Menu

GDPR a e-shopy: 14 nejčastějších dotazů a odpovědí

Máte e-shop a připravujete se na GDPR? Tady je 14 nejčastějších dotazů a odpovědí.

1. Pokud sbírám e-maily, například pro registraci do soutěže, je to nutný údaj a musí být zadán, ale na tento e-mail nemůžu poslat jiný e-mail související s něčím jiným než soutěží? Navíc po ukončení soutěže je nutné tyto e-maily smazat?

Ano, pokud vám zákazník neposkytne e-mail zároveň pro soutěž a pro jiný účel zpracování. Souhlas musí být udělen samostatně a výslovně, například zaškrtnutím políčka, pro každý účel zvlášť.

2. Pokud nabízím e-book za e-mail, musí návštěvník stránky aktivně zaškrtnout, že chce dostávat informační e-maily, nebo vše, co vede k prodeji, musí mít označení obchodní sdělení?

Souhlas musí být udělen svobodně, není možné ho podmiňovat neposkytnutím služby nebo produktu. Pokud získáte e-mail zákazníka poskytnutím e-booku, tak to rozhodně neznamená, že mu můžete automaticky zasílat další obchodní sdělení v podobě newsletteru nebo jiných nabídek. K takovým aktivitám budete potřebovat jeho souhlas.

3. Pokud mám e-mailovou databázi z dřívějších let, musím zákazníky znovu obeslat s dotazem, kdo chce dostávat obchodní sdělení? Jak to co nejefektivněji nazvat?

V případě vašich současných zákazníků nemusíte o souhlas k zasílání marketingových zpráv znovu žádat, protože na jejich zasílání máte podle GDPR tzv. oprávněný zájem. Nicméně musíte zákazníkům umožnit se ze zasílání těchto zpráv vždy odhlásit. V případě souhlasu udělenému za jiným účelem musíte zabezpečit, že odpovídá kritériím souhlasu dle článku 7 GDPR, tj. musí být konkrétní, informovaný, poskytnutý nepodmíněně a jednoznačně. Nesmí být například součástí obchodních podmínek. V opačném případě, nemůžete-li zpracovávat na základě jiného titulu, je třeba souhlas získat znovu způsobem, který bude v souladu s GDPR.

4. Pokud využívám e-mailový nástroj (zpracovatel) mimo EU, co musím zajistit pro jeho používání? Pokud je tato firma v EU (zpracovatel), ale jejich servery mimo EU, musím to řešit jinak než v prvním případě?

Se zpracovatelem máte povinnost mít uzavřenou smlouvu o zpracování osobních údajů. Je naprosto nepodstatné, kde firma sídlí nebo kde se nachází její organizační složka. Je však vaší povinností zajistit, že tento zpracovatel uvedl svoje podnikání do souladu s GDPR. Vy jste plně odpovědni za výběr vhodného partnera, se kterým sdílíte osobní údaje vašich zákazníků, a proto je plně ve vaší kompetenci dohlédnout nad tím, že dodržuje povinnosti stanovené GDPR.

5. Pokud firmy využívají Google Analytics, je to problém? Co by měly splnit?

Vzhledem k tomu, že prostřednictvím nástroje Google Analytics dochází k profilování osob, tak k jeho využití budete potřebovat předchozí souhlas svých zákazníků. Společnost Google za tímto účelem vydala několik oznámení, ve kterých podrobně informuje svoje klienty o podmínkách používání svých nástrojů a služeb. Nicméně je povinností každého e-shopu o používání služeb třetích stran řádně informovat na svých webových stránkách. Nástroje, které slouží k profilování zákazníků, vyžadují před samotným spuštěním služby souhlas s jejich použitím.

6. Pokud v rámci služby využívám User-ID, které označuje konkrétního člověka v analýze, je to problém? Musím to přestat používat?

ID je osobním údajem. K jeho využívání potřebujete souhlas, pokud primárně neslouží ke zpracování osobních údajů za účelem plnění smlouvy nebo zákonné povinnosti. Pokud chcete ID využít například k profilování zákazníka, tak souhlas bude třeba.

7. Pokud využívám remarketing v systémech Google Adwords, Sklik, Facebook Ads, co musím na stránkách uvádět pro návštěvníky?

