GDPR: Co připravujeme?
GDPR: Co připravujeme v eshopu JZShop
Jak jistě všichni víte, od 25.5.2018 vstoupí v platnost obecné nařízení evropské unie (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob obecně známé jako GDPR, které nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů. Toto nařízení se dotkne každého, kdo zpracovává osobní údaje, tedy i e-shopů.
Po EET je to další byrokratická zátěž, kterou musí eshopaři řešit. V případě implementace EET jsme vše vyřešili za vás, bohužel GDPR nebude tak jednoduché. Dnes vám představíme plánované úpravy aplikace JZShop.
Jak připravujeme aplikaci na nové nařízení?
V prvé řadě jsme provedli důkladnou analýzu osobních údajů, které v aplikaci JZShop zpracováváme a analyzovali jsme procesy, při kterých ke zpracování dochází. Všechny osobní údaje jsou zpracovávány na základě konkrétního účelu, pro který bude dle GDPR nutný souhlas.
Připravujeme úpravy aplikace tak, aby procesy zpracování osobních údajů splňovali požadavky GDPR. Jak jsme již zmínili výše, pro každý účel zpracování osobních údajů bude vyžadován souhlas nebo informační povinnost. V současné době pracujeme na implementaci jednotlivých zpracování pro účely:
- Objednávky – nutná informační povinnost o zpracování osobních údajů, zpracování osobních údajů je na základě oprávněného zájmu plnění smlouvy
- Registrace – nutný souhlas se zpracováním osobních údajů, doporučené dvoufázové ověření (double opt-in) pomocí emailu. Zde nemusí být splněna podmínka oprávněného zájmu, pokud registrovaný dosud neprovedl objednávku.
- Zasílání obchodních sdělení – nutný souhlas se zpracováním osobních údajů, doporučené dvoufázové ověření (double opt-in) pomocí emailu.
- Kontaktní formulář – nutná pouze informační povinnost o zpracování osobních údajů, zpracování osobních údajů je na základě oprávněného zájmu komunikace se zákazníkem
- Recenze zboží – v případě, že v recenzi zboží vyžadujete osobní údaje (jméno, email) je nutný souhlas se zpracováním osobních údajů, doporučené dvoufázové ověření (double opt-in) pomocí emailu
- Vlastní pole v objednávce – pouze v případě, že se bude jednat o osobní údaj. Např. pro sdělení data narození nebo pohlaví je nutný souhlas se zpracováním osobních údajů.
Každý účel zpracování osobních údajů vyžaduje vlastní souhlas (nebo informační povinnost), který bude doložitelný v přesném znění v době udělení souhlasu. Proto bude ke každému účelu možnost vyplnit odlišný text o zpracování osobních údajů, který budeme verzovat a každou změnu ukládat. V každém souhlasu musí být specifikováno, k čemu se budou osobní údaje využívat, po jakou dobu budou uchovány a komu je budete předávat. Takže v případě objednávky bude účel zpracování zcela odlišní oproti zasílání obchodních sdělení. Ve spolupráci s advokátní kanceláří pro vás připravujeme vzorové texty, které si následně budete muset upravit dle konkrétních podmínek.
Třívrstvé informování
V aplikaci JZShop bude k dispozici třívrstvé informování (layered)
- úroveň – krátký text přímo u odkazu na stránku o zpracování osobních údajů, který bude viditelný např. při najetí kurzorem myši na odkaz v „informační bublině“.
- úroveň – krátký a srozumitelný text pro laika, prostý od paragrafů a formálních textů. V několika větách jednoduše vysvětlíte, k čemu údaje potřebujete a jak dlouho je budete uchovávat.
- úroveň – oficiální text psaný „právnickou řečí“ s použitím termínů GDPR s odkazem na jednotlivé paragrafy.
Souhlasy se zpracováním osobních údajů
Pro zasílání obchodních sdělení bude nutný platný souhlas. Souhlas musí být prokazatelný a musí být tedy proveden až po nasazení programových změn na vašem e-shopu. Kontaktům bez uděleného souhlasu již nebudete moci zasílat obchodní sdělení.
Získání nového platného souhlasu bude možné v běžně zasílaných newsletterech. Pracujeme na integraci nových příznaků použitelných v newsletteru.
Souhlas se zpracováním osobních údajů bude potřeba i pro již registrované účty, zde bude souhlas integrován přímo v klientské sekci a bez potvrzení nebude možné účet využívat. Všem registrovaným zákazníkům budete moci zaslat připomenutí o potvrzení např. informačním newsletterem.
Právo na informování
Každý má právo se informovat, jaké osobní údaje o něm zpracováváte a po jakou dobu budete uchovávat. Tato informační povinnost bude připravena přímo v aplikaci JZShop pomocí jednoduchého exportu.
Právo na přenos osobních údajů
Stejně, jako právo na informování bude mít každý zákazník nově právo o přenositelnost osobních údajů.
Právo na zapomenutí
Pokud o někomu budete zpracovávat osobní údaje, nově bude mít každý právo na zapomenutí – vymazání všech osobních údajů, které o něm zpracováváte vyjma údajů, které zpracováváte na základě oprávněného zájmu – např. objednávky. Vaší povinností tedy bude vézt evidenci zpracování osobních údajů – co zpracováváte, na jak dlouho a kde všude je to uloženo.
Články o GDPR
Nasbírali jsme pro vás zajímavé články ohledně GDPR, které doporučujeme prostudovat:
V dalším článku vám představíme, jak nastavit GDPR přímo v aplikaci JZShop.