Obecné Nařízení Evropského parlamentu a Rady EU v anglickém originále General Data Protection Regulation (zkráceně GDPR), je nařízení na ochranu fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů.
Nařízení je platné od 25. května 2018 ve všech zemích Evropské Unie a dále v Norsku, Lichtejnštejnsku a na Islandu.
Osobní údajem se v rámci GDPR rozumí každý údaj, který slouží k identifikaci osoby. Mezi osobní údaje řadíme například jméno, datum narození, věk, adresu, nebo fotografii. K citlivým údajům, na jejichž ochranu klade nařízení GDPR velký důraz, patří například údaje genetické a biometrické.
Mezi osobní údaje se řádí také takzvané organizační údaje, které zahrnují telefonní číslo, email a všechny údaje vydané státem.
V běžné praxi není mezi nařízením a zákonem žádný rozdíl, oboje stanovuje adresátům jejich práva a povinnosti. V tomto případě je jediným rozdílem mezi nimi tzv. Preambule obsahující recitály (tedy texty, které čtenáři vysvětlují důvod vzniku některých částí, nebo je blíže specifikují).
Jedním z nejčastějších důvodů pokut je právě porušení GDPR v rámci internetových obchodů. V několika následujících odstavcích vás seznámíme s tím, jak správně vytvořit GDPR e-shop?
Internetové obchody se shromažďování a zpracovávání informací nemohou vyhnout, jak to ovšem udělat, aby bylo vše tak, jak má být?
Abyste mohli e-shop provozovat bez obav z pokuty, je dobré mít na paměti pár věcí. Jednou z těch nejdůležitějších je vědět, v jakých případech je potřeba od zákazníka dostat souhlas ke zpracování osobních údajů, a v některých případech postačí pouze kupujícího informovat, že jeho osobní údaje budou zpracovány.
Především u nákupních formulářů je poskytnutí osobních informací zásadní, pokud zákazník uvádí pouze informace, které jsou bezprostředně nutné k nákupu (jméno, příjmení, adresu, popřípadě telefonní číslo), stačí zákazníka o zpracování osobních údajů pouze viditelně informovat.
Provozovatel e-shopu může informaci o zpracování údajů zakomponovat buď přímo do nákupních formulářů, či ji vložit do obchodních podmínek.
Důležité je také, abyste zákazníkovi dali možnost vznést námitku, pro tento případ přidejte viditelnou a oddělenou sekci „poznámky“.
Souhlas zákazníka se zpracováním dat byste také měli získat v případě, že součástí vašeho e-shopu jsou i uživatelské účty.
Na co byste si měli dát pozor, je zápis nových zákazníků do newsletteru, v takovém případě potřebujete získat souhlas. Nejlepším možným řešením je vytvoření políčka checkbox na konci formuláře, kde zákazník dá jasný souhlas se zpracováním svých osobních údajů. Dobré je nechat si souhlas potvrdit v prvním emailu.
Velmi důležité je nechat zákazníkovi možnost newslettery buď rovnou odmítnout, nebo se z nich odhlásit. Pokud stejně jako mnoho jiných společností nabízíte za poskytnutí e-mailové adresy odměnu v podobě slevy, měli byste jim umožnit odhlášení z newsletteru tak, aby o slevu nepřišli.
Na začátek si položte otázku: Kdo se musí GPDR řídit? Umíte na ní odpovědět? Ne?
Jednoduše řečeno GDPR se musí řídit každá fyzická osoba, která se zabývá zpracováváním osobních údajů. To zahrnuje nejen správce dat, ale také zpracovatele, který pro správce osobní údaje zpracovává. Nařízení se tak netýká jen velkých firem, ale i menších podnikatelů.
Legitimita. Pro každého správce je důležité mít legitimní důvod ke zpracování a uchování osobních údajů. Je samozřejmé, že postupem doby se můžou tyto důvody různě proměňovat, nikdy by však neměly být příliš vzdálené původnímu účelu získání.
Srozumitelnost a transparentnost. Pokud vlastníte firmu je důležité, abyste každou fyzickou osobu informovali o tom, za jakým účelem a jakým způsobem budete zpracovávat její osobní údaje, a to nejlépe transparentně.
Minimalizace údajů. Správce by měl nejlépe vlastnit jen tolik osobních údajů, kolik jich je opravdu relevantních vzhledem k účelu. Údaje by také měly být v takové formě, aby umožnili identifikaci fyzické osoby.
Ochrana osobních údajů. Nejvíce pokut Úřad pro ochranu osobních údajů (ÚOOÚ) a Evropský sbor pro ochranu osobních údajů (EDPB) udělil právě za lehkovážné nakládání s osobními údaji (tj. nedostatečné technické a organizační zabezpečení). A dále za nedostačující opatření vůči kybernetickým útokům.
Aplikovat GDPR v praxi není snadné, pokud však dodržujete všechna výše uvedená opatření, mělo by dojít k žádnému porušení GDPR. Jestli si však stále nejste jisti, můžete si pro upřesnění přečíst další z našich článků věnující se problematice GDPR. Na škodu jistě není obrátit se ani přímo na odborníka.
