GDPR

  • GDPR

Poslední aktualizace: 26. 4. 2018

Obecné nařízení o ochraně osobních údajů účinné od 25. 5. 2018

Text Nařízení v češtině (pouze pro odvážné): https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS

Na základě dostupných informací, konzultací, odborných školení a našeho nejlepšího svědomí jsme pro vás připravili článek shrnující informace a kroky, které byste si měli projít, abyste byli na Nařízení připraveni. Mějte, prosím, na paměti, že tento seznam nemusí být výčtem kompletních povinností obchodníka (správce osobních údajů), jedná se pouze o úpravy, které vám doporučujeme provést na vašem webu (týká-li se ho Nařízení) / e-shopu a oblasti, o kterých vás považujeme za vhodné informovat. Prováděné kroky vám však doporučujeme konzultovat s právním zástupcem.

Plán a průběh implementace chystaných změn v řešení e-shopů a webů z naší strany naleznete v článku GDPR roadmap.

Připravte se ve firmě

Ačkoli změny na e-shopech a webových stránkách jsou důležité, četné kroky vás pravděpodobně čekají i u vás ve firmě.

Eliminujte riziko úniku dat

  • Zbavte se dat, která nevyužíváte, nepotřebujete, získali jste je dávno nebo byste je mít neměli (nakoupené seznamy e-mailů,...).
  • Zabezpečte fyzicky uchovávaná data – faktury, smlouvy a další dokumenty obsahující osobní údaje je třeba chránit před únikem a možným zneužitím. Proto byste je měli mít vždy alespoň pod zámkem.
  • Zabezpečte elektronická zařízení, pomocí kterých je možné se k osobním údajům dostat. Mobilní telefony a počítače by tak měly být chráněny heslem a šifrovány.
  • V případě, že by došlo k úniku osobních údajů, je třeba nahlásit tuto skutečnost Úřadu pro ochranu osobních údajů do 72 hodin od zjištění.

Smlouvy se zaměstnanci a zpracovatelské smlouvy

  • Se zaměstnanci, kteří mají přístup k osobním údajům, je třeba uzavřít dodatky ke smlouvám. Nezapomeňte, že se nejedná jen o paní účetní, ale například i o zaměstnance, kteří s fakturou v ruce připravují balíčky na expedici nebo pracovníky úklidu, kteří mohou mít přístup do místností, kde jsou skladovány výše zmiňované šanony s dokumenty.
  • S třetími stranami, které na základě vašeho pověření pracují s osobními údaji, které jim poskytujete, takzvanými zpracovateli, je třeba uzavřít zpracovatelské smlouvy, které vás chrání v případě, že zpracovatel udělá nějaký průšvih. Návrh takové smlouvy od nás obdržíte v následujících týdnech. 

Dokumentace práce s osobními údaji

  • Udělejte si přehled v tom, jaké osobní údaje máte, na co je potřebujete, kde je schraňujete, kdo k nim má u vás v organizaci přístup.
  • Připravte si dokument shrnující také to, komu osobní údaje předáváte. V minimální verzi by to mohla být například tabulka obsahující sloupce: Firma (zpracovatel), Typ údajů, Účel zpracování, Od-do a můžete doplnit zpracovatelskou smlouvou.

Změny týkající se e-shopů a webů

Jak zjistím, zda je můj web nebo e-shop připraven na GDPR?

Mělo by být splněno následující:

  1. Souhlas se zpracováním osobních údajů není součástí obchodních podmínek.
  2. Souhlas se zpracováním osobních údajů není součástí smlouvy se subjektem údajů (zákazníkem) tak, aby subjekt údajů měl možnost například objednat zboží, aniž by musel souhlasit se zpracováním osobních údajů pro marketingové účely.
  3. Souhlas se zpracováním osobních údajů udělený subjektem údajů (zákazníkem) je svobodný, subjekt údajů sám a dobrovolně rozhoduje o tom, zda jeho osobní údaje budou zpracovány.
  4. V čase získávání osobních údajů na základě souhlasu dostatečně informujete subjekty údajů (zákazníky) o tom, jak budou jejich údaje zpracovány a na jak dlouho uchovány.
  5. Políčka o udělení souhlasu nejsou předem zaškrtnutá.
  6. Souhlas se zpracováním pro jistý účel získáváte odděleně od jiných účelů (např. samostatně pro newsletter...).
  7. Umíte udělený souhlas prokázat (nejlépe písemně doložit).
  8. Subjekt údajů (zákazník) má možnost kdykoliv udělený souhlas jednoduše odvolat.

