Od května 2018 začne platit nové evropské nařízení General Data Protection Regulation(GDPR), tedy Obecné nařízení na ochranu osobních údajů, které se týká mimo jiné i všech provozovatelů e-shopů či jiných internetových služeb, u kterých se zákazník registruje svými osobními údaji. Jde o další krok, navazující na nedávnou evropskou regulaci cookies, který si stanovuje za cíl lépe ochránit spotřebitele.
Jaké nové povinnosti vznikají provozovatelům e-shopů a webů? Co se dá udělat už teď?
Evropská unie tuto novou regulaci zdůvodňuje tak, že po spotřebitelích jsou nyní často vyžadovány velmi detailní osobní údaje a provozovatelé internetových služeb s těmito údaji pak nakládají prakticky podle své vůle (po spotřebiteli je vyžadován jen obecný souhlas se zpracováním jeho dat) a často je i sdílejí nebo přeprodávají dalším subjektům.
Co budou muset udělat e-shopy
Pro provozovatele e-shopů a webových služeb bude nová evropská regulace, která ale zatím nebyla přenesena do české legislativy a nelze tedy ještě do všech detailů hovořit o způsobu jejího naplnění v našem prostředí, znamenat především nutnost získání nových souhlasů zákazníků se zpracováním jejich osobních údajů a pak také daleko větší důraz na bezpečné uchovávání získaných dat.
Čtěte také: GDPR: Nový strašák pro firmy. Nařízení shrnuje právník
Souhlas bude nutné vyžadovat na několika úrovních – nejen při získávání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje), ale například také při jejich předání partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi. Souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby (pokud to není zcela nezbytně nutné). Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést. Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.
Provozovatelé e-shopů a internetových služeb ponesou s nástupem GDPR také daleko větší zodpovědnost za data, která budou na základě souhlasu zákazníků uchovávat. Tato data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí ustanovit osobu, která bude za bezpečné uchování dat přímo odpovědná (může jí ale být třeba i přímo majitel e-shopu).
Je čas ptát se poskytovatele obchodní platformy
Po nařízení o cookies a zavedení elektronické evidence tržeb je GDPR další zásadní změnou v životě českých internetových obchodníků a provozovatelů webových služeb. Největší internetoví obchodníci se na nástup GDPR jistě již připravují, ale jelikož v České republice působí (podle analýzy srovnávače cen Heureka.cz) více než 36 000 e-shopů, lze očekávat, že ne všichni jejich provozovatelé jsou si svých nových povinností vědomi. GDPR se navíc týká i všech internetových služeb, které při registraci nových zákazníků rovněž požadují řadu osobních údajů.
Je čas ptát se poskytovatele obchodní platformy
Po nařízení o cookies a zavedení elektronické evidence tržeb je GDPR další zásadní změnou v životě českých internetových obchodníků a provozovatelů webových služeb. Největší internetoví obchodníci se na nástup GDPR jistě již připravují, ale jelikož v České republice působí (podle analýzy srovnávače cen Heureka.cz) více než 36 000 e-shopů, lze očekávat, že ne všichni jejich provozovatelé jsou si svých nových povinností vědomi. GDPR se navíc týká i všech internetových služeb, které při registraci nových zákazníků rovněž požadují řadu osobních údajů.
Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. V tom případě je již nyní na čase pokládat tomuto poskytovateli dotazy ohledně připravenosti jeho řešení na zavedení regulace GDPR.
Mezi důležité otázky, na které je třeba hledat odpověď, patří především:
- Jaká data o zákaznících jsou v rámci obchodního řešení ukládána?
- Jak je s těmito daty nakládáno – především kde se fyzicky nacházejí a kdo k nim má přístup?
- Jak jsou osobní data zákazníků zabezpečena (fyzické zabezpečení, šifrování atd.)?
- Jsou data sdílena s nějakými dalšími subjekty?
- Jaká data o našich zákaznících opravdu potřebujeme a jaké souhlasy si budeme muset vyžádat.
Jakkoli mohou zatím publikované informace o GDPR znít pro provozovatele e-shopů nepříjemně, pravděpodobně bude možné nové podmínky zpracování osobních údajů zákazníků splnit s přijatelnými náklady. Důležité bude především nastavit správný systém získávání souhlasů a mechanismy zabezpečení získaných dat. Obchodníci by měli hledat pomoc u provozovatele své obchodní platformy nebo si zvolit takového poskytovatele, který bude na GDPR připraven včas.
Povinnosti vyplývající z GDPR.
Práva na přístup ke svým osobním údajům.
Každou firmu můžete požádat o předložení všech údajů, které o Vás vlastní a musejí Vám v co nejkratší době vyhovět.
Právo na opravu údajů o Vás
Právo na výmaz všech informací, které o Vás firma vlastní. Jde o nejdůležitější právo – nyní už neexistuje, aby to nějaká firma nesplnila, musí předložit protokol o výmazu.
Právo být zapomenut
Všeobecné právo pro všechny osobní údaje
Právo na omezení zpracování
Každý údaj, který po Vás firma chce, ať už přes webové stránky, nebo na papíře, musí být jasně ohraničen – na jak dlouho chtějí tento údaj, k jakým účelům ho použijí a co se stane, až tato lhůta vyprší.
Přenositelnost údajů
Vaše údaje jsou jen Vaše. Nezávislé na nabídce firem a ničím nepodmíněné.
Právo vznést námitku
Pokud se Vám nelíbí, které pdaje si firma ponechává a z jakých důvodů, tato regule Vám dává právo řešit to právně – a to s jistotou, že Vás někdo uslyší.
Pár příkladů z praxe
E-book podle GDPR
Pokud nabízíte e-book “zdarma“, měl by být opravdu zdarma. Na co požadujete email? Nechystáte se náhodou posílat obchodní sdělení? Tento e-book zdarma musíte vydat bez podmíněné výměny osobních údajů. Můžu k Vám domů přijít s flash diskem a chtít ho po Vás nahrát – zdarma. Vy máte povinnost mi ho dát.
Soutěž o výhru podle GDPR
Pokud děláte soutěž na webu, nesmí být podmíněna sběrem emailů k zasílání obchodních nabídek. Musíte mít zpracované procesy na to, jaké údaje chcete, proč je chcete, jestli jich není zbytečně hodně, na jakou dobu je potřebujete a co se stane po uplynutí této lhůty.