Jak připravit e-shop na GDPR?

2. 5. 2018. (redaktor: František Doupal, zdroj: APEK)
Již za měsíc nabyde účinnosti jedno z nejvíce diskutovaných nařízení Evropské komise posledních měsíců – GDPR. Jsou české e-shopy na tuto novinku připraveny? A na co hlavně je třeba se před účinností nařízení zaměřit?

Nové nařízení zaměstnává podnikatele po celé Evropě. Přináší některé novinky či zdůrazňuje význam ochrany osobních údajů díky výrazně vyšším limitům pro případné pokuty při porušení stanovených pravidel. Pro řadu provozovatelů e-shopů, a to především těch středních a malých, je GDPR stále tajemným strašákem. Proto se v APEK již řadu měsíců věnujeme intenzivně poskytování informací nejen našim členům tak, aby byli podnikatelé na 25. květen 2018 co nejlépe připravení,“ uvedl výkonný ředitel APEK Jan Vetyška.

Jak se musí obchodník na GDPR připravit?

Nové nařízení přináší mimo jiné značnou povinnost seberegulace. Ta začíná již od úvodní analýzy, kterou by si měl provozovatel (nejen) e-shopu v tuto chvíli udělat. Na prvním místě je třeba si ověřit, zda má obchodník v pozici správce osobních údajů (tedy toho, kdo osobní údaje získá a spravuje), vyřešené tři hlavní vztahy:

  • Informační povinnosti k subjektům údajů (fyzické osoby, jejichž osobní údaje obchodník zpracovává) – jde o plnění informačních povinností směrem k zákazníkům (například na webové stránce e-shopu) či zaměstnancům (interní dokument, směrnice apod.).
  • Smlouvy se zpracovateli osobních údajů (zpracovateli osobních údajů jsou subjekty, které mají k osobním údajům přístup) – například to jsou účetní, dopravci, správce softwaru či poskytovatel úložiště atd.
  • Záznamy o zpracování osobních údajů – materiály, ve kterých je uvedeno, kdo a jak ve společnosti s osobními údaji nakládá, jak jsou osobní údaje zabezpečeny atd.

Základem úspěchu v přípravě na nové nařízení je, aby si obchodník dokázal nadefinovat, s jakými osobními údaji a za jakým účelem nakládá. Dále kdo k nim má přístup, a to jak v rámci společnosti, tak i externě. A na závěr je třeba se zaměřit na zabezpečení a postup pro případný únik spravovaných osobních údajů,“ doplnil Vetyška.

Na co nezapomenout směrem k zákazníkům?

Provozovatel e-shopu by měl směrem k zákazníkům v první řadě upravit informační povinnosti, jejichž splnění by mělo odpovídat požadavkům GDPR. U zpracování osobních údajů pro účely splnění kupní smlouvy stačí nakupujícího řádně informovat. Pro marketingové účely mimo komunikaci s vlastními zákazníky je nutné získat aktivní souhlas spotřebitele.

Dále by obchodník neměl zapomínat na další práva subjektů údajů (zákazníků) – právo na výmaz osobních údajů či právo na přenositelnost osobních dat.

Jak postupovat směrem k dodavatelům?

Ve vztahu k dodavatelům služeb je z pohledu obchodníka nutné opět zvážit, zda a jak dochází k předání osobních údajů zákazníků. Dochází-li totiž k jejich předávání, pak by měl mít správce údajů (obchodník) se všemi zpracovateli (poskytovateli služeb), uzavřeny příslušné smlouvy. Většina velkých společností, se kterými provozovatelé e-shopů spolupracují, mají již tyto smlouvy k dispozici.

„APEK svým členům doporučuje se vztahu s dodavateli, tedy zpracovateli osobních údajů, důkladně věnovat. Díky uzavřeným smlouvám může obchodník předejít komplikacím, ať již při případné kontrole ÚOOÚ, tak i v nepříjemné situaci úniku dat,“ doplnil Jan Vetyška.

Co musí obchodník udělat interně?

Provozovatelé e-shopů by neměli zapomínat na povinnost zhotovit záznamy o zpracování osobních údajů. Měli by mít k dispozici „interní směrnice“, ve kterých budou popsané všechny procesy včetně tzv. oprávněných zájmů související se zpracováním osobních údajů. A to jak směrem k zákazníkům, tak například i směrem k zaměstnancům. Ti by totiž také měli být informování o způsobu nakládání s jejich osobními údaji (povinnosti směrem ke státní správě či předání zpracovateli = mzdové účtárně). Zapomínat by se nemělo ani na opatření pro případ, kdy dojde k úniku osobních údajů.

GDPR přináší pro podnikatele nové povinnosti a výzvy. Oproti tradičním českým zákonům je velkou změnou povinnost samoregulace a jistá neurčitost nařízení. Jsem však přesvědčený, že provozovatelé českých e-shopů v čele s členy APEK budou na GDPR dobře připraveni,“ uzavřel Vetyška.

Štítky: 

Podobné články

GDPR: Zažíváme klid před bouří?

22. 7. 2019. (redaktor: František Doupal, zdroj: Zyxel)
Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním emailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Čtěte více

Zavedení GDPR zlepšilo informační zabezpečení firem, edukace zaměstnanců však pokulhává

28. 5. 2019. (redaktor: František Doupal, zdroj: Eset)
Před rokem vstoupilo v Evropské unii v účinnost Obecné nařízení o ochraně osobních údajů (GDPR). Nařízení přineslo jednotný právní rámec, který zajistil všem občanům EU stejnou ochranu jejich osobních a citlivých údajů. Firmy reagovaly a investovaly do zabezpečení a ochrany citlivých dat. Čtěte více

Vyšlo květnové číslo Reseller Magazinu

3. 5. 2019. (redaktor: Jakub Špaček, zdroj: DCD Publishing)
Už pro vás máme další vydání Reseller Magazinu a vzhledem k tomu, že už se blíží první výročí data účinnosti GDPR, rozhodli jsme se za tímto nařízením podstatně ohlédnout. V květnovém vydání tak najdete hned několik článků na toto téma. Samozřejmě jsme však nezapomněli ani na aktuální dění ve světě IT. Čtěte více

Vánoce vrátily množství marketingových sdělení do stavu před GDPR

29. 3. 2019. (redaktor: František Doupal, zdroj: SmartEmailing)
Podle některých znamenalo datum 25. května 2018, tedy nástup GDPR, konec e-mail marketingu. Aktuální čísla ale ukazují, že nové nařízení mělo vliv zejména na čistotu databází, na něž komerční sdělení obchodníci posílají. Množství odesílaných e-mailů je přitom po deseti měsících jeho platnosti již zpět na loňské úrovni. Čtěte více