Máme niekoľko dní po tom ako začalo platiť GDPR a tak si poďme zhodnotiť, čo všetko sme za ten čas stihli implementovať na web stránky, či eshopy našich klientov. Čo je GDPR a čo sa považuje za osobný údaj sme si povedali v tomto článku.
1. Aké osobné údaje spracovávate
Základom je, aby ste vedeli aké osobné údaje spracovávate a na aké účely. Na to výborne poslúži vzor tabuľky s prehľadom spracovávania osobných údajov.
2. Zmluva so spracovateľmi údajov
Naša spoločnosť ako prevádzkovateľ web stránok a eshopov má prístup k osobným údajom zákazníkov našich zákazníkov, preto musíme mať s väčšinou zákazníkov podpísanú dohodu o spracúvavaní osobných údajov. V zmluve musí byť uvedený účel a rozsah spracovania údajov. Túto dohodu nájdete tu.
3. Podmienky spracovávania osobných údajov
Podmienkou je mať na webe/eshope samostatnú podstránku (nie súčasť obchodných podmienok), s vysvetlením, aké osobné údaje spracovávate a na aké účely. Dôležité je, aby táto podstránka bola napísaná „zrozumiteľným“ jazykom, teda je potrebné vyhnúť sa zložitým právnickým výrazom. Na internete nájdete niekoľko vzorov takýchto podmienok, napríklad tu.
4. Formuláre
Formuláre môžu slúžiť na rôzne účely. V zásade rozlišujeme dva typy:
- Objednávkový formulár na eshope a kontaktný formulár
- Formulár pre registráciu do newslettera
Objednávkový formulár a kontaktný formulár – súhlas nie je potrebný
Osobné údaje získavate iba na plnenie zmluvy a zbierate iba potrebné údaje. Používateľov stačí informovať o tom, ako spracovávate ich osobné údaje a to odkazom na spracovávanie osobných údajov na samostatnej podstránke.
Formulár pre prihlásenie do newslettera
Ak máte kontaktný alebo objednávkový formulár spojený s registráciou do newslettera (alebo samostatný formulár pre prihlásenie do newslettera) je potrebné, aby ste od používateľa získali súhlas. Tento súhlas musíte vedieť evidovať, aby ste v budúcnosti vedeli dokázať, že tento používateľ vám dal naozaj súhlas s registráciou do newslettera.
Súhlas musí byť:
- slobodný – súhlas nesmie byť podmienený dokončením objednávky
- jednoznačný – zaškrtávacie políčko (checkbox) nesmie byť predškrtnuté
- informovaný – pri zaškrtávacom políčku musí byť odkaz na spracovávanie osobných podmienok
Súhlas nemusí byť udelený formou zaškrtnutia checkboxu. Napríklad pri registrácii do newslettera je jednoznačné, že dávate súhlas k použitiu vašej e-mailovej adresy za účelom zasielania newslettera, v tomto prípade chceckbox nie je potrebný.
5. Ak rozosielate newsletter…
- Súčasným zákazníkom môžete newsletter rozosielať bez súhlasu, medzi právnikmi sa považuje takéto rozosielanie newslettera za oprávnený záujem. Povinnosťou je však, aby v každom newsletteri bola možnosť odhlásenia sa.
- Od ľudí, ktorí sú vašimi potencionálnymi zákazníkmi a chcete im zaslať newsletter súhlas potrebujete. Tento súhlas musí byť dobrovoľný a preukázateľný. Ak súhlas nemáte, alebo je súhlas nejasný odporúčame vytvoriť kampaň, kde ľuďom oznámite, aby sa prihlásili do nového newslettera. Nesmiete však súhlas podmieňovať získaním napr. e-booku.
6. Zákaznícke recenzie z heureka.sk
Overené zákazníkmi od portálu heureka.sk je služba, ktorá pošle zákazníkovi pár dní po objednaní tovaru možnosť vyplniť dotazník pre hodnotenie produktu. Heureka.sk pred časom vydala článok o tom, že na zasielaní tohto dotazníka sa nič nemení a na zaslanie nepotrebujú žiaden súhlas. Zároveň však radia, aby si eshopy zapracovali do posledného kroku umiestniť zaškrtávacie tlačítko opt-out teda nesúhlas so zaslaním hodnotiaceho dotazníka.
Ťažko povedať, či je to takto legislatívne správne. Niektorí naši zákazníci doplnili do posledného kroku zaškrtávacie tlačítko pre udelenie súhlasu so zaslaním hodnotiaceho formuláru.
7. Výpis, zmena, výmaz údajov
Každý používateľ má právo na výpis, zmenu, ale aj výmaz svojich údajov z vášho webu/eshopu. Tento výmaz môžete zrealizovať manuálne, alebo niektorým našim zákazníkom sme implementovali do eshopov funkcionalitu výmazu zákazníka v troch krokoch. Táto funkcionalita automatizuje proces výmazu a je vhodná, keď bude požiadaviek na výmaz údajov naozaj veľa.
8. SSL certifikát
O SSL certifikátoch sme už písali tu. Nie je to povinnosť z hľadiska GDPR, ale v dnešnej dobe je dobré mať web zabezpečený. Zvýši dôveryhodnosť webu/eshopu, zlepší SEO a okrem toho prehliadač Google Chrome začne od júla tohto roka blokovať web stránky, ktoré nebudú mať implementovaný SSL certifikát.
9. Skontrolujte Google Analytics
Prihláste sa do Google Analytics a odsúhlaste nové podmienky.
V ľavom stĺpci Účet -> Nastavenie účtu
V dolnej časti je tlačítko Dodatok
Tieto GDPR odporúčania nie sú záväzné. Odporúčame sa poradiť s právnikom, nakoľko každá spoločnosť spracováva osobné údaje iným spôsobom. Článok budeme priebežne aktualizovať a o aktualizáciách určite informovať.
