GDPR pro eshopy – co a jak

Kuchařka krok za krokem, co je na eshopu potřeba zajistit v souvislosti s GDPR.

Tento článek se nezabývá GDPR pro celou firmu. Je pouze souhrnem hlavních opatření, která před spuštěním GDPR musí udělat eshop.

HTTPS

GDPR mluví o šifrování, pro eshop to znamená zavést HTTPS protokol pro administraci i pro veřejnou část eshopu.

Svého technického správce eshopu požádejte o nasazení certifikátů, které https umožní, a úpravu URL adres uvnitř eshopu. RELIGIS používá certifikáty od ssls.cz https://www.ssls.cz/certifikat/spacessl.html, které pro jednu doménu stojí cca 500Kč/rok.

Formuláře vždy se souhlasem

Každý formulář musí obsahovat nezaškrtnuté zatržítko, jehož zatržením je projeven souhlas se zpracováním osobních údajů. Když není zaškrtnut, nelze formulář odeslat.

U zatržítka je odkaz na vysvětlení, jak bude s jeho údaji zacházeno. Nejlépe na stránku eshopu /gdpr.

Např.: „Souhlasím se zpracováním svých osobních údajů (odkaz: podrobnosti o zpracování osobních údajů)“

Emaily se souhlasem, potvrzeným

Procesní emaily k vyřizování objednávek lze posílat (potvrzení přijetí objednávky, info o expedici, atp.) zákazníkovi bez zvláštního souhlasu, jsou totiž nutné k hlavní činnosti eshopu (vyřízení objednávky). Tyto emaily nesmí obsahovat reklamu.

Netransakční emaily (reklama, newsletter) lze posílat jen, pokud to uživatel vyjádřil zaškrtnutím nezaškrtnutého zatržítka. Je potřeba si uložit datum, čas a IP adresu, ze které k zatržení došlo.

Následně, ještě před prvním reklamním emailem, je potřeba odeslat procesní email s vysvětlením a odkazem ke kliknutí. Kliknutím na něj je potřeba si uložit datum, čas a IP adresu, ze které ke kliknutí došlo.

Tím je ověřeno, že se k odběru přihlásil majitel dané emailové adresy.

Autorizace uživatele k poskytnutí údajů a jejich úpravám

V praxi uživatel je již přihlášen a tím má přístup k sekci se svými osobními údaji. Nebo přihlášen není (eshop to nemusí umožnit), zadá svůj email, eshop pošle email na zadanou adresu, který obsahuje odkaz. Kliknutím na odkaz je autorizace dostatečná a uživateli se zobrazí sekce s jeho osobními údaji.

Odkaz musí být dostatečně složitý, ideálně platný jen pár minut, měl by se při opakované žádosti měnit.

Přístup k osobním údajům

Eshop je povinen poskytnout komukoliv všechny údaje, které o něm uchovává. Klidně i někomu, kdo u vás nikdy nic nekoupil, může o údaje požádat a vy mu musíte odpovědět, že o něm neskladujete nic. Lhůtu máte jeden měsíc, první žádost musí být zdarma, další neoprávněné žádosti je možné zpoplatnit.

Za osobní údaje na eshopu se považují

  • kontaktní,
  • platební
  • fakturační a
  • dodací údaje,
  • všechny objednávky,
  • informace o přihlášení k odběru emailů
  • cookies
  • předvolby (např. výchozí doprava, pokud si ji může uživatel měnit)
  • v případě chytrých eshopů taky preference uživatele, jako je oblíbené zboží, často nakupované zboží, personalizační data/skóre, atp.

Možnost být zapomenut

Uživatel má právo být zapomenut, pokud to nebrání eshopu ve výkonu jeho hlavní funkce.

Takže se může odhlásit z mailingu, může změnit své kontaktní, platební, fakturační, dodací údaje, atp., ale nesmí změnit ani smazat své objednávky u vás, které musíte uchovávat z daňových či jiných evidenčních důvodů (nutí vás uchovávat finanční úřad, celní úřad, soudy, policie, atp.)

Stejně tak nesmí měnit/mazat jiné údaje, které uchováváte z důvodů státní moci (soudy, policie, atp.)

Být informován

Musí existovat stránka, nejlépe na eshopu /gdpr, kde informujete o všech typech údajů, které uchováváte. Jak dlouho je uchováváte, jak je skladujete technicky, jak si je mohou prohlédnout, že je mohou smazat a které a kdy, kontakt na osobu, která je za správu jejich údajů zodpovědná, komu data poskytujete, k čemu a jak je to zajištěno technicky.

Typicky data spravujete vy, váš technický správce eshopu, vaše marketingová agentura, online nástroje, které používáte pro provoz eshopu. S každým z těchto subjektů je potřeba mít papír s jasnou definicí která data, jak a proč tečou, jak jsou kde zabezpečená.

Zaměstnanci

Pokud u kontaktů, produktů, v článcích máte fotky zaměstnanců, což zvedá konverze a to je fajn, musíte mít od každého zaměstnance papír se souhlasem o zveřejnění jeho fotky a popis konkrétního místa, kde ta fotka bude.

Pokud zaměstnanci zákazníkům radí, nesete za jejich případné chybné rady zodpovědnost, protože je zákazník právem pokládá za odborníky. Proto vysvětlete, že když si zaměstnanci nejsou jisti, ať to zákazníkovi řeknou. „Pohádkáři“ by vás vyšli draho. Týká se to i dopravy, takže se začnou používat věty typu „podle informací od přepravce pro vás budeme mít zboží pozítří v jednu“ – a jste z obliga. Ale když dodání slíbíte a nedodáte, mohou jít případné náklady spojené s nedodržením za vámi.

Proto je dobré firemní telefony začít nahrávat.

Proškolte zaměstnance je to povinné

S každým zaměstnancem mějte podepsaný papír o tom, že byl proškolen v GDPR. Ideálně s popisem směrnice, podle které má s osobními údaji zacházet.

Poděkování zákazníků

Pokud vám nechávají reference, a zveřejňujete jejich jméno, je to osobní údaj a je potřeba to mít od zákazníka odsouhlaseno.

Závěr

Zodpovědnost za správně nasazení a dodržování pravidel GDPR nesete vy. Tento článek jsem sepsal jako neprávník, jako inspiraci pro vás, naše zákazníky, o jejichž eshopy se staráme 16 let (2001).