25. květen se neúprosně blíží a mezi e-shopaři roste nervozita ohledně v platnost přicházejícího nařízení EU jménem GDPR. Týká se ochrany osobních údajů a obavy jsou víceméně opodstatněné, vždyť všichni straší pokutami v řádu milionů Eur. Hysterie ale není na místě. Proč? A jak vám GDPR pomůže vyřešit Eshop-rychle?
Co to je GDPR?
Pokud se věnujete provozování e-shopu úplně nově, nebo vás záhádným způsobem zatím minul veškerý povyk okolo GDPR (General Data Protection Regulation), pak si určitě pročtě naše dřívější články, které vás do tématu zasvětí:
Případně pěkný článek od APEKu (Asociace pro elektronickou komerci), který shrnuje, co by měl e-shopař o GDPR vědět.
Není potřeba zbytečná hysterie
Na tématu GDPR se už dlouhé měsíce přiživuje řada pseudoodborníků, kteří se snaží vzbudit kolem tématu větší povyk, než je reálně nutné.
Pravda je ale taková, že zákon o ochraně osobních údajů platí v České republice už od roku 2000 a z EU příchozí nařízení GDPR na něm až tolik nemění. Ano, přináší několik nových konceptů, o kterých si blíže řekneme a které bude potřeba zapracovat a pochopit, ale kdo se do této chvíle řídil výše uvedeným zákonem, tak se pro něj až tolik nemění.
Po schůzce se zaměstnanci ÚOOÚ (Úřad pro ochranu osobních údajů, který bude v ČR dodržování zákona kontrolovat a udělovat pokuty) navíc můžeme potvrdit, že strašení likvidačními pokutami v řádu milionů Eur je také zcela mimo mísu a pokud e-shop bude prokazovat evidentní snahu GDPR dodržovat a případné zjištěné nesrovnalosti řešit, tak mu reálně žádné obrovské pokuty nehrozí.
O poměru počtu kontrolorů úřadu a počtu e-shopů se snad ani zmiňovat nemusíme. Každý si dokáže představit, jaká je pravděpodobnost namátkové kontroly. 🙂 Z výročních zpráv úřadu je jasné, že drtivá většina veškerých kontrol přichází na udání pobouřených zákazníků, nikoli ze zlovůle úřadu.
Kdo se bude tedy chovat k zákazníkům a jejich osobním údajům slušně a zodpovědně, nemá se čeho obávat.
Teoretická příprava na GDPR od právničky Petry Dolejšové (e-Legal)
Jak jsme slíbili, zajistili jsme pro vás video s Petrou Dolejšovou, právničkou advokátní kanceláře eLegal, která se specializuje na právo v e-commerce a v současnosti zejména na problematiku GDPR. Petra ráda přednáší, organizuje konference, a hlavně má kouzelný dar přeložit právničinu příjemným způsobem do lidštiny tak, aby ji dokázal pochopit i běžný smrtelník. 🙂
Video „GDPR pro e-shopy“ (32 minut):
Řešení GDPR od Eshop-rychle
Z videa je asi patrné, že aby e-shopař byl schopen splnit všechny požadavky GDPR, bude na straně e-shopové platformy potřeba udělat celá řada změn. Ať už na frontendu (viditelné části e-shopu), backendu (administrace e-shopu) nebo ve vnitřní infrastruktuře.
Do řešení jsme investovali opravdu hodně času, peněz za odborné konzultace s GDPR specialisty, promýšleli ho tam a zpět ze všech stran a jsme přesvědčeni, že se nám podařilo vymyslet řešení, které bude uživatelsky přívětivé, pro e-shopaře pochopitelné, splní všechny zákonné požadavky a navíc bude dostatečně flexibilní k případným změnám v zákonně (nebo k vlastnímu výkladu nařízení 😉 ).
Zároveň ale nechceme naservírovat konkurenci toto řešení na zlatém podnose, což je důvod, proč se zatím nechceme v tomto článku podělit o detailní rozbor celého řešení. Souběžně s tím ale samozřejmě chceme dát vám e-shopařům co nejvíce informací, abyste už nyní měli jasnou představu, co vše vám pomůžeme vyřešit, k čemu vám dáme nástroje a co si naopak budete muset vyřešit na své straně.
Co naše platforma vyřeší za vás?
- Na odpovídající místa e-shopových šablon se budou vypisovat příslušné souhlasy a oznámení (nákupní proces, registrace uživatele, příspěvky v diskuzi, kontaktní formulář, přihlášení do newsletteru, pop-up okno, cookie lišta a další místa)
- Připravíme pro vás výchozí nastavení souhlasů a oznámení, ale bude prostor s nimi kreativněji pracovat (=nebudete mít povinně stejnou textaci jako 6.500 dalších e-shopů na Eshop-rychle)
- Double opt-in e-maily (= e-mail, který návštěvníkovi přijde na vyplněnou e-mailovou adresu s unikátním odkazem pro potvrzení registrace / přihlášení do odběru newsletteru apod.) – Nejsou sice v rámci řešení GDPR povinností, ale odborníky jsou silně doporučované pro ověření vlastnictví e-mailové adresy (opět s nimi půjde kreativně pracovat).
