GDPR - otázky a odpovede
O GDPR koluje množstvo mýtov a dezinformácií. Pokúsime sa vám zodpovedať najčastejšie otázky, ktoré by vás mohli zaujímať.
Prečo sa GDPR pripravilo?
Zámerom zákonodarcov bolo dať občanom Európskej únie väčšiu kontrolu nad tým, čo sa deje s ich dátami. GDPR sa teda týka tak všetkých firiem a inštitúcií, ako aj jednotlivcov a online služieb, ktoré zhromažďujú alebo spracovávajú osobné údaje občanov Európskej únie. A to vrátane spoločností a inštitúcií mimo územia EÚ, ktoré pôsobia na území EÚ. To de facto zahŕňa všetky e-shopy. Oproti súčasnému stavu ide o detailnejšiu a širšiu úpravu povinností správcov a spracovateľov osobných dát.
Čoho všetkého sa môže GDPR vo firme týkať?
Väčšinou sa jedná o ochranu osobných dokladov, dokumentov v písomnej a elektronickej podobe, zabezpečenie ochrany vstupu do budov a kancelárií. V nadväznosti na rozsah a kategóriu osobných údajov a typov činností sa môže týkať týchto oddelení: obchodné, právne, marketingové, IT, personálna a mzdová učtáreň.
Naozaj hrozia tak vysoké pokuty?
Áno aj nie. V médiách ste určite čítali o pokute 20 000 000 eur alebo 4 % z celkového ročného obratu spoločnosti. Nemusíte sa ale báť, že by vám prišla pokuta z čista jasna, bez akéhokoľvek upozornenia alebo ponechania času na nápravu. Aj vo chvíli, keď by ste ignorovali výzvy na nápravu (čo samozrejme neodporúčame), nedostanete pokutu likvidačnú. Pokiaľ sa včas pripravíte a pri nájdení nedostatkov prejavíte skutočnú snahu o nápravu, nemáte sa čoho báť.
Ako sa mám na GDPR konkrétne pripraviť?
S prípravou potrebných dokladov a podkladov vám pomôže náš GDPR checklist. V skratke by ste mali mať na konci procesu pripravené následujúce:
- analýzu osobných údajov, prístupov a marketingových nástrojov,
- analýzu rizík a rozhodnutí o ich úrovni,
- návrh opatrení a rozhodnutí o ich prijatí,
- samotnú implementáciu potrebných opatrení,
- spracovateľské zmluvy od svojich spracovateľov (firiem a služieb, ktoré pomáhajú spracovávať vaše osobné údaje),
- systém uplatňovania práv subjektov osobných údajov,
- systém vedenia záznamov o činnostiach spracovania,
- systém určenia a hlásenia bezpečnostných incidentov ÚOOÚ.
Ako výstup celého prípravného procesu by ste mali mať k dispozícii zložku dokumentov, ktoré vyššie uvedené doložia prípadnej kontrole zo strany ÚOOÚ.
Musím mať vo Spracovateľskej zmluve konkrétne informácie o všetkých svojich obchodných partneroch, ktorí spracúvajú osobné údaje?
Nie. Je vašou povinnosťou informovať vašich zákazníkov o tom, že sa ich dáta odovzdávajú tretím stranám. V rámci zachovania obchodného tajomstva ale môžete odmietnuť konkretizovať, ktoré to sú.
Je potrebné double opt-in (dvojité potvrdenie) u prihlásenia do newsletteru?
Nie. Odosielanie newsletterov zákazníkom e-shopu je oprávneným záujmom správcu. Týchto zákazníkov stačí preukázateľne informovať o účele, zákonných dôvodoch spracovania osobných údajov a ďalších skutočnostiach uvedených v GDPR zaškrtnutím políčka o zoznámení sa s VOP a s podmienkami ochrany osobných údajov. V každom newsletteri je potom podľa zákona o niektorých službách informačnej spoločnosti povinnosťou správcu dať zákazníkovi možnosť odhlásenia. Druhé potvrdenie e-mailom zákazníka z právnych predpisov nevyplýva.
Bude potrebné pre zasielanie obchodných oznámení existujúcim zákazníkom získať nový súhlas so spracovaním osobných údajov?
