Úvod | Spolupráce | Know-How | Jak na GDPR

Jak na GDPR

GDPR v posledních týdnech a dnech před 25. květnem 2018 přerostlo v paniku, která zasáhla i mnoho z vás, našich zákazníků. Někteří jsou naprosto nepřipravení, nevědí, co to vlastně to GDPR je a jaké z něho plynou povinnosti, jiní se nechali svými „poradci“ zahnat do zbytečného předělávaní webů, smluv a získávání souhlasů od svých zákazníků. Proto jsme se rozhodli vám trochu poradit a případně nabídnout pomocnou ruku formou konzultací, v rámci možností našich znalostí.

Správce a zpracovatel osobních údajů

GDPR je obecné nařízení EU účinné od 25. května 2018, které řeší zpracování osobních údajů fyzických osob, Evropanů, a jejich ochranu. Pokud provozujete web, který zpracovává osobní údaje, např. e-shop, jste dle tohoto nařízení „správcem“ osobních údajů, např. fakturačních nebo kontaktních údajů vašich zákazníků. Zpracováním se myslí jakékoliv nakládání s osobními údaji, včetně zaznamenání nebo pouhého uložení, dle definice v bodě 2 článku 4. Osobními údaji, dle definice v bodě 1 článku 4, jsou všechny informace o osobě, kterou identifikujete nebo je někdo, např. policie, schopen identifikovat. Typicky jde o kontaktní údaje, ale třeba i historii objednávek e-shopu. Na zpracování těchto údajů používáte různé systémy, např. účetnictví nebo web, a různé dodavatele služeb, např. účetní nebo programátora, dle nařízení označované jako „zpracovatele“ osobních údajů. VIZUS je tedy zpracovatelem údajů, které pořizuje váš web. Dle článku 28 nařízení musíte mít se všemi zpracovateli osobních údajů uzavřenou písemnou smlouvu o zpracování. Pokud ji s námi ještě nemáte uzavřenou, kontaktujte nás a napravíme to. VIZUS údaje zpracovává v souladu s nařízením EU dle zveřejněných zásad.

Povinnosti provozovatele webu

Z hlediska GDPR musíte, jako správce, informovat zákazníky či uživatele, jakým způsobem zpracováváte jejich osobní údaje. Tuto povinnost definuje článek 13, případně článek 14. To lze vyřešit vytvořením stránky na webu, která bude odkazována v patičce webu, registračním nebo kontaktním formuláři. Na této stránce musíte informovat o tom, kdo jste, jaké údaje zpracováváte, např. fakturační nebo kontaktní, za jakým účelem (proč), z jakého zákonného důvodu (článek 6, odstavec 1), případně oprávněného zájmu (např. dodání zboží, analýza návštěvnosti), kdo jsou další zpracovatelé údajů, např. účetní firma nebo VIZUS, a po jakou dobu bude zpracovávání trvat. Rovněž musíte informovat o všech právech subjektů údajů, tedy vašich zákazníků či uživatelů, z pohledu GDPR, tedy např. právo na opravu údajů. Pokud je získání údajů smluvním požadavkem, např. pro doručení zboží, musíte sdělit, co se stane, pokud zákazník osobní údaje odmítne poskytnout (logicky mu pak nemůžete zboží doručit, a tedy ani prodat). VIZUS to vyřešil sepsáním Zásad ochrany dat, které zahrnují i všechny náležitosti vyžadované nařízením GDPR.

Potřebuji souhlas zákazníka?

