< návrat zpět

... e-shopy

Jak se GDPR dotkne e-shopů?

Hlavním důvodem zavádění nového nařízení je fakt, že současná směrnice, podle které se dodnes řídíme, začala platit v roce 1995. Tehdy neexistovaly sociální sítě, cloudová úložiště ani další on-line „prostory“, na kterých se dnes citlivá osobní data ocitají – prakticky bez účinnější ochrany. Nově budou muset e-shopy implementovat změny, aby jejich služby byly v souladu s GDPR nařízením. Zvláště pro menší obchodníky to může znamenat problémy navíc. Obava z pokut je samozřejmě na místě a přitom mnoho z nich přesně neví, jak se na nové nařízení připravit. 

GDPR se vztahuje na všechny subjekty, které nějakým způsobem zachází s citlivými údaji, a e-shopy mezi ně určitě patří. Mezi citlivé osobní údaje totiž patří i cookies. Již v minulosti EU prosadila povinnost o cookies informovat. A podobných pravidel přináší GDPR víc... 

Co byste rozhodně měli udělat... 

Pojďme se nyní podívat, na co se jako e-shop musíte zaměřit prakticky. 

  • V rámci implementace GDPR pro e-shopy je vhodné přejít na HTTPS z důvodu šifrování. Certifikát pořídíte za cca 500,- Kč ročně, což není nijak závratná částka. 
  • Veškeré formuláře na webu, do nichž uživatelé zapisují citlivé údaje, je třeba rozšířit o zaškrtávací tlačítko (ve výchozím stavu nezaškrtnuté), kterým uživatel potvrdí souhlas se zpracováním osobních údajů. Formulář by bez jeho zaškrtnutí neměl jít odeslat.
  • Reklamy a newslettery lze posílat pouze tehdy, pokud k tomu od uživatele získáte souhlas. Hromadné zaslání souhlasu všem raději nepodnikejte.
  • Měli byste mít i potvrzení, jestliže chcete zveřejnit kladnou recenzi. Uživatel musí souhlasit se zveřejněním svého jména.
  • Pokud si budete stahovat údaje z e-shopu nebo webu do svého počítače nebo telefonu, například objednávky, faktury, e-maily s poptávkou do mailového klienta, či jiným způsobem nakládat osobními údaji svých uživatelů či zákazníku, myslete na bezpečnost sítě,
  • Minimalizovat chyby ve zdrojovém kódu samotného e-shopu nebo webu za pomocí bezpečnostních záplat a využívání aktuální verze redakčního systému, za účelem minimalizace úniku citlivých údajů. Šifrovaná hesla v rámci databáze v e-shopu přes kterou se připojujete nebo zabezpečení svého zařízení. 

Uchování a mazání dat - to je základ

V každém případě musí mít zákazník právo zjistit, jaké informace o něm uchováváte, upravit je a vymazat. Pokud se může přihlásit ke svému účtu a údaje upravovat sám, je to vyřešeno. Jestliže ne, musí to na požádání dělat správce e-shopu. Uživatel si může přát vymazat veškeré informace. Informace o objednávkách se pak nemažou. 

Nezapomeňte, že za osobní údaje považuje GDPR i taková data, která na první pohled vy za osobní nepovažujete – například výchozí zvolenou dopravu, pokud je na výběr mezi více typy. 

Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. V tom případě je již nyní na čase pokládat tomuto poskytovateli dotazy ohledně připravenosti jeho řešení na zavedení regulace GDPR. 

Proškolte zaměstnance 

S každým zaměstnancem mějte podepsané dokumenty o tom, že byl proškolen v GDPR. V ideálním případě jednak popisem směrnice, podle které má s osobními údaji zacházet a jednak každoročním aktualizovaným školením.