Jak připravit web na GDPR

Co je GDPR?

GDPR (General Data Protection Regulation) je obecné nařízení o ochraně osobních údajů. V platnost vstupuje 25. května 2018 a týká se nejen subjektů se sídlem na území Evropské unie, ale všech subjektů, které zpracovávají osobní údaje občanů EU. GDPR sjednocuje právní rámec pro ochranu osobních údajů (OÚ) v prostředí EU a rozšiřuje zásady a principy ochrany OÚ o nová práva a povinnosti.

Zpracování osobních údajů

Osobní údaje jsou z pohledu GDPR jakékoliv informace, které vedou k identifikaci konkrétní osoby. Kromě údajů jako jméno, pohlaví nebo email, jde i o informace jako například IP adresa, navštívené stránky či zboží nakoupené v eshopu.

Abyste mohli osobní údaje zpracovávat, je nutné naplnit alespoň jeden z právních titulů. Mezi nejčastěji využívané tituly patří:

  • oprávněný zájem, kdy zákon umožňuje v určité situaci (například po uzavření kupní smlouvy) předpokládat, že osoba souhlasí s využitím osobních údajů,
  • plnění smlouvy, kdy zpracování osobních údajů je nutné pro plnění smluvních závazků,
  • souhlas návštěvníka, jehož osobní údaje zpracováváte.

Pokud máte oprávnění zpracovávat osobní údaje na základě oprávněného zájmu nebo plnění smlouvy, je získávání souhlasu nadbytečné. Stačí návštěvníka informovat o zpracování osobních údajů. Požadovat byste měli pouze údaje, které potřebujete a to po dobu, která odpovídá účelu zpracování.

Stránka Zásady ochrany osobních údajů

Pro každý web je nutné založit stránku, která bude návštěvníky informovat, jak pracujete s jejich osobními údaji. Stránka musí obsahovat všechny informace uvedené v článku 13 a 14 GDPR. Měla by popisovat všechny případy, ve kterých dochází ke zpracování osobních údajů, u webů jde například o využití cookies a zpracování dat z webových formulářů.

Informace o zpracování osobních údajů musí být psané jasným a srozumitelným jazykem bez právnických frází a zároveň být snadno dohledatelné. To znamená, že odkaz na Zásady ochrany osobních údajů musí být součastí cookie lišty a všech formulářů. Informace by návštěvník měl obdržet nejpozději v okamžiku, kdy jeho osobní údaje získáváte, proto je nutné odkazovat se na ně v případě:

  • sjednávání smlouvy nebo potvrzení objednávky,
  • udělování souhlasu se sběrem cookies,
  • udělování souhlasu se zpracováním osobních údajů,
  • v obchodních podmínkách (Zásady ochrany osobních údajů musí být mimo Obchodní podmínky, do Obchodních podmínek ale zahrňte ustanovení, že zpracování osobních údajů se řídí Zásadami ochrany osobních údajů).

Abyste byli schopní prokázat, s jakými informacemi měl návštěvník možnost se seznámit, je třeba uchovávat verzi souhlasu, kterou návštěvník odsouhlasil. Pokud například u kontaktního formuláře změníte dobu, po kterou uchováváte osobní údaje, musíte zaznamenat, s jakou lhůtou pro zpracování údajů konkrétní návštěvník souhlasil.

Práce s formuláři v souladu s GDPR

U formulářů je třeba rozlišovat, k jakým účelům jsou data z formuláře využívaná.

Objednávkové formuláře

Osobní údaje v tomto případě využíváte k plnění smlouvy. Od návštěvníka potřebujete získat souhlas s obchodními podmínkami a informovat ho o zpracování osobních údajů s odkazem na stránku Zásady ochrany osobních údajů. Je ale nezákonné získávat souhlas, který nelze neudělit, proto není možné zahrnout Zásady ochrany osobních údajů do Obchodních podmínek.

Vytvořením objednávky zároveň vzniká oprávněný zájem. Díky tomu můžete využívat takto získané kontakty k posílání marketingových sdělení.

Ukázka objednávkového formuláře v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Kontaktní formulář

Osobní údaje u kontaktního formuláře potřebujete k vyřízení dotazu návštěvníka, proto není možné vyžadovat souhlas, ale je třeba informovat návštěvníka o zpracování osobních údajů a odkázat ho na Zásady ochrany osobních údajů. Pokud chcete kontakt poté využívat k zasílání marketingových sdělení, je třeba nejdříve získat souhlas.

Ukázka kontaktního formuláře v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Newsletter

Pokud je z kontextu jasné, že primárním účelem formuláře přihlášení k zasílání newsletteru, je možné za vyjádření souhlasu považovat vyplnění emailu. GDPR explicitně neurčuje, jakým způsobem návštěvník vyjadřuje svůj souhlas.