Více k jednotlivým bodům a jak je splnit:

Body 1, 2, 4: Stránka Osobní údaje

Ideální formou, jak poskytnout informace k souhlasu se zpracováním osobních údajů je vytvoření stránky na webu / e-shopu Osobní údaje. Dle článku 13 Nařízení by měla obsahovat:

  1. identifikační údaje vás jako správce,
  2. účel nebo důvod zpracování osobních údajů, pro který vyžadujete souhlas,
  3. příjemce, nebo kategorie příjemců (podle čl. 4 ods. 9 nařízení), kterým budete osobní údaje poskytovat,
  4. informaci, zda budete nebo nebudete osobní údaje vyvážet do třetího státu mimo Evropskou unii, pokud budete osobní údaje vyvážet do třetího státu, poté informaci o přiměřených zárukách o ochraně dat,
  5. informaci o tom, že souhlas je možné kdykoliv odvolat.

Co to znamená v praxi? 

Na vašem webu / e-shopu je třeba vytvořit novou stránku Osobní údaje, ve které zodpovíte všechny jmenované body.  Ve vašich Obchodních podmínkách sekce Osobní údaje být nemůže, neboť udělení souhlasu se zpracováním osobních údajů by nemělo být překážkou uzavření smlouvy (např. provedení nákupu, odeslání přihlášky apod.).

Jste-li členy Asociace pro elektronickou komerci, vzor takového textu můžete najít např. v archivu dokumentů APEK, případně doporučujeme text dokumentu konzultovat s právníkem.

Podle bodu 3 doplňte text o zpracovatele osobních údajů podle služeb, které využíváte. Abychom vám usnadnili práci, připravili jsme seznam nejčastěji využívaných služeb:

  • Předávání údajů spojené se správou informačních systémů:
    • wpj s.r.o., CZ28860608
    • Smartsupp.com, s.r.o., CZ03668681
    • Crisp IM SARL, registration number: 833085806
  • Předání údajů spojené s vyřízením objednávky v závislosti na výběru způsobu platby a dopravy může proběhnout se společnostmi:
    • Balikobot, s.r.o., CZ06283799
    • Česká pošta, s.p., CZ47114983
    • DHL Express (Czech Republic) s.r.o., CZ25683446
    • General Logistics Systems Czech Republic s.r.o., CZ26087961 (využíváte-li přepravu GLS)
    • Hifour s.r.o., CZ47537841 (využíváte-li službu Balíkonoš)
    • PPL CZ s.r.o., CZ25194798
    • ThePay.cz, s.r.o., CZ28135261
  • Předávání údajů spojené s marketingovými službami:
    • Facebook Ireland Limited, IE9692928F
    • Google Ireland Limited, IE6388047V
    • Heureka Shopping s.r.o., CZ02387727
    • Seznam.cz, a.s., CZ26168685
    • UAB "MailerLite", LT100007448516

Body 1, 2: Stránka Obchodní podmínky

  • Zkontrolujte aktuálnost obchodních podmínek !!! (pokud používáte vzorové, aktuální verzi volně dostupných vzorových obchodních podmínek od APEK naleznete zde. Pro členy asociace je však dostupná novější verze vzorového textu v uživatelské sekci.)
  • Odstraňte z obchodních podmínek sekci týkající se Osobních údajů.
  • Pokud je váš e-shop napojen na Heureku a využívá programu Ověřeno zákazníky, doplňte sekci Ověřeno zákazníky o text doporučený Heurekou. Více informací na blogu Heureky.

Vaši spokojenost s nákupem zjišťujeme prostřednictvím e-mailových dotazníků v rámci programu Ověřeno zákazníky, do něhož je náš e-shop zapojen. Ty vám zasíláme pokaždé, když u nás nakoupíte, pokud ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti neodmítnete zasílání našich obchodních sdělení nebo neodvoláte svůj dříve udělený souhlas. Pro zasílání dotazníků, vyhodnocování vaší zpětné vazby a analýz našeho tržního postavení využíváme zpracovatele, kterým je provozovatel portálu Heureka.cz; tomu pro tyto účely můžeme předávat informace o zakoupeném zboží a vaši e-mailovou adresu.“

Body 3, 5, 7: Projevený souhlas a jeho prokázání

Aby byl souhlas udělen v souladu s nařízením, musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle dotčené osoby. Proto musí být políčka nepředzaškrnutá (prázdná). Tuto změnu zajistíme stejně jako další, o kterých píšeme v článku  GDPR roadmap. Přihlášení k newsletteru by mělo probíhat formou double-opt in, ačkoli tuto technologii Nařízení GDPR přímo nevyžaduje, v současné době to je nejefektivnější způsob, jak zjistit, že e-mailovou adresu zadala opravdu dotčená osoba. Při zapsání do databáze kontaktů se uloží také datum, kdy byl daný kontakt zapsaný (a tedy kdy byl získán souhlas). Pro sběr kontaktů pro zasílání newsletteru je třeba vytvořit samostatný konkrétní souhlas (viz specifikace obecného souhlasu výše, ale s omezením důvodů a zpracovatelů), máte-li např. věrnostní program, je potřeba taktéž připravit text souhlasu se zpracováním osobních údajů pro účely věrnostního programu. 

