25. květen se neúprosně blíží a mezi e-shopaři roste nervozita ohledně v platnost přicházejícího nařízení EU jménem GDPR. Týká se ochrany osobních údajů a obavy jsou víceméně opodstatněné, vždyť všichni straší pokutami v řádu milionů Eur. Hysterie ale není na místě. Proč? A jak vám GDPR pomůže vyřešit Eshop-rychle?

Co to je GDPR?

Pokud se věnujete provozování e-shopu úplně nově, nebo vás záhádným způsobem zatím minul veškerý povyk okolo GDPR (General Data Protection Regulation), pak si určitě pročtě naše dřívější články, které vás do tématu zasvětí:

Případně pěkný článek od APEKu (Asociace pro elektronickou komerci), který shrnuje, co by měl e-shopař o GDPR vědět.

Není potřeba zbytečná hysterie

hysterický zoufalý muž

Na tématu GDPR se už dlouhé měsíce přiživuje řada pseudoodborníků, kteří se snaží vzbudit kolem tématu větší povyk, než je reálně nutné.

Pravda je ale taková, že zákon o ochraně osobních údajů platí v České republice už od roku 2000 a z EU příchozí nařízení GDPR na něm až tolik nemění. Ano, přináší několik nových konceptů, o kterých si blíže řekneme a které bude potřeba zapracovat a pochopit, ale kdo se do této chvíle řídil výše uvedeným zákonem, tak se pro něj až tolik nemění.

Po schůzce se zaměstnanci ÚOOÚ (Úřad pro ochranu osobních údajů, který bude v ČR dodržování zákona kontrolovat a udělovat pokuty) navíc můžeme potvrdit, že strašení likvidačními pokutami v řádu milionů Eur je také zcela mimo mísu a pokud e-shop bude prokazovat evidentní snahu GDPR dodržovat a případné zjištěné nesrovnalosti řešit, tak mu reálně žádné obrovské pokuty nehrozí.

O poměru počtu kontrolorů úřadu a počtu e-shopů se snad ani zmiňovat nemusíme. Každý si dokáže představit, jaká je pravděpodobnost namátkové kontroly. 🙂 Z výročních zpráv úřadu je jasné, že drtivá většina veškerých kontrol přichází na udání pobouřených zákazníků, nikoli ze zlovůle úřadu.

Kdo se bude tedy chovat k zákazníkům a jejich osobním údajům slušně a zodpovědně, nemá se čeho obávat.

Teoretická příprava na GDPR od právničky Petry Dolejšové (e-Legal)

Petra Dolejšová - advokátka eLegal

zdroj: Twitter (@DolejsovaPetra)

Jak jsme slíbili, zajistili jsme pro vás video s Petrou Dolejšovou, právničkou advokátní kanceláře eLegal, která se specializuje na právo v e-commerce a v současnosti zejména na problematiku GDPR. Petra ráda přednáší, organizuje konference, a hlavně má kouzelný dar přeložit právničinu příjemným způsobem do lidštiny tak, aby ji dokázal pochopit i běžný smrtelník. 🙂

 

Video “GDPR pro e-shopy” (32 minut):

Řešení GDPR od Eshop-rychle

Z videa je asi patrné, že aby e-shopař byl schopen splnit všechny požadavky GDPR, bude na straně e-shopové platformy potřeba udělat celá řada změn. Ať už na frontendu (viditelné části e-shopu), backendu (administrace e-shopu) nebo ve vnitřní infrastruktuře.

Do řešení jsme investovali opravdu hodně času, peněz za odborné konzultace s GDPR specialisty, promýšleli ho tam a zpět ze všech stran a jsme přesvědčeni, že se nám podařilo vymyslet řešení, které bude uživatelsky přívětivé, pro e-shopaře pochopitelné, splní všechny zákonné požadavky a navíc bude dostatečně flexibilní k případným změnám v zákonně (nebo k vlastnímu výkladu nařízení 😉 ).

Zároveň ale nechceme naservírovat konkurenci toto řešení na zlatém podnose, což je důvod, proč se zatím nechceme v tomto článku podělit o detailní rozbor celého řešení. Souběžně s tím ale samozřejmě chceme dát vám e-shopařům co nejvíce informací, abyste už nyní měli jasnou představu, co vše vám pomůžeme vyřešit, k čemu vám dáme nástroje a co si naopak budete muset vyřešit na své straně.

GDPR a Eshop-rychle

Co naše platforma vyřeší za vás?