Nie. Ide o oprávnený záujem prevádzkovateľa e-shopu. Dôležité je pamätať na to, aby mal adresát obchodného oznámenia možnosť jednoducho sa z obchodných oznámení odhlásiť.
Môžem mať univerzálnu textáciu na miestach, kde je súhlas so spracovaním osobných dát nutný?
Záleží. Mali by ste konkrétne vyjadriť, akým krokom sa súhlas vykonáva, tzn. napr. „Dokončením objednávky súhlasíte s ...“ alebo „Vložením e-mailu súhlasíte s ...“. Vždy by ste mali odkazovať na konkrétne články (tzn. VOP a POOÚ), kde sú tieto súhlasy rozvedené podrobnejšie.
Má nakupujúci právo na výmaz všetkých svojich osobných informácií?
Pokiaľ chce nakupujúci zmazať údaje spracované pod iným právnym titulom, než je „súhlas“ (napr. doklady alebo objednávky), potom ste oprávnení povedať, že to nemožno. Môžete využiť váš právny nárok/povinnosť na ukladanie týchto dát po dobu až 15 rokov, a to z dôvodu prípadných budúcich sporov o náhradu škody spôsobenej neúmyselne. U zamestnávateľov je to 30 rokov. Ste oprávnení povedať, že máte vyšší právny titul (tzv. oprávnený nárok), na základe ktorého dáta zbierate a uchovávate.
Musíme definovať aké cookies zbierame?
Povinnosť informovať o cookies sa vzťahuje na rozsah a účel, nie výslovne na konkrétne cookies. Rozsahom cookies sa myslia druhy ukladaných cookies. Informačná povinnosť sa nevzťahuje na technické ukladanie, prístup pre účely prenosu na cookies nevyhnutné pre poskytovanie služby informačnej spoločnosti, ktorá je požadovaná účastníkom alebo používateľom. Používateľom je každý, kto využíva službu elektronických komunikácií. Nemusí ísť len o fyzickú osobu – nepodnikateľa.
V samotnej informačnej lište by ste mali mať aktívny odkaz na článok, kde zákazníka o zbere cookies informujete, tzv. Podmienky ochrany osobných údajov (vzorový formulár ku stiahnutiu).
Aké cookies zbiera Shoptet vo východiskovom režime?
Vašou povinnosťou je informovať nakupujúcich o tom, že tzv. cookies zbierate a že slúžia na zvyšovanie kvality služieb, personalizáciu ponuky, zber anonymných dát a na analytické účely vo vašej prezentácii. Nie je vašou povinnosťou informovať o tom, aké konkrétne cookies zbierate a na aký presný účel. Pokiaľ by ste to chceli aj napriek tomu urobiť, tak tu je zoznam cookies, ktoré za vás zbierame na samotnom e-shope (nie sú v tom zohľadnené ďalšie služby, ktoré si následne aktivujete).
| Cookie | Nastaviteľné v administrácii | Účel | Pre všetkých používateľov | Čas expirácie |
|---|---|---|---|---|
| CookiesOK | Nie | Súhlas s použitím cookies - starší typ súhlasu s cookie | Áno | Za 14 dní |
| CookiesConsent | Nie | Súhlas s použitím cookies - nový typ súhlasu s cookie | Áno | Za 6 mesiacov |
| externalFontsLoaded | Nie | Pomáha nám s načítaním fontov | Áno | Za 1 měsíc |
| informationBanner | Áno - nastavenie vzhľadu | Informačný prúžok | Áno | Za 24 hodin |
| pcart | Nie | Po pridaní do košíku, hash spojujúci používateľa s jeho aktuálnym uloženým košíkom | Áno | Za 1 mesiac |
| NOCACHE | Nie | Vypína cache adminom | Iba pre prihláseného admina | Pri ukončení návštevy |
| PHPSESSID | Nie | Session návštevníka | Áno | Pri ukončení návštevy |
| affiliateUniqueAccessId | Áno - provízny systém | Po príchode cez affiliate link | Nie | |
| displayDesktop | Nie | V starších šablónach si môže používateľ vynútiť desktop verziu | Nie | |
| SRV_ID | Nie | Interné informácie pre zaistenie vysokej dostupnosti | Áno | Pri ukončení návštevy |
Pokiaľ zbieram údaje pre e-shop len pre účely objednávky, ako dlho ich môžem uchovávať?
