O GDPR koluje veľa mýtov a vtipov, ale viete, čo to vlastne je? Existuje množstvo pravidiel, zákonov a nariadení, ktoré musia prevádzkovatelia e-shopov dodržiavať, ak sa chcú vyhnúť sankciám. Jedným z takýchto nariadení, ktoré rozhodne neodporúčame zanedbávať, je GDPR. O tom, čo povinnosť dodržiavať GDPR znamená pre e-shopy, si povieme v dnešnom článku.
Čo je GDPR?
GDPR je zákon Európskej únie, ktorý sa zaoberá ochranou osobných údajov a od roku 2018 platí pre všetky členské štáty EÚ. Toto nariadenie upravuje spôsoby zhromažďovania, uchovávania a ďalšieho používania osobných údajov. Nevzťahuje sa teda len na e-shopy, ale na všetky oblasti, v ktorých sa pracuje s osobnými údajmi.
Čo sú osobné údaje z hľadiska GDPR?
Podľa nariadenia GDPR sú osobnými údajmi všetky údaje, ktoré by sa mohli použiť na identifikáciu osoby. Ide napríklad o tzv:
- meno a priezvisko
- adresa bydliska
- e-mailová adresa obsahujúca meno a/alebo priezvisko
- číslo občianskeho preukazu, identifikačné číslo firmy atď.
- údaje o polohe (napr. informácie o polohe mobilného telefónu)
- IP adresa
- údaje z netechnických súborov cookie
- fotografie osôb
Naopak, za osobné údaje sa nepovažuje napríklad e-mailová adresa, ako je info@firma.com, alebo identifikačné číslo spoločnosti.
Čo musí e-shop obsahovať, aby spĺňal požiadavky GDPR?
Z uvedených príkladov osobných údajov je zrejmé, že e-shopy pri predaji pracujú s osobnými údajmi zákazníkov, a preto musia spĺňať požiadavky GDPR. V prípade bežného e-shopu sa GDPR vzťahuje na nasledujúce body.
Súbory cookie
Prvá vec, na ktorú narazíte na väčšine webových stránok, je otázka, či súhlasíte s používaním súborov cookie. Toto je práve z dôvodu GDPR, pretože okrem technicky nevyhnutných súborov cookie sa na všetky ostatné súbory cookie vzťahuje GDPR.
Ak chcete používať súbory cookie napríklad na marketingové, analytické alebo iné netechnické účely, návštevník e-shopu musí mať hneď na začiatku možnosť ich schváliť alebo odmietnuť.
Väčšina webových stránok to rieši informačnými lištami alebo vyskakovacími oknami, ktoré podliehajú pravidlám:
- schválenie alebo neschválenie musí byť rovnako jednoduché
- súhlas nesmie byť vopred potvrdený (napr. vopred zaškrtnuté políčko alebo prepínač)
- informačná lišta alebo vyskakovacie okno nesmie brániť používaniu stránky bez súhlasu alebo nesúhlasu
- netechnické súbory cookie sa nemôžu používať pred udelením súhlasu
- návštevníkovi musia byť pred rozhodnutím poskytnuté informácie o spracovaní osobných údajov
Veľký počet webových stránok nerieši túto otázku správne, napríklad sťažuje odmietnutie súborov cookie tým, že vyžaduje ďalšie kliknutia, zviditeľňuje tlačidlo súhlasu, vopred potvrdzuje súhlas alebo dokonca používa súbory cookie bez súhlasu. Rovnako ako v prípade ostatných bodov, aj za takéto správanie hrozia vysoké sankcie, pozri ďalej.
Zásady spracovania osobných údajov
Zásady spracúvania osobných údajov sú dokumentom, ktorý opisuje, kto, prečo a ako zhromažďuje a spracúva osobné údaje. V bežnom e-shope tento dokument obsahuje:
- kontaktné údaje prevádzkovateľa (= správcu údajov)
- konkrétny zoznam osobných údajov, ktoré sa zhromažďujú
- účel, na ktorý sa informácie používajú
- právny základ pre spracovanie osobných údajov – takýmto základom môže byť súhlas zákazníka, ale aj uskutočnený predaj alebo tzv. oprávnený záujem, pozri ďalej
- informácie o uchovávaní osobných údajov – najmä doba uchovávania údajov a právo zákazníka na vymazanie alebo zmenu údajov a spôsob, akým tak môže urobiť
- informácie o poskytovaní osobných údajov tretím stranám (v prípade e-shopov ide typicky o dopravcov, ale aj účtovníkov, marketingové agentúry a podobne) vrátane prenosu údajov do krajín mimo EÚ, kde sa neuplatňuje GDPR
Zásady by mali byť samostatným dokumentom oddeleným od obchodných podmienok e-shopu a mali by byť ľahko dostupné na webovej stránke.