Dle GDPR má správce povinnost dostatečně ověřit totožnost návštěvníka. Vhodnou a doporučovanou formou je double opt-in potvrzení. Oproti jednoduchému opt-in potvrzení zahrnuje zaslání potvrzovacího emailu. Kontakt je přidaný do databáze až po odsouhlasení, kliknutím na odkaz v potvrzovacím emailu. Pokud se uživatel přihlásí k odběru, ale email nepotvrdí, měly by být jeho údaje z databáze v řádu hodin smazané. Služby jako MailChimp a Smart Emailing funkci dvojího potvrzení podporují a připravily pro tyto případy vlastní návody.
Ukázka přihlášení k newsletteru v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Ostatní formuláře

Webové formuláře, které sbírají osobní údaje o návštěvnících webu, musí obsahovat povinné potvrzení souhlasu se zpracováním osobních údajů. Stejně jako u newsletteru je třeba vždy jednoznačně vyjmenovat, za jakým účelem budou tyto informace zpracované a pro každý účel získat souhlas.

Stejně jako u cookies musí být souhlas se zpracováním údajů udělen svobodně, jednoznačně a konkrétně a musí být informovaný. Navíc je nutné zaznamenávat, kdy a jak byl souhlas udělen.

Databáze poskytnutých souhlasů a její správa

Správce musí být schopný doložit a prokázat souhlas subjektu se zpracováním jeho osobních údajů, a to kdykoliv po dobu, po kterou zpracování probíhá. Každý web, respektive jeho administrační systém by měl být vybavený databází a modulem, ve které jsou přehledně uchovávána data o uživatelích i s přesnou formulací souhlasu. Díky takovému modulu je možné při případné kontrole doložit poskytnuté souhlasy nebo naopak na přání uživatele osobní data vymazat a odvolat souhlas.

Přístup k osobním údajům musí být omezen tak, aby každý zaměstnanec měl přístup pouze k OÚ, které potřebuje ke své činnosti. Například editor článků nebo překladatel by do databáze osobních údajů neměl mít přístup. Proto musí systém disponovat uživatelskými právy, které umožní nastavit různé úrovně přístupů pro jednotlivé role.

Doba pro uchování osobních údajů

Pro všechny případy zpracování OÚ je nutné stanovit lhůtu, po kterou budete OÚ uchovávat a pracovat s nimi. Údaje nesmí být zpracovávány po neomezenou dobu. Doba uložení je daná svým účelem, pokud není možné ji konkrétně určit, je nutné specifikovat, podle jakých faktorů ji budete určovat. Pro zodpovězení dotazu stačí týden, u objednávky potřebujete osobní údaje uchovávat pro případné reklamace či soudní spory až po dobu několika let.

Současná databáze kontaktů

Pokud zpracováváte osobní údaje na základě souhlasu, který nesplňuje popsané podmínky GDPR, je nutné získat souhlas znovu. Pokud se jej nepodaří získat, je nutné všechny OÚ smazat. Rozesílání newsletteru současným zákazníkům lze zařadit pod oprávněný zájem, v tomto případě proto není nutné získávat souhlas, ale je nutné zákazníkovi například v záhlaví emailu umožnit odhlášení z newsletteru a přidat odkaz na Zásady ochrany osobních údajů.

Zabezpečení dat

Kromě povinností, které GDPR explicitně specifikuje, zároveň GDPR požaduje uplatňování obecných zásad ochrany dat. Data by měla být chráněná adekvátními prostředky s přihlédnutím ke konkrétnímu kontextu zpracování dat tak, aby rizika úniku dat byla minimální. Vhodnými způsoby zabezpečení je například šifrování, pseudonymizace nebo použití SSL certifikátů.

Kontrola služeb třetích stran

Pokud vámi sesbíraná data zpracovává třetí strana, tzv zpracovatel, jste zodpovědní i za to, že pokyny GDPR dodržuje váš zpracovatel. Jde například o exporty do nástrojů třetích stran jako jsou Google Analytics, Mailchimp nebo Raynet. Každý případ zpracování osobních dat je nutné pokrýt písemnou smlouvou případně aktualizovat současné zpracovatelské smlouvy podle nových podmínek. Většina těchto nástrojů své obchodní podmínky upraví a bude vás o tom informovat.

TIP: Administrace solidpixels je na GDPR technologicky plně připravená

Návod, jak připravit web tak, aby splňoval všechny požadavky GDPR naleznete v tomto článku.

Zažijte solidpixels. na vlastní kůži

Zjistěte, jakým způsobem můžete na internetu získávat více klientů v souladu s GDPR, prezentovat vaší firmu na světové úrovni a přesto optimalizovat náklady na provoz prvotřídního webu.

  • 1 -15 zaměstnanců
  • 15 - 100 zaměstnanců
  • 100 - 1000 zaměstnanců
  • 1000 a více zaměstnanců
Odesláním tohoto formuláře udělujete souhlas společnosti Breezy, s.r.o. k zpracování vašich údajů za účelem reakce na váš dotaz. Spolu s tím vám pomocí emailu i telefonu představíme, čím by vám mohl být nástroj solidpixels užitečný. Svůj souhlas můžete kdykoliv odvolat.

Upozornění 
Checklist je orientační a jeho cílem je ukázat vám přehled věcí, které je v souvislosti s GDPR třeba na webu zohlednit. Pokud chcete mít jistotu, že je váš web 100% připravený, vždy doporučujeme konzultaci s právníkem.

Vyzkoušejte si, co jste se právě naučili