Připravte se na změny přinesené GDPR

Ožehavé téma posledních měsíců, GDPR – neboli obecné nařízení o ochraně osobních údajů, vstupuje koncem května v platnost. Tato nová legislativa EU, která výrazně zvýší ochranu osobních dat občanů, se velkou měrou dotkne provozovatelů e‑shopů a webů.

Ožehavé téma posledních měsíců, GDPR – neboli obecné nařízení o ochraně osobních údajů, vstupuje koncem května v platnost. Tato nová legislativa EU, která výrazně zvýší ochranu osobních dat občanů, se velkou měrou dotkne provozovatelů e‑shopů a webů. Co všechno je z hlediska e‑shopu třeba zařídit, abyste po 25.5. nebyli pozadu, si povíme v dnešním článku.

Trocha teorie

EU bojuje za ochranu soukromí uživatelů internetu. Ta se přirozeně týká i online nakupování a využívání internetových služeb, kde se zákazník registruje svými osobními údaji. Tato nová legislativa navazuje na nedávnou evropskou regulaci cookies, která si stanovuje za cíl lépe ochránit spotřebitele. Jedná se tedy o systém povinností vznikajících provozovatelům e‑shopů a webů, kteří doposud mohli s vyžádanými osobními údaji nakládat prakticky podle své vůle. Potřebujete pro svůj byznys databáze obsahující jména, příjmení, emaily, telefonní čísla, IP adresy ale také videozáznamy, fotografie nebo nahrávky? Pak zbystřete.

Jak postupovat v praxi

1. Zachovejte klid

GDPR sice představuje jednotnou právní úpravu pro celou EU, ale Česká republika má poměrně přísně nastavenou ochranu osobních údajů už nyní. Takže se nebojte.

2. Správně nastavené procesy

První riziko začíná už ve vaší informovanosti. Máte přehled o všem, co od vás vyžaduje zákon o ochraně osobních údajů? Doporučujeme projít si nejdříve, zda správně nakládáte s daty v rámci něj. To vám pomůže vymezit základní prostor. Na něj pak můžete aplikovat požadavky, které jsou v GDPR navíc.

Co zjistit

  • s jakými údaji vaše firma nakládá a proč
  • kde tyto údaje uchováváte (zajištění bezpečí vašich databází)
  • kdo se vám o ně stará (kdy se do systému kdo přihlašuje a co tam dělá)

Jak dále postupovat

  • nastavit smluvní podmínky, ustanovení na webu a databáze
  • uzavřít smlouvy s vašimi zpracovateli osobních údajů
  • zpřístupnit databáze jen vašim oprávněným zaměstnancům a zrevidovat pracovní smlouvy
  • probrat s vašimi IT pracovníky možnosti, jak mohou pomoci systém zjednodušit v rámci vašich interních procesů
  • projděte si GDPR a podle toho, jaké nové povinnosti vám ukládá (např. pořizování záznamů o činnostech zpracování, atp.), podnikněte další kroky

Jste menší obchodník a místo vlastního e‑shopového řešení si pronajímáte obchodní platformu spravovanou poskytovatelem obchodních řešení? Informujte se ohledně připravenosti na zavedení regulace GDPR u svého poskytovatele.

3. Souhlas se zpracováním osobních údajů

Nová evropská regulace bude v praxi zejména znamenat nutnost získání nových souhlasů zákazníků se zpracováním jejich osobních údajů a také mnohem větší důraz na bezpečné uchovávání získaných dat. Nenechávejte tedy nic náhodě (vaše nepřipravenost může vyústit i vysokými finančními sankcemi) a začněte se na tuto zásadní změnu v životě českého internetového obchodování připravovat už nyní.

Kde a jakými způsoby bude nutné souhlas vyžadovat

  • při získávání a zpracování dat potřebných pro realizaci samotného nákupu (např. fakturační údaje)
  • při jejich předání partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi
  • souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby
  • zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést
  • v evidenci musí být i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů
  • GDPR se vztahuje i na kontakty získané před zahájením platnosti, proto doporučujeme zrevidovat všechny již udělené souhlasy, aby splňovaly požadavky GDPR

4. Právo na výmaz

Se vstoupením GDPR v platnost budou mít vaši zákazníci nově právo požádat o výmaz osobních údajů. Toto právo však není absolutní. Je možné ho uplatnit jen tehdy, když už osobní údaje nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Rozšířením tohoto práva je právo být zapomenut. Díky němu může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje včetně veškerých odkazů na osobní údaje žadatele a jejich kopie, pokud neexistuje právní důvod pro jejich další zpracování.

Možné důsledky

Nové podmínky zpracování osobních údajů zákazníků bude pravděpodobně možné splnit s přijatelnými náklady. Hodně firem však jistě nastavování nových procesů nedá vysokou prioritu. Díky tomu ze sebe marketing nejspíš setřese ty, kteří svoji práci nedělají poctivě a svědomitě. Výrazné změny pravděpodobně zasáhnou oblast PPC reklamy. Poptávka po této službě zůstane stejná, ale občanů, kteří budou chtít být “sledováni” pomocí cookies v rámci EU ubude. PPC reklama tak nejspíš podraží. Remarketing a jemu podobné metody výkonnostního marketingu budou omezenější.

Zdroje

Poradenský portál GDPR

Stránky Úřadu pro ochranu osobních údajů

Praktické příklady GDPR v online marketingu

Velké společnosti se už nastavování podmínek pro zavedení GDPR věnují. A co vy? Budete čekat, co přinese květen, nebo nechcete riskovat a podnikáte náležité kroky, aby váš byznys toto nařízení ovlivnilo v co nejméně negativní míře? Mergado tu není od toho, aby vás strašilo. Zastáváme však skautské heslo: Buď připraven. Proto se snažíme, aby přechod do nových regulí proběhl plynule a bezbolestně.

Lukáš Horák

Lukáš se v Mergadu stará o většinu komunikace v češtině. Prostřednictvím blogu, e‑mailu a sociálních sítí pravidelně zásobuje čtenáře aktualitami z e‑commerce a novinkami a tipy z Mergada. Pokud zrovna není copywriterem, užívá si prosté věci jako badminton, výlety mezi utajené skvosty osmdesátkové hudby a plody moře podávané s červeným vínem.