Poradna

Co přinese GDPR pro e-shopy a internetové obchody?

Jaké interní povinnosti musí splňovat e-shopy? V případě e-shopu se setkáte s informační povinností, smlouvou o zpracováních osobních údajů a záznamech o zpracováních osobních údajů. Za zpracovatele osobních údajů v případě e-shopů, jsou považovaná například marketingová agentura, určité externí aplikace nebo softwary, provozovatel webhostingových služeb, na kterém jsou vaše data uložena, zaměstnanci, kteří přicházejí s administraci e-shopu do kontaktu, nebo třeba i účetní, která zpracovává vaše faktury.

Redakční systém a vedení záznamů o aktivitách

V rámci GDPR by měl být využíván vždy bezpečný a aktualizovaný redakční systém, který bude splňovat patřičné zabezpečení proti možnému odcizení osobních údajů, které je adekvátním jeho možnostem. V případě aktivit, které budou vyžadovat potvrdit souhlas se zpracováním osobních údajů, doporučujeme v rámci redakčního systému implementovat možnost vytváření tzv. “logů” či záznamů ke každému souhlasu, či přihlášení do administrace nebo jiné manipulaci s osobními daty. Tyto záznamy slouží především jako důkaz, že vám daný návštěvník souhlas potvrdil.

Na našem redakčním systému ANT CMS, je logování aktivit přítomné v nejnovější verzi již v základu a počítáme s jeho dalším rozvojem. Pro stávající klienty je možné implementaci dodělat v případě potřeby. Pro WordPress e-shopy doplňujeme logování aktivit pomocí osvědčeného modulu a aktualizovat redakční systém včetně modulu WooCommerce na aktuální verzí, která bude od cca konce května 2018 zahrnovat úpravy v sovislosti s GDPR.

Odběr novinek a newsletterů

Pokud na e-shopu plánujete možnost přihlásit se k odběru novinek nebo již takovou funkci na svém e-shopu máte, doporučujeme zbystřit. Pro přihlášení k odběru novinek musí návštěvník zadávat minimálně svojí e-mailovou adresu, která patří pod osobní údaj a proto je potřeba zažádat o souhlas s jejím zpracováním za účelem který si sami určité (např. zasílání obchodních sdělení). Bez získání souhlasu, není možné zasílat jen tak newslettery na své odběratele. Výjimku tvoří případy, které spadají pod oprávněný nebo veřejný zájem, kdy pokud například zákazník vytvoří objednávku, mohu mu následně zasílat v rámci oprávněného zájmu novinky na související zboží a produkty. Pro e-mailový marekting doporučujeme využít některou z externích služeb pro rozesílání hromadných e-mailů, jako je například Ecomail nebo Mailchimp. Rádi vám pomůžeme s výběrem vhodné služby a přípravou pro rozesílání hromadných e-mailů.

Registrace zákazníků

Řada zákazníků, ačkoliv to nebývá zcela nutné, se může na e-shopu registrovat ještě před vytvořením objednávky, například proto, aby mohli mít svojí objednávku následně evidovanou pod svým účtem nebo, protože tím mohou získávat různé benefity. Pro nás to však znamená, že takový zákazník musí souhlasit se zpracováním osobních údajů za účelem vedení zákaznického účtu. Nově tak není možné vytvářet registrace automaticky jen na základě objednávky, ale je nutné k tomu mít dobrovolný souhlas. Zároveň tento souhlas musí být doložitelný. Možností je také registrace z e-shopu zcela odstranit a ponechat možnost nákupu pouze bez registrace. Rozdíl je v případě, že registrace je účelem uzavření již určité smlouvy, například pokud registrace je součást jejího uzavření. V takovém v případě souhlas není nutný a postačí informační povinnost.

Proces objednávky

V případě údajů, které sbíráme za účelem uzavření kupní smlouvy, je možné na e-shopu dané povinnost informovat spojit se souhlasem s obchodními podmínkami. Pokud zákazník zadává údaje za účelem objednávky, dochází tak k plnění smluvního vztahu a není tak nutné žádat o souhlas se zpracováním osobních údajů. 

V případě údajů, které nejsou bezprostředně nutné (respektive přiměřeně účelné pro vytvoření objednávky a jejího doručení), musí zde být samostatný souhlas pro zpracování i těchto dodatečných údajů. Pokud tento souhlas nebude ze strany zákazníka akceptovaný pomocí jeho interakce, nemůžeme tyto údaje evidovat, protože nejsou potřebné pro uzavření smlouvy a doručení zboží. 