Musíte ich uchovávať po dobu existencie zmluvy a po jej ukončení to môže byť až na dobu ďalších 15 rokov, čo je doba opretá o zákonnú premlčaciu lehotu na náhradu škody.
Ako uchovávať tlačené doklady? Stačí skriňa, nebo musí byť nejaký trezor?
Existujú opatrenia štandardné a nadštandardné. Medzi tie štandardné patrí napríklad zámok, ako na kancelárii, tak na zamykateľné skrinky, kam skutočne odporúčame listinné veci ukladať. Šanóny s odberateľmi, dodávateľmi, zmluvy atď. U tých sa očakáva, že budú zabezpečené zámkom. Čo sa týka nadštandardných opatrení, k tým patria veci typu alarm v budove, kódy na vstupných dverách atp., ale to už sa týka väčších správcov.
Budem musieť ukončiť spoluprácu s Mailchimpom kvôli ich serverom mimo EU?
To určite nemusíte. Je ale dôležité, aby ste v pravidlách ochrany osobných údajov uvádzali skutočnosť, že posielate osobné údaje do tretích krajín, teda mimo EÚ.
Akú veľkú firmu musím mať, aby som mal povinnosť mať poverenú osobu?
Táto povinnosť sa neodvíja od veľkosti firmy, ale od toho, čo firma robí. Tzv. poverenca musí mať firma, ktorá vykonáva rozsiahle systematické spracovanie osobných údajov. Ďalej je to firma, ktorá vykonáva rozsiahle spracovanie citlivých údajov. A tretím prípadom je firma, kde je správcom osobných údajov verejný orgán. Ani do jednej z týchto kategórií bežné malé e-shopy nespadajú, takže nemusia mať poverencov na ochranu osobných údajov, čím odpadá veľké sústo povinností.
Ako sa zachovať k už registrovaným zákazníkom, ktorí vyjadrili súhlas so spracovaním osobných údajov a zasielaním obchodných informácií?
V prvom rade je potrebné sa pozrieť na svoje existujúce pravidlá ochrany osobných údajov a skontrolovať, či zodpovedajú textácii nového GDPR. Pri súhlasových agend GDPR stanovuje väčšie nároky na súhlas, ktorý musí byť bezpodmienečný a jasne vyjadrený, takže je skutočne potrebné zrevidovať, či je to v aktuálnej podobe splnené. Samozrejme s tým súvisí aj kontrola, či sú v pravidlách uvedené všetky práva, ktoré majú jednotliví koncoví zákazníci.
Bude v rámci GDPR pomáhať zmluva o mlčanlivosti?
Áno, bude pomáhať pri zamestnaneckých vzťahoch ako tzv. nadstavba nad pracovnú zmluvu. A bude pomáhať aj v rámci dodávateľských vzťahov, kde základom je spracovateľská zmluva medzi e-shopom a Shoptetom. Shoptet tiež musí zmluvami o mlčanlivosti zaviazať svojich ľudí, že nebudú vynášať osobné údaje, ktoré sa v rámci plnenia svojej práce dozvedia.
Čo je základom pre spracovanie GDPR v nejakej menšej firme? čo všetko je potrebné z pohľadu e-shopara urobiť?
Pripravili sme vám prehľadný checklist
pre malé e-shopy. Je to rozcestník, ktorý vám povie, čo je potrebné urobiť a na čo musíte dohliadnuť. Odporúčame vám si ho starostlivo prejsť, môže vám výrazne pomôcť.
Pokiaľ vás zaujímajú ďalšie otázky, pustite si špeciálny diel Shoptet.TV k GDPR. Vo video rozhovore s Luciou Radkovičovou z Next Legal sa dozviete aj to, ako si urobiť internú analýzu alebo čo upraviť v e-shope.
Kto mi môže s GDPR pomôcť?
Podľa typu a veľkosti organizácie, rozsahu a kategórií osobných údajov môžete súlad s GDPR zabezpečovať interne, alebo s pomocou externých právnych expertov. Môžeme vám odporučiť právnu kanceláriu Next Legal.