  • Na odpovídající místa e-shopových šablon se budou vypisovat příslušné souhlasy a oznámení (nákupní proces, registrace uživatele, příspěvky v diskuzi, kontaktní formulář, přihlášení do newsletteru, pop-up okno, cookie lišta a další místa)
  • Připravíme pro vás výchozí nastavení souhlasů a oznámení, ale bude prostor s nimi kreativněji pracovat (=nebudete mít povinně stejnou textaci jako 6.500 dalších e-shopů na Eshop-rychle)
  • Double opt-in e-maily (= e-mail, který návštěvníkovi přijde na vyplněnou e-mailovou adresu s unikátním odkazem pro potvrzení registrace / přihlášení do odběru newsletteru apod.) – Nejsou sice v rámci řešení GDPR povinností, ale odborníky jsou silně doporučované pro ověření vlastnictví e-mailové adresy (opět s nimi půjde kreativně pracovat).
  • Zpracovatelská smlouva – V tuhle chvíli je už snad jasné z videa, že vy jako e-shopař jste správce osobních údajů a my jsme váš zpracovatel těchto údajů. Musíme mít tedy mezi sebou uzavřenou zpracovatelskou smlouvu. Tuto smlouvu připravíme pro snadné odsouhlasení, dáme k dispozici do administrace k nahlédnutí a stažení pro vaši archivaci.
  • Podrobný vzorový dokument o zacházení s osobními údaji – Podobně jako v případě obchodních podmínek vám dáme k dispozici výchozí dokument na samostatné stránce, schválený od právníků a univerzálně považovaný jako dostačující. Pro běžné účely bude plně dostačující a bude stačit pozměnit identifikační údaje e-shopu. Pokud ale s e-shopem a osobními údaji subjektů budete chtít provádět pokročilejší kousky, doporučujeme všechny kroky konzultovat s právníkem a příslušným způsobem si dokument upravit.
  • Spouštění měřících kódů – Jednotlivé měřící, remarketingové a podobné kódy a skripty se nebudou spouštět návštěvníkovi automaticky ihned po návštěvě webu, ale až ve chvíli, kdy od něj získáte aktivní souhlas, nebo ho dostatečně informujete o svém oprávněném zájmu na jeho spuštění.
  • Evidence souhlasů – pro případ kontroly musíte být schopni doložit, kdy vám subjekt dal konkrétní souhlas, k jakému účelu, a dokonce i v jakém přesném znění. Evidence souhlasů a práce s nimi bude u jednotlivých uživatelů k dispozici.
  • Expirace souhlasů – Souhlasy nelze brát na dobu neurčitou. Vždy musí být přesně stanoveno, na jak dlouho si konkrétní souhlas berete. Tyto souhlasy budou tedy po čase expirovat a vy dostanete nástroj, jak souhlasy e-mailovou automatikou včas od uživatelů obnovovat.
  • Výmaz / přenositelnost údajů – U každého uživatele dostanete možnost kompletně ho ze své (a naší) databáze vymazat. Samozřejmě jen z míst, kde to ukládá nařízení. OÚ se pochopitelně nebudou vymazávat např. z objednávek, kde máte zákonnou povinnost doklady archivovat 10 let. Přenositelnost OÚ bude možná v jasně daném strojově čitelném formátu, včetně historie objednávek a všech náležitostí, které ukládá GDPR. Snadno, na jeden klik v administraci.
  • Cookie lišta – Dočká se výrazných změn jak ve vzhledu, tak ve flexibilitě nastavení. Umožní zobrazit souhlasy a oznámení, nastavit frekvenci vyskakování lišty pro aktivnější získávání dalších souhlasů a řadu dalších vychytávek. Samozřejmostí je změna funkčnosti z opt-out na opt-in (uživatel musí dát aktivní souhlas, nikoli vyjádřit aktivní nesouhlas).
  • Modul newsletter – Dáme k dispozici možnost aktivně začít již před 25.5.2018 získávat souhlasy s rozesílkou na kontakty, u kterých tento souhlas zatím nemáte, nebo byste si jinak neobhájili oprávněný zájem jim rozesílku posílat. Snadné odhlášení uživatelů z vaší rozesílky v každém e-mailu je v našem nástroji standardem již dlouho.

Co si budete muset vyřešit sami?

