Nastavení zpracování osobních údajů v eshopu JZShop
Jak již jsme avizovali v předchozím článku, zpracovávat osobní údaje od 25.5.2018 můžete jen na základě výslovného souhlasu nebo oprávněného zájmu. Aby to nebylo příliš jednoduché, pro každý účel zpracování je potřeba získat zvláštní souhlas. Jednotlivé souhlasy nelze generalizovat na jediný souhrnný souhlas se zpracováním osobních údajů. Souhlasů tedy musíte mít tolik, kolik provádíte procesů zpracování. V eshopu jzshop najdete následující procesy, které zpracovávají osobní údaje:
- Objednávky
- Registrace
- Zasílání obchodních sdělení
- Kontaktní formulář
- Recenze zboží
- Vlastní pole v objednávce – pouze v případě, že se bude jednat o osobní údaj.
- Ostatní
Jak nastavit souhlas
Aby pro vás bylo nastavení správných procesů splňující požadavky GDPR co nejjednodušší, implementovali jsme souhlasy pro jednotlivé účely přímo do eshopu. Který ze souhlasů aktivujete a použijete ve vašem eshopu je zcela na vás. Zodpovědnost a případné sankce jsou pouze na správci osobních údajů a proto vám nechceme podsouvat již hotové řešení, ale nabídnout široké možnosti co nejjednodušší cestou. Nastavení GDPR vždy doporučujeme konzultovat s právníkem.
V administraci naleznete novou stránku “Osobní údaje” v sekci “Zákazníci”. Zde najdete několik záložek.
Jako první záložkou jsou jednotlivé souhlasy. Pro editaci nebo aktivaci souhlasu vstupte do jeho nastavení pomocí ikony tužky vpravo.
Aktivace souhlasu
V editaci souhlasu najdete následující možnosti v jednotlivých záložkách:
Záložka “Základní údaje”:
- Aktivní - zatrhnutím této možnosti aktivujete souhlas na webu.
- Účel - zde najdete účel souhlasu, nelze změnit ani smazat
- Varianta souhlasu - lze vybrat následující typy souhlasů
- Informační - nejedná se o souhlas, ale pouze o informování o zpracování osobních údajů, protože ke zpracování máte oprávněný zájem
- Souhlas bez zaškrtávacího políčka - jedná se o souhlas bez nutnosti kliknout na souhlas před odesláním formuláře
- Souhlas se zaškrtávacím políčkem - před odesláním formuláře je vyžadováno zaškrtnout souhlas
- Doba platnosti - doba platnosti souhlasu udávaná ve dnech. Po uplynutí této doby je nutné žádat o nový souhlas, např. pomocí newsletteru.
- Název - nadpis na stránce se zněním podmínek zpracování osobních údajů
- Anotace - 1. úroveň informování, zobrazí se v informační “bublině” po najetí kurzorem myši na odkaz na stránku s podmínkami zpracování osobních údajů
- Stručné znění - 2. úroveň souhlasu, jedná se o souhrn podmínek psané srozumitelně v “řeči pro lidi”. Stručné a srozumitelné podmínky bez právnických termínů. Stručné znění se zobrazí na souhrnné stránce všech souhlasů a na úvodu plného znění.
- Plné znění - 3. úroveň souhlasu najdete na vlastní stránce věnované konkrétnímu účelu.
- Odkaz znění - URL adresa znění podmínek zpracování osobních údajů
Příklad vyplnění souhlasu pro účel recenze:
Záložka “Emailové potvrzení”:
V případech, kdy je relevantní emailové potvrzení, tzv. double opt-in, je k dispozici další karta s názvem “Emailové potvrzení”. Jedná se o další úroveň souhlasu a především ověření emailové adresy, že patří skutečně dané osobě. Pokud aktivujete emailové potvrzení, bez souhlasu skrze email nebude souhlas platný a email potvrzen.
Aktivaci double opt-in provedete zaškrtnutím možnosti “Odeslat potvrzovací email”.
Do předmětu emailu doporučujeme zadat jasnou identifikaci eshopu, např. “Potvrzení nové recenze na eshopu jzshop.cz”.
Do obsahu potvrzovacího emailu lze vkládat zkraty, které doplní automaticky aktuální data.
Možnosti zkratek:
- Plné znění - vloží odkaz na stránku plného znění souhlasu
- Tlačítko souhlasu - vloží tlačítko s odkazem na souhlas
- Odkaz souhlasu - vloží pouze hypertextový odkaz souhlasu
Příklad vyplnění potvrzovacího emailu (double opt-in) pro účely recenze:
Jak změnit textaci tlačítka souhlasu?
Jednoduše klikněte na tlačítko souhlasu, poté přes ikonu “vložit/upravit odkaz” otevřete dialogové okno s editací odkazu a upravte pole “Text k zobrazení”.
Nepřepisujte text přímo v HTML editoru, smažete tím CSS styl tlačítka.
Připravený email můžete otestovat zkušebním odesláním. Pokud máte aktivní multijazyčnost, pak obdržíte email všech jazykových mutací najednou. Zkušební email přijde automaticky na emailovou adresu, kterou máte vyplněnou v uživatelském účtu v administraci eshopu.
