Váš web a GDPR
Obecné nařízení o ochraně údajů (GDPR) je evropský zákon o ochraně soukromí, který nabyl účinnosti 25. května 2018.
GDPR se nevztahuje jen na evropské společnosti. Nové nařízení se vztahuje na každou společnost, která může potenciálně zpracovávat údaje státních příslušníků EU, což znamená, že GDPR podléhá každá společnost na světě bez ohledu na její sídlo. Bez ohledu na to, kde vaše společnost ukládá nebo zpracovává osobní údaje, musí splňovat pokyny GDPR.
GDPR poskytuje lidem rozsáhlejší kontrolu nad jejich osobními údaji. Konkrétně dává nový zákon lidem právo na přístup, opravu, vymazání a omezení zpracování spotřebitelských údajů a také stanoví přísné pokyny pro souhlas uživatele.
Pokud shromažďujete nebo ukládáte jakékoli informace, které mohou být propojeny s jednotlivcem, počítá se to jako osobní údaje. Pro více informací si můžete přečíst celý text GDPR.
Některé podniky mohou potřebovat více příprav než jiné, aby splnily GDPR. Tato příručka poskytuje obecný přehled o dodržování GDPR a nastiňuje nejběžnější požadavky.
Jak se připravit na GDPR
Vaše webová stránka shromažďuje a zpracovává osobní údaje vyhovujícím způsobem. Při sběru a zpracování osobních údajů od zákazníků z EU je však vaší odpovědností dodržovat požadavky GDPR.
Co jsou osobní údaje
Osobními údaji se rozumí jakékoli informace, které mohou být použity k přímé či nepřímé identifikaci osoby. Patří sem jméno, fotografie, e‑mailová adresa, IP adresa, bankovní údaje, příspěvky na webových stránkách sociálních sítí, lékařské informace, a dokonce i náhodné kódy, které jsou uživatelům přiřazeny, aby shromažďovali analýzy, prováděli testy A/B a další.
GDPR významně rozšiřuje definici osobních údajů tak, aby zahrnovala veškeré informace, které mohou být spojeny se známou osobou. Příkladem je historie prohlížeče a aktivita na sociálních médiích. Rovněž obsahuje zvláštní ustanovení pro informace týkající se fyzického a duševního zdraví jednotlivce, jako jsou genetické a biometrické údaje.
Proč je souhlas uživatele důležitý
Dáte mi svůj souhlas?
Základním kamenem GDPR je souhlas. Před GDPR jste potřebovali souhlas, ale bylo mnohem jednodušší ho získat. V souvislosti s novými nařízeními už není získání souhlasu jisté. GDPR jasně uvádí, že pokud se nejedná o oprávněný zájem, je třeba přimět klienty, aby řekli ano, výslovným způsobem, srozumitelným jazykem, vyjasněním důvodů, pro které je souhlas požadován. Uživatel musí přesně vědět, k čemu budou jeho osobní údaje použity a kým.
Použití nejpřísnějších výkladů s využitím osobních údajů občana EU vyžaduje, aby tento souhlas byl svobodný, konkrétní, informovaný a jednoznačný. Vyžaduje pozitivní vyjádření souhlasu – nelze jej odvodit z mlčení, předem zaškrtnutých políček či nečinnosti.
Mít oprávněný zájem se nerovná mít souhlas, neboť získané údaje nelze použít k jiným účelům než k těm, které z nich vyplývají.
Jakmile souhlas získáte, musíte jej zaznamenat a zabezpečit a být připraveni jej předat, pokud o to požádáte.
WebEditor vám pomůže shromáždit souhlas uživatele, vytvoří nový formulář žádosti o souhlas, přidá přehledná políčka pro žádosti o souhlas na formulářích, připomene vám důsledky předem zaškrtnutých políček a povzbudí vás k aktualizaci podmínek.
Ke zpracování osobních údajů svých zákazníků musíte získat souhlas. Připravte jasnou politiku ochrany osobních údajů, která upřesní, proč shromažďujete osobní údaje, vysvětlí, jaké údaje jsou uchovávány, a nabídne právo odvolat souhlas.
Poskytnout zákazníkům právo přístupu k jejich datům
To znamená, že musíte svým zákazníkům poskytnout kopii jejich osobních údajů ve snadno čitelném a přenosném formátu. K osobním údajům zákazníků máte přístup přímo ve svých Ovládacích panelech. Měli byste také vzít v úvahu služby třetích stran, které používáte a které mohou mít přístup k osobním údajům vašich zákazníků.
Poskytnout zákazníkům právo mazat, upravovat, omezovat určitá použití dat
Základní požadavky (např. zákazník vás požádá, abyste smazali jeho objednávku) lze rychle spravovat uvnitř ovládacího panelu. Opět nezapomeňte na služby třetích stran, které mohou mít přístup k těmto údajům.
Doporučujeme ukládat data digitálně. Šifrovaná data chráněná heslem o minimální doporučené síle – nebo chráněná pomocí generátoru hesel – nabízejí oproti tištěným fakturám bezpečnou možnost.
Oznámení o narušení dat
Váš internetový obchod funguje jako datový procesor, zatímco naši obchodníci (vy) fungují jako datové řadiče. Pokud na vašich internetových stránkách dochází k jakémukoliv narušení dat, můžete být povinni upozornit dotčené zákazníky. Podle GDPR musí být oznámení odesláno do 72 hodin od okamžiku, kdy se o porušení dozvíte. Zpracovatelé údajů jsou rovněž povinni informovat uživatele i správce údajů, a to okamžitě poté, co se dozví o narušení bezpečnosti údajů.
Změny ve vašem týmu
Podle nových právních předpisů je třeba jmenovat inspektora ochrany údajů. To je požadavek, pokud hodláte osobní údaje pravidelně zpracovávat. Inspektor ochrany údajů bude ústřední osobou, která bude společnosti radit s dodržováním GDPR, a bude rovněž působit jako primární kontakt pro orgány dozoru
Trénuj svůj tým. Poskytnutí odpovídajícího školení o souvislostech a důsledcích GDPR těm, kdo mají přístup k údajům, by mělo pomoci vyhnout se možnému narušení, proto tento bod nepřeskakujte. Ochrana údajů může být poněkud nudné a suché téma, ale věnovat jen málo času tomu, aby byli zaměstnanci informováni, bude dobře strávený čas.
Několik zajímavostí, které je třeba si zapamatovat:
Servery potřebují SSL certifikáty (zde čtěte o rozdílu mezi HTTP:// a HTTPS://).
Vaše stránka musí mít zásady ochrany osobních údajů
Musí existovat způsob, jak mohou být účastníkům nebo klientům data odebrána.
Účastník musí mít také možnost vyžádat si jejich údaje
Jasný souhlas musí být udělen, pokud se přihlásí ke stažení zdarma, že také souhlasí s přidáním do obecného seznamu adres.
Měli byste si prohlédnout svůj aktuální e‑mailový seznam pro předplatitele ze zemí EU a požádat tyto předplatitele o souhlas s tím, zda by chtěli zůstat na vašem seznamu, což je také vhodná doba pro opětovné odeslání vaší zásady ochrany osobních údajů.