Jak se GDPR dotkne vás, majitelů webových stránek a e-shopů?

GDPR (General Data Protection Regulation), ten strašák, o němž se mluví už dobré dva roky, nyní doopravdy přichází. V platnost vchází 25. května, takže máte posledních pár dnů na doladění detailů, aby vaše webové stránky a e-shopy splňovaly všechny náležitosti. Neděste se, ono totiž ve skutečnosti nejde o nic až tak hrozného. Nejspíš vám bude stačit pár formálních úprav.

GDPR je nové nařízení ze strany EU, s nímž spousta lidí nesouhlasí. Považují ho za zbytečnou komplikaci podobně jako pravidlo z roku 2016, jež přikazuje informovat návštěvníky webových stránek o používání cookies. Nutno ovšem podotknout, že GDPR má své opodstatnění.

Nová pravidla pro digitální věk už byla potřeba

GDPR určuje, jak by firmy měly nakládat s osobními údaji. Specifikuje, že musí zákazníky informovat o jejich používání, umožnit jim požádat o vymazání údajů či nahlédnout, co všechno o nich uchovávají. Zároveň mají společnosti například povinnost oznámit každý únik dat. Už by se tedy nemělo po dvou letech ukázat, že kdysi někdo odcizil celou e-mailovou databázi světově známé firmy. A to je vlastně hlavní účel GDPR – trochu modernizovat přístup k datům a obnovit stará pravidla, která nepočítala s cloudem, internetovými obchody ani ničím podobným.

Jak konkrétně se GDPR dotýká majitelů webových stránek

Ačkoliv si to spousta lidí nemyslí, o GDPR by se měl zajímat téměř každý provozovatel e-shopu, webu, blogu apod. Výjimku tvoří snad jedině ti, kteří mají úplně statický web bez možnosti použít kontaktní formulář nebo někam jinam zapsat osobní údaje.

Každý si tedy pro začátek musí sám zhodnotit, zda a jak na svém webu zpracovává osobní údaje. Typicky jde o:

• kontaktní, nákupní či poptávkový formulář – sem lidé zapisují svůj e-mail, telefon, adresu,
• kontakty, sekce o firmě – některé firmy zde mívají zveřejněné kontakty na zaměstnance a jejich fotky,
• zápis do newsletteru – uživatel zadává e-mail,
• účty uživatelů – jestliže mají zákazníci své účty, jistě při registraci zadávají e-mail, telefon, adresu atd.,
• web celkově – cookies, IP adresa.

Velmi důležité je, z jakého důvodu v těchto případech údaje zpracováváte. Pokud je zpracování údajů nevyhnutelné (například v případě nákupu), stačí zákazníky o zpracování údajů informovat. V ostatních případech si musíte vyžádat souhlas.

Kdy stačí informovat

Ukázkový případ je jasný – kontaktní formulář. Abyste mohli zákazníka kontaktovat zpátky, musí vám na sebe nechat e-mail, to je prostě nevyhnutelné. Podobně v případě, že jako neregistrovaný nakupuje, musí povinně zapsat adresu, abyste mu měli kam doručit zboží. V těchto situacích tedy stačí k formuláři připsat informace o zpracování osobních údajů. Případně přidejte odkaz na vaše obchodní podmínky, jejichž součástí mohou být.

Kdy je potřeba souhlas

Souhlas musíte mít od zaměstnanců, jejichž kontakty a fotky na webu zveřejňujete. Potřebujete ho rovněž od uživatelů, již se zaregistrují k odběru newsletteru. A tady pozor – zákazníkům jej posílat můžete, ale od potenciálních zákazníků (zájemců, kteří si od vás ještě nic nekoupili), byste si jej nyní měli vyžádat. Stačí jim poslat nový e-mail a informovat je, že chtějí-li newslettery dostávat dál, měli by potvrdit souhlas se zpracováním e-mailu. Také při registraci je nutné mít souhlas uživatele, tedy aspoň jestliže uživatelský účet není podstatou služby (aplikace typu Trello, Mailchimp apod.). Souhlas potřebujete například i při přidávání recenze, zveřejňujete-li skutečné údaje zákazníků.

Tohle už nesmíte

Velká změna se dotýká směňování obsahu za souhlas. Na spoustě webů vám darují e-book nebo zpřístupní nějaký dodatečný obsah, pokud zadáte svůj e-mail, na nějž vám pak posílají newslettery. Tohle už nyní udělat nesmíte, GDPR zakazuje vyměňovat poskytnutí služby za poskytnutí osobních údajů. Vaší povinností je tedy přidat jedno zaškrtávací políčko. Jedním zákazník potvrdí, že chce na e-mail zaslat e-book, a druhým se přihlásí k odebírání newsletteru.

Pozor na IP adresy

Upozornění o cookies již na svém webu pravděpodobně zobrazujete, ale i IP adresa je citlivý údaj. Přímo na webu ji nejspíš nikde neukládáte, nicméně může ji využívat třeba Google Analytics, Hotjar či Smartlook. Zkontrolujte nastavení, zda tyto služby náhodou IP adresy nesbírají. Kdyby tomu tak bylo, museli byste získat další souhlas. Mimochodem Google Analytics má kvůli GDPR nové podmínky, takže pokud jste to doposud neudělali, přihlaste se, klikněte dole na Správce, v levém sloupci na Účet, potom Nastavení účtu. Dole je tlačítko Aktualizovaný dodatek, musíte dát Přijmout a následně Uložit.

Papírových dokumentů se GDPR týká také

Celé GDPR je vlastně o zabezpečení citlivých dat. Z toho důvodu byste měli s uchovávanými údaji nakládat bezpečně. Máte-li data zákazníků uložená někde u sebe v počítači, v nejlepším případě byste je měli šifrovat. Jestliže je uchováváte v papírové podobě, mělo by se tak dít v zamykatelném šuplíku či skříňce.

Požádejte o pomoc

Jak vidíte, GDPR není zase tolik omezující. Většinu majitelů webů bude příprava na něj stát jen pár formálních úprav. Jiná situace samozřejmě může nastat, pokud vlastníte obrovský e-shop či webový portál. Pak není od věci obrátit se na odborníky, ti vám prozradí více. Ještě stále není pozdě se na GDPR připravit.