Aké sú ďalšie povinnosti e-shopu v súvislosti s GDPR?
Okrem informácií pre návštevníkov stránky existujú ďalšie povinnosti e-shopu vo vzťahu k GDPR:
Uchovávanie, bezpečnosť a dokumentácia.
Ďalšou oblasťou, ktorú budete musieť ako e-shop prispôsobiť GDPR, je uchovávanie a bezpečnosť zverených údajov.
Doba uchovávania údajov by nemala presiahnuť dobu nevyhnutnú na účel uchovávania. V praxi to napríklad znamená, že ak uchovávate údaje na marketingové účely, po zatvorení e-shopu ich musíte vymazať.
GDPR tiež ukladá povinnosť zabezpečiť údaje tak, aby neboli verejne prístupné, a to v digitálnej aj fyzickej podobe. V prípade digitálnych údajov to zahŕňa napríklad ich zabezpečenie silným heslom alebo zašifrovanie databázy a v prípade fyzických nosičov ich uchovávanie pod zámkom.
GDPR so sebou prináša aj potrebu dokumentácie. Spoločnosti s viac ako 250 zamestnancami sú povinné viesť záznamy o svojich činnostiach spracovania osobných údajov, čo nie je prípad väčšiny e-shopov na Slovensku. Rovnako sa bežných e-shopov netýka potreba vymenovať úradníka pre ochranu osobných údajov.
Pokiaľ však ide o menšie e-shopy, existuje interné nariadenie o spracúvaní údajov, ktoré stanovuje, kto má prístup k osobným údajom a ako sa s nimi nakladá. Tento dokument vychádza z informácií uvedených v Zásadách ochrany osobných údajov.
V prípade, že sa údaje prenášajú tretím stranám (dopravcom, účtovníkom a pod.), musíte aj tak zmluvne ošetriť prenos osobných údajov tretím stranám v súlade s GDPR. Nezabudnite, že to musí byť uvedené aj v Zásadách spracovania údajov (pozri vyššie).
Oznamovacie povinnosti v prípade porušenia ochrany údajov
V prípade porušenia bezpečnosti zhromaždených údajov, pri ktorom dôjde k úniku, zmene alebo strate, musí prevádzkovateľ (prevádzkovateľ e-shopu) túto udalosť do 72 hodín od zistenia nahlásiť. Aj dotknuté osoby musia byť informované v prípade vysokého rizika zneužitia údajov.
Potrebuje e-shop súhlas na spracovanie osobných údajov?
Mohlo by sa zdať, že každý e-shop potrebuje súhlas na spracovanie osobných údajov, ale nie je to tak. Pomôcť vám môžu právne dôvody spracúvania osobných údajov, ktoré je potrebné uviesť v Zásadách ochrany osobných údajov.
Spracúvanie na účely plnenia zmluvy: Na účely elektronického predaja a vrátenia tovaru bezpodmienečne potrebujete niektoré osobné údaje – typicky meno, priezvisko, adresu a ďalšie kontaktné údaje, ktoré sa používajú na platbu a doručenie. Na zhromažďovanie týchto údajov na účely predaja nepotrebujete dodatočný súhlas – bez neho sa predaj v e-shope nemôže uskutočniť.
Oprávnený záujem v Zásadách ochrany osobných údajov znamená, že môžete spracúvať osobné údaje zákazníkov bez ich súhlasu, ak je to vo vašom záujme. Týka sa to napríklad priameho marketingu v podobe ponúkania tovaru alebo služieb zákazníkom, ktorí už u vás nakúpili. Ak však chcete použiť personalizovaný marketing alebo osloviť tých, ktorí ešte nenakúpili, budete potrebovať súhlas.
Medzi ďalšie výnimky, na ktoré nepotrebujete súhlas, patrí spracúvanie údajov na účely plnenia zákonnej povinnosti e-shopu (napr. daňových povinností) alebo trestného práva.
Súhlas so spracúvaním osobných údajov budete potrebovať, ak informácie o vašich osobných údajoch odovzdáte tretej strane alebo ich inak použijete a nebude existovať oprávnený záujem alebo spracúvanie na účely plnenia zmluvy alebo plnenia zákonných povinností e-shopu. Tento súhlas nesmie byť nijako podmienený (napr. nemožnosť nákupu bez súhlasu), nesmie byť vopred potvrdený (napr. štandardným zaškrtnutím políčka súhlasu) a informácie o spracúvaní osobných údajov musia byť ľahko dostupné a zrozumiteľné.
E-shop, GDPR a e-mailing
Preč sú časy, keď ste mohli rozosielať propagačné e-maily bez rozmyslu. GDPR upravuje aj e-mailový marketing, ktorý je pre e-shopy dôležitou súčasťou marketingového mixu. Na čo si dať pozor?
TIP: E-mailovému marketingu pre e-shopy sme sa už venovali v článku E-mailový marketing môže naštartovať predaj.
Výnimka pre zákazníkov
Pri zasielaní e-mailov zákazníkom, ktorí u vás už nakúpili, môžete využiť zákaznícku výnimku. Tá vám umožní posielať existujúcim zákazníkom ponuky na podobný tovar a služby, ktoré si u vás zakúpili.
Zákazník však musí mať možnosť vopred sa odhlásiť zo zasielania e-mailov. Bežným riešením je zaškrtávacie políčko pri pokladni, v ktorom zákazník potvrdí, že si neželá dostávať propagačné oznámenia.
Zhromažďovanie nových kontaktov
Ak chcete posielať e-maily tým, ktorí u vás nenakúpili, budete potrebovať ich súhlas so zásadami ochrany osobných údajov, ktoré poskytnete potenciálnym zákazníkom na prečítanie. Tento súhlas musí byť slobodný, aktívny a informovaný a ste povinní ho zaznamenať – teda žiadne vopred zaškrtnuté políčka vo formulári.
Štandardom je takzvaný dvojitý súhlas (double opt-in): zákazník požiada (zvyčajne prostredníctvom kontaktného formulára) o odber noviniek a na uvedenú e-mailovú adresu sa odošle e-mail s výzvou na potvrdenie odberu kliknutím na priložený odkaz. Po kliknutí sa príjemca pridá do e-mailovej databázy. Týmto spôsobom poskytujete takmer nepriestrelný dôkaz v prípade auditu z hľadiska nariadenia GDPR a zároveň filtrujete nesprávne adresy.
TIP: Na prepojenie obchodu WooCommerce a služby odosielania e-mailov sa používa plugin SmartEmailing. Vďaka pluginu sa kontaktné údaje zozbierané vo vašom e-shope prenesú priamo do e-mailovej databázy v službe SmartEmailing, kde môžete vytvárať e-mailingové kampane.
Odhlásenie z odberu e-mailov
V každom e-maile, ktorý posielate svojim kontaktom, musíte uviesť odkaz na odhlásenie z odberu e-mailov. Odvolanie súhlasu by malo byť rovnako jednoduché ako jeho odsúhlasenie. Zložitý proces odhlásenia môže mať za následok sankcie zo strany regulačného orgánu.
Aké sú sankcie pre e-shopy za porušenie GDPR?
O tom, že GDPR treba brať vážne, svedčia aj veľmi vysoké pokuty, ktoré možno uložiť za porušenie tohto nariadenia. Maximálna výška pokút je 20 000 000 eur alebo 4 % z celkového ročného obratu spoločnosti (vyššia z týchto dvoch hodnôt). Okrem uvedených pokút hrozí v prípade poškodenia aj žaloba o náhradu škody zo strany poškodených strán.
Preto by ste implementáciu opatrení GDPR nemali zanedbávať, či už vlastníte malý alebo veľký e-shop. Aby ste mali istotu, že nariadenia dodržiavate správne, je vhodné obrátiť sa na odborníkov. Na túto oblasť práva existujú špecializovaní konzultanti GDPR, ktorých služby môžete využiť.
Úplné znenie nariadenia GDPR nájdete na stránke eur-lex.europa.eu
Poznámka: Tento článok nenahrádza odborné právne poradenstvo.