S ukládáním tzv. cookies, která nezasahují do soukromí osob nebo neslouží k profilování zákazníka, nebude třeba souhlasu (například ukládání zboží do košíku nebo počítání návštěvníků webu). V opačném případě bude nutné před samotným uložením cookie požádat návštěvníka o jeho souhlas, který musíte evidovat. Do problematiky tzv. cookies výrazným způsobem zasáhne ePrivacy nařízení, které stále nebylo schváleno, a jeho účinnost nastane později, než je tomu u GDPR. Na vašich webových stránkách musíte prostřednictvím Zásad o ochraně osobních údajů splnit vůči zákazníkům informační povinnost, že využíváte cookies, k jakému účelu a co všechno se jejich pomocí ukládá jako osobní údaje. K samotnému marketingu a zasílání marketingových nabídek jsme napsali tento článek.

8. Pokud mám krabicovou verzi e-shopu, co všechno musím zajistit? Stačí mi smlouva s poskytovatelem tohoto řešení?

Jako správce osobních údajů jste za osobní údaje a jejich zpracování odpovědný vy a této odpovědnosti se nemůžete zprostit. Nicméně si vzájemné povinnosti s poskytovatelem tzv. krabicového řešení, který pro vás bude z pohledu GDPR zpracovatelem, musíte ukotvit ve zpracovatelské smlouvě.

9. Kdybych firmu přestěhoval mimo EU, pomohlo by mi to v něčem?

Ne. GDPR chrání data rezidentů EU (bydlících nebo sídlících v EU), ať jsou zpracovávána kýmkoliv a kdekoliv. To znamená, že je musí dodržovat i e-shopy, které mají sídlo mimo EU, ale prodávají do EU.

10. Pokud zákazník zažádá o vymazání z databáze, nemůžu ho vymazat do 10 let z databáze zákazníků, ale musím ho vymazat z databáze sloužící k rozesílání ostatních e-mailů?

Musíte vymazat všechny osobní údaje, ke kterým pominul důvod a účel zpracování, tj. nemáte již zákonnou povinnost data archivovat, například podle zákona o účetnictví, nebo pokud vám nesvědčí oprávněný zájem, například uplynula promlčecí lhůta k vymáhání pohledávek nebo možného soudního sporu se zákazníkem. Pokud se zákazník odhlásil ze zasílání newsletterů, tak jste povinni jeho e-mail vymazat okamžitě. O výmazu musíte vést časový záznam, kdy k němu došlo, a osobní údaje o souhlas opřené musí být vymazány.

11. Které osobní údaje provozovatel e-shopu potřebuje, a které naopak nepotřebuje?

To bude dost individuální, obecně lze říci, že potřebuje „kontaktní“ údaje – jméno, příjmení, adresu pro zaslání zboží. Ostatní může požadovat pouze „nepovinně“.

12. Je přesně definováno, co má obsahovat dokument se zpracováním osobních údajů?

Máte-li na mysli „Záznamy o činnostech zpracování“, pak náležitosti konkrétně upravuje čl. 30 GDPR (jméno a konkrétní údaje správce a zpracovatele, včetně jména DPO, pokud je jmenovaný, účely zpracování, popis kategorií subjektů údajů, kategorií osobních údajů, kategorií příjemců, informace o mezinárodním předávání osobních údajů, lhůty pro výmaz, popis technických a organizačních opatření na ochranu osobních údajů). Pokud máte na mysli „Zásady ochrany osobních údajů“, které musí mít každý e-shop uveřejněny na svých webových stránkách, tak i tento dokument má své povinné náležitosti. Vzor obou dokumentů nabízíme k zakoupení na našich webových stránkách.

13. Jaká je role ÚOOÚ v GDPR?

ÚOOÚ je českým dozorovým orgánem. Kontroluje dodržování a ukládá sankce za porušení právních předpisů na ochranu osobních údajů.

14. Je HTTPS povinné?

Není, nebo alespoň ne pro všechny. Povinná jsou technická opatření přiměřená rozsahu zpracovávaných dat a riziku, které při nich vzniká pro soukromí subjektů údajů.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři