Projděte s lehkostí právními předpisy. Tentokrát se podíváme na potřebné úpravy na webu před GDPR. Máme pro vás užitečné rady o formulářích, registračním a objednávkovém procesu a spoustu dalších informací.
Na začátek trocha teorie
V minulém článku jsme si řekli, jak sbírat e-mailové kontakty podle GDPR. Předtím, než probereme potřebné úpravy na webu, je potřeba si ujasnit základní pojmy spojené s GDPR:
Subjekt údajů
Fyzická osoba (nikoli právnická), ke které se osobní údaje vztahují. Subjektem údajů je člověk, kterému posíláte newsletter, který se registruje na váš web nebo zadává objednávku. Jednoduše kdokoli, kdo vám poskytne své osobní údaje.
Osobní údaje
Jsou to veškeré informace, které se vztahují k subjektu údajů: jméno, příjmení, adresa, fotografie, e-mailová a IP adresa atd. Za osobní citlivé údaje se považuje také vyznání, barva pleti, diagnóza, sexuální orientace apod.
Správce
Klíčová osoba, která určuje účel a prostředky zpracování osobních údajů. Správcem jste tedy vy.
Zpracovatel
Třetí strana, která podle pověření správce zpracovává osobní údaje. Zpracovatelem jsme třeba my, když se staráme o váš e-mailing a máme přístup k osobním údajům o vašich zákaznících.
Pověřenec (Data Protection Officer – DPO)
DPO je takový ajťák a právník dohromady. Jeho hlavním úkolem je kontrola, jestli je zpracování osobních údajů v souladu s GDPR. Jmenujete ho vy jakožto správce. Přečtěte si více informací o tom, kdy je potřeba jmenovat DPO.
Nová práva subjektu údajů
Právo na přístup
Každý, o kom si vedete informace, má právo do nich vidět. Jaké osobní údaje, za jakým účelem, po jakou dobu se zpracovávají a kdo všechno k nim má přístup.
Právo na opravu
Pokud má subjekt podezření na nesprávnost svých osobních údajů, musíte zajistit jejich opravu.
Právo na výmaz
Subjekt vás může i požádat, abyste jeho osobní údaje vymazali úplně. Jedná se především o situace, kdy už pominul účel nebo souhlas s jejich zpracováním (nebo je toto zpracování ilegální).
Právo na přenositelnost
Subjekt vás může o své osobní údaje požádat a vy mu je musíte předat ve strukturovaném a běžně používaném formátu. Subjekt může také žádat, aby správce údaje předal přímo jinému správci. Například když budete chtít přenést data ze Spotify na Apple Music, tak Spotify musí poskytnout strukturovaná data k přenosu. Jedná se tedy o technicky složitější problém, na který se musíte připravit.
Další práva
- Právo podat stížnost.
- Právo na omezení zpracování.
- Právo vznést námitku.
Ke zpracování údajů potřebujete důvod
Účel zpracování osobních údajů se musí opírat o některý právní titul:
- Nezbytnost pro splnění smlouvy.
- Nezbytnost pro splnění právní povinnosti.
- Ochrana životně důležitých zájmů.
- Veřejný zájem, výkon veřejné moci.
- Souhlas.
- A nově také oprávněný zájem správce.
Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Nesmí být součástí VOP a předškrtnutý check-box vám také nepomůže.
Připravte svůj web
Teď to nejdůležitější. Připravte na GDPR váš web. Jako první krok rozhodně doporučujeme kontrolu vašich obchodních podmínek právníkem, který řekne, jestli jsou podle regulí GDPR. 
Uzavřete zpracovatelskou smlouvu
Pokud pro zpracování osobních údajů chcete využít zpracovatele (reklamní agenturu, mailingový nástroj apod.), musíte uzavřít zpracovatelskou smlouvu. Jde dohledat ke stažení a uzavírá se zpravidla online. Kromě obvyklých údajů musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.
Vyhotovte dokument pro ochranu osobních údajů
Zpracovali jsme pro vás vzor dokumentu pro ochranu osobních údajů. Identifikujete v něm správce, zpracovatele, osobní údaje (i na jak dlouho a za jakým účelem je budete využívat) a práva subjektu údajů. Případně v něm popíšete, kdo všechno má přístup k osobním údajům. Tento dokument vložte na svůj web, budete na něj často odkazovat.