Pokud zpracováváte něčí osobní údaje, musíte mít vždy jasno v otázce „PROČ“ osobní data potřebujete zpracovávat, tedy typicky shromažďovat. Jestliže jde o vašeho zákazníka, kterému vystavujete faktury nebo zasíláte zboží, je jasné, že ze zákona potřebujete jeho fakturační údaje a z titulu plnění smlouvy, např. dodání zboží, potřebujete doručovací adresu, případně kontaktní údaje na osobu, se kterou jednáte. V takových situacích nepotřebujete souhlas se zpracováním osobních údajů, ale musíte o zpracování informovat, jak uvádíme výše v povinnostech. Samozřejmě GDPR se v tomto příkladu netýká fakturačních údajů právnických osob, tedy firem, ale fyzických osob podnikatelů. Ve většině případů tedy zdůvodníte zpracování osobních údajů fyzické osoby zákonnou povinností (fakturační údaje živnostníka) nebo oprávněným zájmem (telefon, doručovací adresa). Souhlas zákazníka nebo uživatele je až ta poslední možnost, pokud nemáte žádný jiný „spravedlivý“ důvod pro zpracování osobních údajů. Je totiž důležité myslet na to, že váš oprávněný zájem, pokud se o něj opřete, nesmí převýšit oprávněný zájem dané osoby. Pro získání rodného čísla v e-shopu tedy budete zcela jistě potřebovat souhlas. Naopak newsletter vašemu zákazníkovi zasílat můžete, z pohledu GDPR, i bez souhlasu, jelikož jde o přímý marketing, což je váš oprávněný zájem. Je ale třeba mít od zákazníka souhlas se zasíláním obchodních sdělení dle zákona 480/2004 Sb. To však s GDPR nesouvisí a tato povinnost tu byla už dříve.

Co musím změnit na webu?

Pro splnění nařízení GDPR není potřeba web nijak zvlášť upravovat a stačí jen doplnit informace, které jste povinni sdělovat, jak uvádíme výše v povinnostech. Samozřejmě GDPR není jen o webu, ale o celé vaší organizaci, jelikož spravujete osobní údaje zaměstnanců, dodavatelů či externistů. GDPR je hlavně o přístupu k problematice zpracování osobních údajů. Ideální je začít analýzou toho, jaké osobní údaje zpracováváte, kam je ukládáte, kdo k nim má přístup, komu je předáváte, jak je archivujete a likvidujete. Web bude jen malou částí v této analýze.

Cookies a Google nástroje

Kromě GDPR se v posledních týdnech před účinností GDPR řeší i problematika cookies a podmínek Google nástrojů, jako je Analytics nebo AdWords, včetně remarketingu. Náš názor je, že stačí na webu vytvořit informační stránku, kde popíšete, jaké cookies a nástroje třetích stran web používá. Často je potřeba uvést i odkaz na smluvní podmínky těchto nástrojů. S tím vám můžeme pomoci. Žádná vyskakovací lišta se souhlasem není potřeba. Tento názor sdílí i Úřad pro ochranu osobních údajů, jak uvedl ve svém shrnutí, tedy 12. odstavci doporučení, byť v době vydání tohoto článku, ještě ve fázi návrhu. Naproti tomu Google nástroje teď často mění své provozní podmínky a nyní (24. 5. 2017) není zcela jasné, zda, v jakých případech, případně v jaké podobě, je potřeba mít souhlas návštěvníka webu při použití některých Google služeb a nástrojů. Pokud zjistíme konkrétnější informace, doplníme je do tohoto článku.

Stále si s GDPR nevíte si rady?

Pokud si nejste jisti, jak zařídit, aby byl váš web, nebo vaše firma, v „souladu s GDPR“, nabízíme vám placenou osobní konzultaci. Za poslední měsíce jsme načerpali hodně znalostí i zkušeností, a myslíme, že máme co nabídnout. Preferujeme minimalistické řešení GDPR, které bude splňovat všechny požadavky nařízení, ale zároveň vás nebude časově a finančně likvidovat. V případě zájmu o konzultaci nás, prosím, kontaktujte.

Pár doporučení na závěr

• Nebojte se výše pokut, kterými kdekdo straší!
  
• Čerpejte ze solidních zdrojů, nařízení si přečtěte
• Desatero omylů - také stojí za pozornost