V případě, že je součástí posledního kroku objednávky i odběr newsletteru, dotazník spokojenosti, musí mít samostatnou možnost pro souhlas nebo nesouhlas. Obecně platí že každé zpracování údajů za odlišným účelem, rozsahu či doby, by mělo mít vlastní akceptaci konkrétních podmínek. V případě, že budeme zasílat vlastní hodnocení, je možné jej zařadit pod oprávněný zájem, ale zároveň je vhodné o tom zákazníka informovat. 

Věrnostní kluby, soutěže, předplatné a jiné marketingové benefity

Pro zařazení do těchto skupin a jiných marketingových aktivit, je nutné mít souhlas se zpracováním osobních údajů, za pomocí nepředvyplněného potvrzení od zákazníka s možností doložit dané potvrzení. V rámci souhlasu musí být jasně opět doložen účel a dobu trvání pro zpracování těchto údajů. Opět záleží zda se jedná o smluvní vztah nebo ne. Zde záleží hodně na smluvním vztahu zákazníka ve vztahu s klientem.

Poskytovatelé služeb třetích stran

Každý e-shop prakticky pro svůj rozvoj a prodej využívá nějaké té služby třetí strany či externího prostředníka. Nejčastějším příkladem je například Google Analytics pro sledování statistik webu, Facebook widgety pro tlačítko "To se mi líbí", On-line chaty pro rychlou komunikaci se zákazníkem nebo třeba remarketingové služby pro personalizovanou reklamu. Pro každý z těchto subjektů je potřeba přistupovat individuálně, a především se zamyslet nad tím, zda tyto služby sbírají osobní údaje o vašich zákaznících nebo ne. Každá z těchto služeb většinou připravuje svůj vlastní způsob o tom, jak bude přistupovat k GDPR a připravovat vlastní doporučení. Vy byste měli mít minimálně přehled o tom, jaké všechny externí služby na svých webových stránkách provozujete, většina těchto služeb je provozována v rámci rozvoje e-shopu nebo online marketingu.

Informace o ochraně osobních údajů

V případě, že jste nad některým z předešlých bodů si odpověděli alespoň jednou ano, je potřeba mít na svých stránkách umístěné informace o ochraně osobních údajů v rámci informační povinnosti. Tato stránka bude především sloužit k informování návštěvníka o tom, jakým způsobem budete zpracovávat jeho osobní údaje, případně jaké externí služby mohou být dalšími zpracovateli. Pro naše klienty poskytujeme připravený vzor, který si každý klient může následně upravit dle svých potřeba a způsobu, jakým bude osobní údaje zpracovávat.

Zabezpečená komunikace - HTTPS

Využití šifrované komunikace za pomocí důvěryhodného SSL certifikátu je prakticky standard od cca roku 2015-2016, proto lze očekávat, že řada e-shopů, bude dané opatření již mít. Pokud nemáte, je vhodné šifrovanou komunikaci doplnit, díky bezplatnému certifikátu od Let's Encrypt je to dnes již velmi jednoduchou a levnou záležitostí. GDPR sice neříká nutně, že je certifikát nutné mít, přesto to však razantně doporučujeme, protože jinak hrozí riziko, že při vyplňování údajů na e-shopu může dojít během jejich přenosu k úniku. Zároveň má HTTPS protokol i řadu dalších výhod.

Bezpečné a tajné heslo

Ačkoliv se může zdát, že využívat bezpečné heslo do své mailové schránky, počítače, telefonu nebo e-shopu jako naprostý zaklád, stále se setkáváme s tím, že řada uživatelů tento fakt ignoruje a využívat naprosto jednoduše uhodnutelná hesla jako je "12345", "admin", apod. Myslete tedy vždy v prvé řadě, abyste využívali dostatečně bezpečné heslo složené minimálně z jednoho velkého písmenka, čísla a případně speciálního znaku. Heslo především nikomu a nikdy neříkejte a pokud potřebujete mít více uživatelských účtu na webových stránkách, není nic jednoduššího než vytvořit každému jeho vlastní.

Pro řadu e-shopů bude GDPR znamenat více úprav, než v případě běžných webových stránek. Orientační cena úprav se může pohybovat v rozsahu od 10 000 do 30 000 Kč.  Záleží zde především hodně na tom, jaké všechny způsoby pro sběr osobních údajů využívají a jaká je složitost jejich provedení. Zároveň údaje, které k ničemu nevyužíváte je lepší ani nesbírat a raději smazat. Pokud si nevíte rady s přípravou GDPR pro svůj e-shop, kontaktuje nás a rádi vám navrhneme vhodný postup řešení.

 

Nenašli jste, co jste hledali?

Vše o GDPR pro online

Položení dotazu

Položte jakoukoliv otázku. Odpověď dostanete během několika dnů. Nejzajímavější dotazy umístíme na naše stránky.