Poradna

Co přinese GDPR pro e-shopy a internetové obchody?

Jaké interní povinnosti musí splňovat e-shopy? V případě e-shopu se setkáte s informační povinností, smlouvou o zpracováních osobních údajů a záznamech o zpracováních osobních údajů. Za zpracovatele osobních údajů v případě e-shopů, jsou považovaná například marketingová agentura, určité externí aplikace nebo softwary, provozovatel webhostingových služeb, na kterém jsou vaše data uložena, zaměstnanci, kteří přicházejí s administraci e-shopu do kontaktu, nebo třeba i účetní, která zpracovává vaše faktury.

Co musí splňovat váš e-shop nebo webová stránka?

Základem je souhlas o zpracování osobních údajů či informační povinnost. Záleží především na konkrétním kroku nebo místě, kterým se budeme v tu chvíli zabývat.

E-mailový zpravodaj nebo-li newslettery

Musí obsahovat souhlas se zpracováním osobních údajů, který uživatel musí zaškrtnout svojí iniciativou. Musíte být schopni doložit danou interakci - čas a datum + jasná informace, k čemu se souhlas vztahuje. Doporučuje se například využívat také tzv. double-opt in, nebo-li dvojité ověření, které za cenu nižší konverze odešle zákazníkovi ještě e-mail, zda se chce opravdu přihlásit k odběru daných newsletterů. Dochází tak k zamezení tomu, že by e-mailovou adresu vyplnil někdo cizí, protože musí daný odběr ještě potvrdit v rámci obdrženého e-mailu.

Registrace uživatele

Řada zákazníků, ačkoliv to nebývá zcela běžné, se může na e-shopu registrovat ještě před vytvořením objednávky, například proto, aby mohli mít svojí objednávku následně evidovanou pod svým účtem nebo, protože tím mohou získávat různé benefity. Pro nás to však znamená, že takový zákazník musí opět souhlasit se zpracováním osobních údajů, za pomocí vlastní interakce, která bude evidována. Rozdíl je v případě, že registrace je účelem uzavření již určité smlouvy, například pokud registrace je součást jejího uzavření. V takovém v případě souhlas není nutný a postačí informační povinnost.

Proces objednávky

V případě údajů, které sbíráme za účelem uzavření kupní smlouvy, je možné na e-shopu dané potvrzení spojit se souhlasem s obchodními podmínkami například formou. V takovém případě je možné spojit akceptaci o zpracování osobních údajů spojit se souhlasem s obchodními podmínkami.

V případě údajů, které nejsou bezprostředně nutné (respektive přiměřeně účelné pro vytvoření objednávky a jejího doručení), musí zde být samostatný souhlas pro zpracování i těchto dodatečných údajů. Pokud tento souhlas nebude ze strany zákazníka akceptovaný pomocí jeho interakce, nemůžeme tyto údaje evidovat, protože nejsou potřebné pro uzavření smlouvy a doručení zboží.

V případě, že je součástí posledního kroku objednávky i odběr newsletteru, dotazník spokojenosti, musí mít samostatnou možnost pro akceptaci. Obecně platí že každé zpracování údajů za odlišným účelem, rozsahu či doby, by mělo mít vlastní akceptaci konkrétních podmínek. V případě, že budeme zasílat vlastní hodnocení, je možné jej zařadit pod oprávněný zájem, ale zároveň je vhodné o tom zákazníka informovat. V případě třetí strany jako je Heureka.cz, Google Merchant či jiné portál, které mohou zasílat hodnocení, tak zde lze očekávat že v rámci GDPR budou muset tyto subjekt požádat o možnosti zaslání hodnocení například před nebo po dokončení objednávky, protože se stávající zpracovateli těchto dat pro vlastní účely.

Věrnostní kluby, soutěže, předplatné a jiné marketingové benefity

Pro zařazení do těchto skupin a jiných marketingových aktivit, je nutné míst souhlas se zpracováním osobních údajů, za pomocí nepředvyplněného potvrzení od zákazníka s možností doložit dané potvrzení. V rámci souhlasu musí být jasně opět doložen účel a dobu trvání pro zpracování těchto údajů. Opět záleží zda se jedná o smluvní vztah nebo ne. Zde záleží hodně na smluvním vztahu zákazníka ve vztahu s klientem.

Hodnocení zákazníka, vložení recenze nebo umístění komentářů

Opět zde musí být souhlas se zpracováním osobních údajů, který je nutný potvrdit za pomocí nepředvyplněné kolonky s možností evidovat datum a čas potvrzení. V daném případě většinou zákazník musí vložit jméno či e-mail. Může existovat situace, kdy komentáře bude vložen anonymně, zvláště pokud není e-mail či jméno vyžadováno, nelze však předem odhadnout, zda se takový zákazník nepodepíše přímo do obsahu recenze.

Cookies a sledování uživatele na internetu

Zde je základní rozdělení mezitím, zda jsou údaje o uživateli anonymní, nebo zda je možné je spojit s konkrétním uživatelským účtem, jménem či objednávkou. V prvním případě je potřeba návštěvníka pouze informovat například způsobem, že daný web nebo e-shop využívá pro své fungování analýzu návštěvnosti pomocí souboru cookies. K tomu není potřeba zatím souhlas. Pokud však víme, že v rámci analytiky shromažďujeme neanonymizovaná data, je potřeba, aby návštěvník daný souhlas ke sběru těchto dat potvrdil (například tlačítkem), které bude evidovat jeho souhlas. Daná problematika bude více řešená s příchodem ePrivacy.

HTTPS - SSL zabezpečený certifikát

Využití šifrované komunikace za pomocí důvěryhodného SSL certifikát je prakticky standard od cca roku 2015-2016 a pro většinu e-shopu také podmínkou pro to, aby mohli využívat systém on-line plateb. V souvislosti s GDPR se tak bude jednat o další podmínku pro každý web a e-shop, aby dané zabezpečení v rámci šifrování splňoval. Hlavním důvodem je především zabránění úniku informací během jejich vyplňování.

Aktuální a bezpečná verze redakčního systému

Minimalizovat chyby ve zdrojovém kódu samotného e-shopu nebo webu za pomocí bezpečnostních záplat a využívání aktuální verze redakčního systému, za účelem minimalizace úniku citlivých údajů. Šifrovaná hesla v rámci databáze v e-shopu.

 

Nenašli jste, co jste hledali?

Vše o GDPR pro online