- Zpracovatelská smlouva – V tuhle chvíli je už snad jasné z videa, že vy jako e-shopař jste správce osobních údajů a my jsme váš zpracovatel těchto údajů. Musíme mít tedy mezi sebou uzavřenou zpracovatelskou smlouvu. Tuto smlouvu připravíme pro snadné odsouhlasení, dáme k dispozici do administrace k nahlédnutí a stažení pro vaši archivaci.
- Podrobný vzorový dokument o zacházení s osobními údaji – Podobně jako v případě obchodních podmínek vám dáme k dispozici výchozí dokument na samostatné stránce, schválený od právníků a univerzálně považovaný jako dostačující. Pro běžné účely bude plně dostačující a bude stačit pozměnit identifikační údaje e-shopu. Pokud ale s e-shopem a osobními údaji subjektů budete chtít provádět pokročilejší kousky, doporučujeme všechny kroky konzultovat s právníkem a příslušným způsobem si dokument upravit.
- Spouštění měřících kódů – Jednotlivé měřící, remarketingové a podobné kódy a skripty se nebudou spouštět návštěvníkovi automaticky ihned po návštěvě webu, ale až ve chvíli, kdy od něj získáte aktivní souhlas, nebo ho dostatečně informujete o svém oprávněném zájmu na jeho spuštění.
- Evidence souhlasů – pro případ kontroly musíte být schopni doložit, kdy vám subjekt dal konkrétní souhlas, k jakému účelu, a dokonce i v jakém přesném znění. Evidence souhlasů a práce s nimi bude u jednotlivých uživatelů k dispozici.
- Expirace souhlasů – Souhlasy nelze brát na dobu neurčitou. Vždy musí být přesně stanoveno, na jak dlouho si konkrétní souhlas berete. Tyto souhlasy budou tedy po čase expirovat a vy dostanete nástroj, jak souhlasy e-mailovou automatikou včas od uživatelů obnovovat.
- Výmaz / přenositelnost údajů – U každého uživatele dostanete možnost kompletně ho ze své (a naší) databáze vymazat. Samozřejmě jen z míst, kde to ukládá nařízení. OÚ se pochopitelně nebudou vymazávat např. z objednávek, kde máte zákonnou povinnost doklady archivovat 10 let. Přenositelnost OÚ bude možná v jasně daném strojově čitelném formátu, včetně historie objednávek a všech náležitostí, které ukládá GDPR. Snadno, na jeden klik v administraci.
- Cookie lišta – Dočká se výrazných změn jak ve vzhledu, tak ve flexibilitě nastavení. Umožní zobrazit souhlasy a oznámení, nastavit frekvenci vyskakování lišty pro aktivnější získávání dalších souhlasů a řadu dalších vychytávek. Samozřejmostí je změna funkčnosti z opt-out na opt-in (uživatel musí dát aktivní souhlas, nikoli vyjádřit aktivní nesouhlas).
- Modul newsletter – Dáme k dispozici možnost aktivně začít již před 25.5.2018 získávat souhlasy s rozesílkou na kontakty, u kterých tento souhlas zatím nemáte, nebo byste si jinak neobhájili oprávněný zájem jim rozesílku posílat. Snadné odhlášení uživatelů z vaší rozesílky v každém e-mailu je v našem nástroji standardem již dlouho.
Co si budete muset vyřešit sami?
- Doplnění svých údajů a případné úpravy v předpřipraveném dokumentu o zacházení s osobními údaji subjektů (= návštěvníků / zákazníků)
- Offline záležitosti jako práce s OÚ svých zaměstnanců
- Ověřit, kdo z vašich zaměstnanců / spolupracovníků má přístup k některým OÚ zákazníků a chránit se smluvně
- Zpracovatelské smlouvy s dalšími svými zpracovateli (3. strany, kterým posíláte osobní údaje svých zákazníků – např. e-mailingové nástroje, nástroje na pokročilejší analytiku, Heureka ad.) – samotné nástroje většinou nabídnou smlouvu ke stažení, ale pro jistotu dáme k dispozici vzor standardní zprac. smlouvy
Výčet ani jednoho ze seznamů rozhodně nebude kompletní a určitě se vyskytne řada dalších dílčích kroků, které si budete muset ohlídat. Doporučujeme tedy v každém případě nespoléhat se plně na naše výchozí řešení, ale o téma se zajímat a problematiku GDPR pochopit, abyste věděli, proč jsou konkrétní kroky třeba, jak s námi poskytnutými nástroji pracovat a třeba si naše výchozí řešení poupravit přesně podle potřeb svého e-shopu. 😉
Prosíme o trpělivost
Úprav, které pro vás, ať už na viditelné straně e-shopu, v administraci nebo ve vnitřní infrastruktuře, musíme naprogramovat, je opravdu obrovské množství. Proto vás chceme poprosit o trpělivost.
Na řešení GDPR jsme nasadili početný tým zkušených programátorů, kteří pracují doslova dnem i nocí, abychom vám vše poskytli s co největším předstihem. Určitě ale není možné takto univerzální řešení GDPR vyšvihnout za týden nebo za dva. Realisticky odhadovaný termín kolem konce dubna se tak může mírně odchýlit.
Rozhodně vás ale chceme ujistit, že vše stihneme včas a s dostatečným předstihem! 😉