Vzorové podmínky o ochraně osobních údajů

  1. Základní ustanovení

Správcem osobních údajů podle čl. 4 bod 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen: „GDPR”) je SPOLEČNOST, IČO, SÍDLO (dále jen: „správce“).

Kontaktní údaje správce jsou

KONTAKTNÍ ADRESA SPOLEČNOSTI

E-MAIL A TELEFON

Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Správce nejmenoval pověřence pro ochranu osobních údajů.

II. Zdroje a kategorie zpracovávaných osobních údajů

Správce zpracovává osobní údaje, které jste mu poskytl/a nebo osobní údaje, které správce získal na základě plnění Vaší objednávky.

Správce zpracovává Vaše identifikační a kontaktní údaje a údaje nezbytné pro plnění smlouvy.

III. Zákonný důvod a účel zpracování osobních údajů

Zákonným důvodem zpracování osobních údajů je:

  • plnění smlouvy mezi Vámi a správcem podle čl. 6 odst. 1 písm. b) GDPR,
  • oprávněný zájem správce na poskytování přímého marketingu (zejména pro zasílání obchodních sdělení a newsletterů) podle čl. 6 odst. 1 písm. f) GDPR,
  • Váš souhlas se zpracováním pro účely poskytování přímého marketingu (zejména pro zasílání obchodních sdělení a newsletterů) podle čl. 6 odst. 1 písm. a) GDPR ve spojení s § 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti v případě, že nedošlo k objednávce zboží nebo služby.

Účelem zpracování osobních údajů je:

  • vyřízení Vaší objednávky a výkon práv a povinností vyplývajících ze smluvního vztahu mezi Vámi a správcem; při objednávce jsou vyžadovány osobní údaje, které jsou nutné pro úspěšné vyřízení objednávky (jméno a adresa, kontakt), poskytnutí osobních údajů je nutným požadavkem pro uzavření a plnění smlouvy, bez poskytnutí osobních údajů není možné smlouvu uzavřít či jí ze strany správce plnit,
  • zasílání obchodních sdělení a činění dalších marketingových aktivit.

Ze strany správce nedochází k automatickému individuálnímu rozhodování ve smyslu čl. 22 GDPR.

IV. Doba uchovávání údajů

Správce uchovává osobní údaje:

  • po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi Vámi a správcem a uplatňování nároků z těchto smluvních vztahů (po dobu 15 let od ukončení smluvního vztahu).
  • po dobu, než je odvolán souhlas se zpracováním osobních údajů pro účely marketingu, nejdéle 15 let, jsou-li osobní údaje zpracovávány na základě souhlasu.

Po uplynutí doby uchovávání osobních údajů správce osobní údaje vymaže.

V. Příjemci osobních údajů (subdodavatelé správce)

Příjemci osobních údajů jsou osoby:

  • podílející se na dodání zboží / služeb / realizaci plateb na základě smlouvy,
  • zajišťující služby provozování e-shopu (Shoptet) a další služby v souvislosti s provozováním e-shopu,
  • zajišťující marketingové služby.

Správce má v úmyslu předat osobní údaje do třetí země (do země mimo EU) nebo mezinárodní organizaci. Příjemci osobních údajů ve třetích zemích jsou poskytovatelé mailingových služeb / cloudových služeb.

VI. Vaše práva

Za podmínek stanovených v GDPR máte:

  • právo na přístup ke svým osobním údajům dle čl. 15 GDPR,
  • právo opravu osobních údajů dle čl. 16 GDPR, popřípadě omezení zpracování dle čl. 18 GDPR.
  • právo na výmaz osobních údajů dle čl. 17 GDPR.
  • právo vznést námitku proti zpracování dle čl. 21 GDPR a
  • právo na přenositelnost údajů dle čl. 20 GDPR.
  • právo odvolat souhlas se zpracováním písemně nebo elektronicky na adresu nebo email správce uvedený v čl. III těchto podmínek.

Dále máte právo podat stížnost u Úřadu pro ochranu osobních údajů v případě, že se domníváte, že bylo porušeno Vaší právo na ochranu osobních údajů.

VII. Podmínky zabezpečení osobních údajů

Správce prohlašuje, že přijal veškerá vhodná technická a organizační opatření k zabezpečení osobních údajů.

