GDPR a ESHOPY - co si pohlídat

Co byste měli udělat, pokud jste to ještě neudělali? Jenom pro upřesnění. GDPR mění stávající zákon o ochraně osobních údajů jen z několika málo procent. Co se diametrálně liší jsou však pokuty za porušení. Zákon o ochraně osobních údajů platí již od roku 2000.

• Zkontrolujte si a pořádně si nastavte, jaká data sbírá Váš eshop, jaká data evidujete, kam je ukládáte, kdo k nim má přístup, zda jsou všichni správně proškolení, zda máte data dostatečně zabezpečena, zda používáte aplikace a softwary, které mají sídlo v EU.

• Sbíráte osobní údaje? Osobní údaj je cokoli, podle čeho dohledáte konkrétní osobu. Klasicky je to jméno (zde pouze specifické nebo ve spojení s jiným údajem), telefonní číslo (ne pevné linky ve společnostech), emailové adresy, ale i cookies a IP adresy.

• Pokud pracujete s citlivými údaji – zdravotní stav, náboženství, sexuální orientace atd., budete potřebovat souhlas vždy! Pravidla jsou zde ještě přísnější.

• Musíte si zmapovat procesy a určit, kdo je Správce a kdo Zpracovatel. Správce rozhoduje, co a jak se bude zpracovávat a Zpracovatel toto provádí. Podle tohoto vzorce byste také měli mít nastavené Zpracovatelské smlouvy, popřípadě smlouvy společných správců.

• Jsou všechny aplikace a softwary GDPR friendly? Tuto informaci byste měli najít ve všeobecných obchodních podmínkách jednotlivých aplikací a programů. V nastavení by měla být také možnost automatizovaného vygenerování správcovské smlouvy, kterou byste si měli vytisknout a založit do GDPR šanonu. Aplikace a programy, které nevyužíváte, nebo nevíte, jaká data zpracovávají a kam je předávají, odstraňte.

• Rozlišovat, kdy máte oprávněný zájem (zákon říká, že určité informace můžete či musíte zpracovávat – zde je to zejména plnění smlouvy, oprávněný zájem, veřejný zájem, životní zájmy člověka, ale i jiné zákonné povinnosti – např. daně, mzdy, odvody atd.) a klienta je potřeba „pouze“ informovat, a kdy potřebujete jeho souhlas. Pokud se jedná o klienty, kteří u Vás již nakoupili, můžete je s podobnou obchodní nabídkou kontaktovat. Neměli byste jim nabízet nic nesouvisejícího s jejich předchozím nákupem. A tuto informaci byste měli mít viditelně na webu, nejlépe vedle VOP. Kdo jste, jaká data sbíráte, za jakým účelem a na jak dlouho. A uživatel by měl mít jednoduchou možnost vymazání z této databáze.

• Pokud máte stávající databázi kontaktů pro obchodní sdělení, je potřeba mít od uživatelů souhlas s nakládáním s osobními údaji. Tento souhlas musí být udělen aktivně – před Úřadem na ochranu osobních údajů neobstojí formuláře, kde je souhlas předzakliknutý. Velmi doporučujeme mít tzv. double opt in souhlas. Tzn. že uživatel jej ve formuláři zaklikne a poté potvrdí emailem, na který mu zašlete potvrzovací link. Při zakliknutí by navíc měl být souhlas prokliknutelný na kompletní znění souhlasu. Tento proces je naprosto prokazatelný, provážete jej s databázemi a úředníci na kontrole z vás budou mít radost. Kampaň pro znovuzískání souhlasů můžete pojmout vtipně, něco uživatelům sdělit a nějak je motivovat. Budete tak úspěšnější. Klient musí vidět benefit, který mu následný marketing přinese.

• Souhlas musí být jednoduše odvolatelný. Databáze se nesmí propisovat. Pokud uživatel zažádá o vymazání, musíte tak učinit a vymazat ho ze všech databází, pokud není Váš oprávněný zájem vyšší nebo Vám tak neukládá zákon.

• Pohlídat si expiraci kontaktů. Nasbírané kontakty nemůžete používat na neomezeně dlouhou dobu. Nejen, že jsou kontakty zastaralé, ale ani to neumožňuje stávající zákon. Nasbírané údaje tedy můžete evidovat cca 3 roky od nákupu nebo od udělení souhlasu. Pokud se Vám blíží expirace dat, je dobré uživatele zkontaktovat a požádat ho o souhlas.

• A co je důležité pro úřad a případnou kontrolu? Abyste měli, pokud možno, přesně zmapované procesy sbírání osobních údajů, zabezpečené databáze, proškolené zaměstnance, s externisty uzavřené NDA smlouvy, se Zpracovateli zpracovatelské smlouvy a všechny ostatní náležitosti vyplývající z GDPR. To všechno pěkně vytisknuté a připravené v šanonu a samozřejmě byste měli nabídnout také dobré kafe 😊.

Nejste si jistí, nevíte, co a jak nastavit? Nejlepší bude zkontaktovat právníky se zaměřením na marketing. Nastavení správných procesů a aktualizace databází Vám nakonec mohou přinést zefektivnění z pohledu marketingu!