Zkontrolujte potřebné úpravy na webu
Projděte si celý web a uvědomte si, kde sbíráte a jak zpracováváte osobní údaje. Nejčastější chybou jsou předškrtnuté checkboxy se souhlasem. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Pojďme se podívat na jednotlivé části webu:
Přihlášení k newsletteru
Kontakt, který získáme, pravděpodobně není zákazník a musíme si od něj vyžádat souhlas.
Nastavte si double opt-in, až po udělení souhlasu z ověřovacího e-mailu se kontakt zapíše do databáze. V tomto e-mailu navíc splníte informační povinnost. Bude obsahovat identifikaci správce, zpracovatele, jaké osobní údaje se zpracovávají, na jak dlouho, za jakým účelem a jaká jsou práva subjektu údajů. Stejné informace budou popsány i na stránce o ochraně osobních údajů. Díky double opt-inu si můžete být jisti, že e-mailová adresa, kterou kontakt zadal do formuláře, je správná. Další variantou může být varianta s checkboxem, kterou využijte pokud nemůžete zajistit double opt-in.
Pozor! Pokud osobní údaje plánujete předávat třetí straně, je nutný další oddělený souhlas!
Kontaktní formulář
Na webu určitě máte klasický kontaktní formulář, který zpracovává jméno, příjmení, e-mail a dotaz. I v tomto případě musíte tazatele informovat o způsobu zpracování osobních údajů. Do formuláře tedy přidáme odkaz na externí stránku Ochrana osobních údajů. Údaje zpracováváte za účelem odpovědi na dotaz a nepotřebujete žádný souhlas. Podmínkou je, že poskytnuté osobní údaje můžete použít pouze k odpovědi na dotaz. Kontakt nemůžete automaticky zařadit do databáze. K tomu byste potřebovali souhlas se zařazením kontaktu do přímého marketingu (další checkbox se souhlasem a odkazem na stránku o ochraně osobních údajů).
Registrace na webu
U registrace musí být odkaz na zpracování osobních údajů a pokud chcete kontakt využít i pro účely přímého marketingu (newslettery), tak do registračního formuláře přidejte checkbox pro získání souhlasu k e-mailingu. Ale pozor, tento checkbox nesmí být povinný. Registrační proces by měl opět projít procesem double opt-in kvůli ověření adresy.
Registruje se nezákazník, který pravděpodobně brzy provede objednávku. V době registrace ale ještě nemůžete uplatnit zákaznickou výjimku k zasílání obchodních sdělení, potřebujete souhlas.
Objednávka
Po dokončení objednávky se z registrovaného kontaktu stává zákazník a můžete uplatnit zákaznickou výjimku. Co to pro vás z hlediska e-mailingu znamená? Nepotřebujete souhlas k zasílání obchodních sdělení. Musíte ale zákazníka informovat a umožnit mu jednoduché odhlášení. Jako řešení můžete na děkovnou stránku umístit sdělení o odesílání obchodních sdělení (opět s odkazem na stránku ochranou osobních údajů). Případně nastavte automatický e-mail, který se odešle po objednávce a kde budete informovat, proč chcete zákazníkovi zasílat newslettery. V případě zákazníka využijete právní titul oprávněný zájem správce. To znamená, že předpokládáte zájem zákazníka o další nabídku vašich produktů a služeb. Od zákazníka není nutný souhlas k odesílání obchodních sdělení, lze zde uplatnit zákaznickou výjimku a využít zmíněný právní titul oprávněný zájem správce.
Vyhněte se problémům spojeným s implementací GDPR
Stále nevíte, jak si s GDPR poradit? Máte nějaký dotaz? Napište mi na e-mail lubos.segeta@proficio.cz. A nestrachujte se, uděluji vám souhlas mi napsat ;) V PROFICIU spolupracujeme při řešení nařízení GDPR s advokátní kanceláří KROUPAHELÁN, která pro vás může vypracovat kompletní GDPR audit a vyhotovit povinnou dokumentaci. Nebudou vám tak hrozit sankce ze strany Úřadu pro ochranu osobních údajů. Nečekejte a napište si rovnou o bezplatnou prezentaci hlavních změn a doporučeného plánu.