  • Doplnění svých údajů a případné úpravy v předpřipraveném dokumentu o zacházení s osobními údaji subjektů (= návštěvníků / zákazníků)
  • Offline záležitosti jako práce s OÚ svých zaměstnanců
  • Ověřit, kdo z vašich zaměstnanců / spolupracovníků má přístup k některým OÚ zákazníků a chránit se smluvně
  • Zpracovatelské smlouvy s dalšími svými zpracovateli (3. strany, kterým posíláte osobní údaje svých zákazníků – např. e-mailingové nástroje, nástroje na pokročilejší analytiku, Heureka ad.) – samotné nástroje většinou nabídnou smlouvu ke stažení, ale pro jistotu dáme k dispozici vzor standardní zprac. smlouvy

Výčet ani jednoho ze seznamů rozhodně nebude kompletní a určitě se vyskytne řada dalších dílčích kroků, které si budete muset ohlídat. Doporučujeme tedy v každém případě nespoléhat se plně na naše výchozí řešení, ale o téma se zajímat a problematiku GDPR pochopit, abyste věděli, proč jsou konkrétní kroky třeba, jak s námi poskytnutými nástroji pracovat a třeba si naše výchozí řešení poupravit přesně podle potřeb svého e-shopu. 😉

Prosíme o trpělivost

Úprav, které pro vás, ať už na viditelné straně e-shopu, v administraci nebo ve vnitřní infrastruktuře, musíme naprogramovat, je opravdu obrovské množství. Proto vás chceme poprosit o trpělivost.

Na řešení GDPR jsme nasadili početný tým zkušených programátorů, kteří pracují doslova dnem i nocí, abychom vám vše poskytli s co největším předstihem. Určitě ale není možné takto univerzální řešení GDPR vyšvihnout za týden nebo za dva. Realisticky odhadovaný termín kolem konce dubna se tak může mírně odchýlit.

Rozhodně vás ale chceme ujistit, že vše stihneme včas a s dostatečným předstihem! 😉

Honza je marketingový manager Eshop-rychle.cz a Eshop-rychlo.sk, jehož největším hnacím motorem je snaha zpříjemnit provozovatelům e-shopů tvorbu, provoz i další rozvoj jejich internetových obchodů.
Ve volném čase je nadšeným milovníkem sportů všeho druhu. 🙂

Líbil se vám článek? Budeme rádi, když ho nasdílíte svým přátelům!

Tohle už jste četli?

Komentáře k článku

  • Rob Erde

    Spouštění měřících kódů – Jednotlivé měřící, remarketingové a podobné kódy a skripty se nebudou spouštět návštěvníkovi automaticky ihned po návštěvě webu.
    To je docela blbost ne? Jako že když to neodsouhlasí na webu tak se nespustí analytický kódy, konverzní či remarketingové? To by úplně zabilo marketing.

    • Jan Brož

      Dobrý den Robe, pro online marketing to samozřejmě trochu komplikace bude. Ale zase to není určitě úplně zabiják marketingu. 🙂

      Nevím, jestli jste viděl i video, které vysvětluje teoretický základ GDPR. Z něj by mělo být jasnější, které kódy můžete jako e-shopař spustit automaticky a na které potřebujete souhlas.

      Například základní analytické a konverzní kódy můžete spustit automaticky (z pohledu GDPR je to váš oprávněný zájem a stačí o tom uživatele informovat), ale remarketing už pro změnu pod oprávněný zájem neschováte a určitě budete muset nejprve získat zákazníkův souhlas.

      • Rob Erde

        Děkuji za odpověď, ale jestli se spustí automaticky GA kód tak můžu díky tomu dělat remarketing například v Adwords. To znamená, že legislativa říká, že to nesmím použít? Dá se to vůbec kontrolovat? 😀

        • Jan Brož

          Teď nevím, jestli si pod GA oba představujeme to stejné, tak aby nedošlo k mýlce. 🙂 –> GA = Google Analytics…. spustit základní anonymizované měření pro GA není problém, dokud zákazníka nějak pokročileji neprofilujete – k tomu už byste potřeboval souhlas.

          Remarketing v Google AdWords – na to se spouští samostatný kód nezávislý na připsání konverzí –> remarketingový kód nesmíte spustit, dokud vám k remarketingu nedal uživatel výslovný souhlas zaškrtnutím checkboxu.

          Kontrolovat se to v zásadě asi dá, i když někde to bude složitější, nicméně pokuty za to hrozí takové, že kdyby to někdo umýslně obcházel a úřad to poznal, tak pokuta může být opravdu mastná. Pokud to ale bude očividně spíš nedopatřením a nebude to pochybení nikterak závažné, tak pokuta by měla být víceméně symbolická, popř. jen upozornění a daný čas na nápravu.

          Je to ale na každém z vás, kam až budete ochoten v tom vlastním výkladu oprávněného zájmu zajít. 😀 Riziko pokuty samozřejmě nese vždy samotný e-shopař jakožto správce osobních údajů subjektu.

          • Rob Erde

            Ano v Google Analytics můžete vytvářet publika pomocí GA scriptu a následně poslat do Adwords. U tohohle si moc nedokážu představit, jak filtrovat jen odsouhlasené cookiny.

shares