat v případě potřeby. Pro WordPress e-shopy doplňujeme logování aktivit pomocí osvědčeného modulu a aktualizujeme redakční systém včetně WooCommerce na aktuální verzí, která bude od cca konce května 2018 zahrnovat úpravy v sovislosti s GDPR.

Odběr novinek a newsletterů

Pokud na e-shopu plánujete možnost přihlásit se k odběru novinek, nebo již takovou funkci na svém e-shopu máte, doporučujeme zbystřit. Pro přihlášení k odběru novinek musí návštěvník zadávat minimálně svojí e-mailovou adresu, která patří pod osobní údaj, a proto je potřeba zažádat o souhlas s jejím zpracováním za účelem, který si sami určíte (např. zasílání obchodních sdělení). Bez získání souhlasu není možné zasílat jen tak newslettery na své odběratele. Výjimku tvoří případy, které spadají pod oprávněný nebo veřejný zájem, kdy pokud například zákazník vytvoří objednávku, mohu mu následně zasílat v rámci oprávněného zájmu novinky na související zboží a produkty. Pro e-mailový marekting doporučujeme využít některou z externích služeb pro rozesílání hromadných e-mailů, jako je například Ecomail nebo Mailchimp. Rádi vám pomůžeme s výběrem vhodné služby a přípravou pro rozesílání hromadných e-mailů.

Registrace zákazníků

Řada zákazníků se může na e-shopu registrovat ještě před vytvořením objednávky - například proto, aby mohli mít svojí objednávku následně evidovanou pod svým účtem, nebo protože tím mohou získávat různé benefity. Pro nás to však znamená, že takový zákazník musí souhlasit se zpracováním osobních údajů za účelem vedení zákaznického účtu. Nově tak není možné vytvářet registrace automaticky, jen na základě objednávky, ale je nutné k tomu mít dobrovolný souhlas. Zároveň tento souhlas musí být doložitelný. Možností je také registrace z e-shopu zcela odstranit a ponechat možnost nákupu bez registrace. Rozdíl je v případě, že registrace je účelem uzavření již určité smlouvy. V takovém případě souhlas není nutný a postačí informační povinnost.

Proces objednávky

V případě údajů, které sbíráme za účelem uzavření kupní smlouvy, je možné na e-shopu také povinnost informovat spojit se souhlasem s obchodními podmínkami. Pokud zákazník zadává údaje za účelem objednávky, dochází tak k plnění smluvního vztahu a není tak nutné žádat o souhlas se zpracováním osobních údajů. 

V případě údajů, které nejsou bezprostředně nutné (respektive přiměřeně účelné pro vytvoření objednávky a jejího doručení), musí zde být samostatný souhlas pro zpracování i těchto dodatečných údajů. Pokud tento souhlas nebude ze strany zákazníka akceptovaný pomocí jeho interakce, nemůžeme tyto údaje evidovat, protože nejsou potřebné pro uzavření smlouvy a doručení zboží. 

V případě, že je součástí posledního kroku objednávky i odběr newsletteru či dotazník spokojenosti, musí mít zákazník samostatnou možnost pro souhlas nebo nesouhlas. Obecně platí, že každé zpracování údajů za odlišným účelem, rozsahu či doby, by mělo mít vlastní akceptaci konkrétních podmínek. V případě, že budeme zasílat vlastní hodnocení, je možné jej zařadit pod oprávněný zájem, ale zároveň je vhodné o tom zákazníka informovat. 

Věrnostní kluby, soutěže, předplatné a jiné marketingové benefity. Pro zařazení do těchto skupin a jiných marketingových aktivit, je nutné mít souhlas se zpracováním osobních údajů. Za pomoci nepředvyplněného potvrzení od zákazníka s možností doložit dané potvrzení. V rámci souhlasu musí být jasně doložen účel a doba trvání pro zpracování těchto údajů. Opět záleží, zda se jedná o smluvní vztah nebo ne. Zde záleží hodně na smluvním vztahu zákazníka ve vztahu s klientem.

Poskytovatelé služeb třetích stran

Každý e-shop prakticky pro svůj rozvoj a prodej využívá nějaké té služby třetí strany či externího prostředníka. Nejčastějším příkladem je například Google Analytics pro sledování statistik webu, Facebook widgety pro tlačítko "To se mi líbí", On-line chaty pro rychlou komunikaci se zákazníkem nebo třeba remarketingové služby pro personalizovanou reklamu. Pro každý z těchto subjektů je potřeba přistupovat individuálně, a především se zamyslet nad tím, zda tyto služby sbírají osobní údaje o vašich zákaznících nebo ne. Každá z těchto služeb většinou připravuje svůj vlastní způsob o tom, jak bude přistupovat k GDPR a připravovat vlastní doporučení. Vy byste měli mít minimálně přehled o tom, jaké všechny externí služby na svých webových stránkách provozujete, většina těchto služeb je provozována v rámci rozvoje e-shopu nebo online marketingu.

Informace o ochraně osobních údajů

V případě, že jste si nad některým z předešlých bodů odpověděli alespoň jednou ano, je potřeba mít na svých stránkách umístěné informace o ochraně osobních údajů v rámci informační povinnosti. Tato stránka bude především sloužit k informování návštěvníka o tom, jakým způsobem budete zpracovávat jeho osobní údaje, případně jaké externí služby mohou být dalšími zpracovateli. Pro naše klienty poskytujeme připravený vzor, který si každý klient může následně upravit dle svých potřeb a způsobu, jakým bude osobní údaje zpracovávat.

Zabezpečená komunikace - HTTPS

Využití šifrované komunikace za pomoci důvěryhodného SSL certifikátu je prakticky standard od cca roku 2015-2016, proto lze očekávat, že řada e-shopů bude dané opatření již mít. Pokud nemáte, je vhodné šifrovanou komunikaci doplnit. Díky bezplatnému certifikátu od Let's Encrypt je to dnes již velmi jednoduchou a levnou záležitostí. GDPR sice neříká nutně, že je certifikát nutné mít, přesto to však razantně doporučujeme, protože jinak hrozí riziko, že při vyplňování údajů na e-shopu může dojít během jejich přenosu k úniku. Zároveň má HTTPS protokol i řadu dalších výhod.

Bezpečné a tajné heslo

Ačkoliv se může zdát, že využívat bezpečné heslo do své e-mailové schránky, počítače, telefonu nebo e-shopu je naprostý základ, stále se setkáváme s tím, že řada uživatelů tento fakt ignoruje a využívá naprosto jednoduše uhodnutelná hesla, jako je "12345", "admin", apod. Myslete tedy vždy v prvé řadě na to, abyste využívali dostatečně bezpečné heslo složené minimálně z jednoho velkého písmenka, čísla a případně i speciálního znaku. Heslo především nikomu a nikdy neříkejte a pokud potřebujete mít více uživatelských účtů na webových stránkách, není nic jednoduššího, než vytvořit každému jeho vlastní.

Pro řadu e-shopů bude GDPR znamenat více úprav, než v případě běžných webových stránek. Orientační cena úprav se může pohybovat v rozsahu od 10 000 do 30 000 Kč.  Záleží zde především hodně na tom, jaké všechny způsoby pro sběr osobních údajů využívají a jaká je složitost jejich provedení. Zároveň údaje, které k ničemu nevyužíváte je lepší ani nesbírat a raději smazat. Pokud si nevíte rady s přípravou GDPR pro svůj e-shop, kontaktuje nás a rádi vám navrhneme vhodný postup řešení.