Správce přijal technická opatření k zabezpečení datových úložišť a úložišť osobních údajů v listinné podobě, zejména zaheslování přístupu k datům, zajištění antivirového programu a zálohování.

Správce prohlašuje, že k osobním údajům mají přístup pouze jím pověřené osoby.

VIII. Závěrečná ustanovení

Odesláním objednávky z internetového objednávkového formuláře potvrzujete, že jste seznámen/a s podmínkami ochrany osobních údajů a že je v celém rozsahu přijímáte.

Správce je oprávněn tyto podmínky změnit. Novou verzi podmínek ochrany osobních údajů zveřejní na svých internetových stránkách a zároveň Vám zašle novou verzi těchto podmínek Vaši e-mailovou adresu, kterou jste správci poskytl/a.

Tyto podmínky nabývají účinnosti dnem DATUM.

Další informace:

Mailerlite / nástroje pro e-mailing

Pro naše klienty, kteří využívají službu Mailerlite, jsme připravili propojení služby s e-shopem včetně obousměrné synchronizace kontaktů. Více o tomto propojení naleznete v článku NewGDPRsletter.

Využíváte-li pro e-mailing jinou službu než Mailerlite, je třeba brát v potaz to, že odhlásí-li se člověk z e-mailingu prostřednictvím povinného odhlašovacího odkazu v e-mailu, lze předpokládat, že soudobé mailové chytré nástroje vám u jeho e-mailu při opakovaném importu z databáze webu / e-shopu budou stále držet informaci, že na danou e-mailovou adresu se maily nemají odesílat. Ovšem v případě, že vás někdo kontaktuje např. e-mailem s požadavkem, že chce být z databáze pro zasílání obchodních sdělení odstraněn, je potřeba změnit jeho nastavení v administraci webu / e-shopu i v nástroji pro zasílání e-mailů ručně.

Smartsupp

Máte-li na svém webu chat od Smartsupp, pravděpodobně máte aktivovanou i funkci Video nahrávky. Pokud nevyužíváte nahrávání pohybu uživatelů po webu, můžete tuto funkci úplně vypnout po přihlášení zde:
https://dashboard.smartsupp.com/settings/video-recordings

Pokud chcete pokračovat ve videonahrávkách, doporučujeme na výše zmíněném odkazu vypnout nahrávání formulářů a zapnout anonymizaci IP adres.

Kontaktníky (Kontaktuje nás)

V případě, že získáte osobní údaje přes nějaký Kontaktník (stránka na webu "Kontaktujte nás"), tak tyto informace nemůžete použít pro databázi k rozesílce u Newsletteru.

Webové našeptávače

Pokud chcete zpracovávat osobní údaje z našeptávačů, tak budete potřebovat "Oprávnění zájem" od uživatelů, u kterých jste těchto informací nabyli.

Co je oprávněný zájem? 

Oprávněný zájem jako právní základ zpracovávání - musí existovat rovnováha mezi oprávněným zájmem provozovatele nebo třetí osoby, na kterou se odvolává a zájmy nebo základními právami a svobodami dotčené osoby ( jestli zájmy dotčené osoby převažují, potom toto zpracovávání bude nezákonné)

Cookies

U cookies na webových stránkách nepotřebujete od uživatelů souhlas se zpracování údajů, pokud informaci ohledně sběru datu uvedete v patičce webu/eshopu. (Česká republika má dočasnou výjimku)

V rámci Evropské unie, je povinné mít tzv. "Cookies lištu"

Pro marketingové účely je nutný souhlas ohledně Cookies.

K čemu nepotřebujete souhlas

  • Smlouva
  • Objednávka
  • Oprávněný zájem
  • Kontaktní formulář

Dokumenty v rámci GDPR

Dokumenty, které musíte mít v rámci GDPR.

  • Záznamy o činnostech zpracování
  • Zpracovatelské smlouvy/NDA (případně i nějaké doložky ohledně mlčenlivosti
  • Informační povinnost
  • Souhlasy
  • Balanční testy

Tyto dokumenty jsou povinné a musí být připraveny pro případnou kontrolu od úřadu.

Nakládání s osobními údaji

Vždy je nutné informovat o nakládání s osobními údaji!

Informace musí obsahovat: 

  • které údaje shromažďuji 
  • kdo jsem a kdo další je zpracovává 
  • za jakým účelem 
  • že mi zpracování povoluje zákon (plnění smlouvy nebo oprávněný zájem) 
  • na jakou dobu 
  • jaká má člověk, jehož osobní údaje zpracovávám, práva 

Na základě takto získaných kontaktů lze zasílat newsletter až poté, co je uzavřená smlouva (zakoupené zboží), nebo se k tomu bezprostředně schyluje (nákup v košíku).