Stačí stisknout tlačítko:
Záložka “Verze”:
Na této záložce najdete automaticky zálohované verze jednotlivých souhlasů. Jakmile provedete změnu v nastavení souhlasu nebo v jeho textaci, vytvoří se nová verze pro každý jazyk. Jednotlivé udělené souhlasy zákazníků jsou ukládány s konkrétní verzí souhlasu. Je tedy jednoduše možné dokazovat přesné znění souhlasu v případě kontroly nebo důkazní povinnosti.
Získání nových souhlasů a obnovení expirujících
Pro plnohodnotné používání emailů k přímému marketingu byste měli získat souhlas dle nových pravidel, které respektují zásady GDPR. Samozřejmě nechcete zákazníky zahltit emaily s žádostí o udělení souhlasu. Pojďme to vyřešit chytřeji.
Pokud posíláte pravidelné newslettery, můžete jednoduše umístit blok pro získání souhlasu přímo do něj. Tento blok se zobrazí pouze uživatelům, kteří dosud neudělili souhlas - nebudete tak obtěžovat se souhlasy ty, kteří jej již jednou potvrdili. Tento blok souhlasu lze využít také k prodloužení již uděleného souhlasu, takže jej můžete v newsletteru použít v podstatě pokaždé.
V HTML editoru obsahu newsletteru najdete nové zkratky spojené s udělením souhlasu.
Zkratky:
- plné znění souhlasu - vloží URL odkaz na znění souhlasu se zasíláním obchodního sdělení
- tlačítko souhlasu - vloží tlačítko s textem “Souhlasím” a odkazem na znění souhlasu se zasíláním obchodního sdělení
- odkaz souhlasu - funkce je totožná, jako u tlačítka souhlasu. Vloží pouze URL odkaz bez tlačítka
- blok bez souhlasu - vloží blok, který se bude zobrazovat pouze zákazníkům, kteří dosud neudělili souhlas nebo již expiruje
- nastavení udělených souhlasů - vloží odkaz na stránku s přehledem udělených souhlasů (viz dále odstavec o získání nových souhlasů)
- odkaz odhlášení - odkaz na odhlášení z odběru newsletteru
Do obsahu newsletteru tedy jako první vložte zkratku “Blok bez souhlasu”. Vytvoří se následující text:
{SOUHLAS}Zde napište text, který bude zobrazen zákazník bez souhlasu nebo s expirujícím souhlasem.{/SOUHLAS}
Mezi značky {SOUHLAS}..{/SOUHLAS} nyní můžete vložit libovolný text a odkazy. Žádost o souhlas pak může vypadat např. takto:
Připravený newsletter si můžete zkušebně odeslat na email uvedený ve vašem účtu, stačí stisknout tlačítko:
Email se odešle dvakrát - verze s blokem pro obnovení souhlasu a verze bez bloku, abyste měli jasnou představu o podobě emailu.
Po získání nových souhlasů můžete text upravit na obnovení expirovaných souhlasů a tento blok používat při každém newsletteru.
Přehled udělených souhlasů
Každý zákazník, ať již registrovaný nebo nikoliv na vašem eshopu, má možnost revidovat udělené souhlasy. Pokud má zákazník uživatelský účet, přehled o udělených souhlasech má k dispozici v uživatelském účtu. V případě, že účet zákazník vytvořený nemá, o udělených souhlasech lze informovat přímo na webu pomocí odkazu umístěného v emailu.
Takto vypadá stránka s přehledem udělených souhlasů:
Právo na odvolání souhlasu je možné pouze v případě obchodního sdělení, v případě registrace je vyžadováno úplné vymazání osobních dat, což vyžaduje zásah administrátora. Lze zpracovat pouze ručně a to po podání písemné žádosti a ověření identity žadatele, nelze tedy souhlas odvolat ze stránky nastavení udělených souhlasů.
Nová cookies lišta
Pro účely GDPR jsme také rozšířili možnosti a funkce cookies lišty. Nyní je možné lištu upravovat z administrace pomocí HTML editoru a je možné nastavit liště dobu platnosti, po které se má znovu připomenout.
Do lišty je tedy možné implementovat další dílčí souhlasy, např. pro remarketing či sledování a měření.
Funkce coockies lišty se trochu změnili. Dokud není udělen souhlas s používáním coockies, jsou vypnuty remarketingové a trackovací kódy. Základní analytické procesy, jako jsou Google Analytics, jsou aktivní i bez udělení souhlasu.
Právo na přenos, zapomenutí a informování
Nově dle povinností GDPR má každý právo na informace, jaké údaje o něm zpracováváte, vznést na zpracování námitku a požádat o výmaz osobních údajů z vaší databáze. Také může požádat o přenos těchto údajů ve strojově čitelné podobě.
Vyhledání osobních údajů
V záložce "Vyhledávání zákazníka" najdete možnost dohledat, jaké osobní údaje zpracováváte dle emailové adresy.
Po zadání emailu máte k dispozici následující informace:
- údaje o registrovaném účtu - pokud je zákazník registrován v eshopu, najdete zde ID uživatelského účtu s proklikem do karty zákazníka
- newsletter - informace o uložení emailu v adresáři newsletteru (ano/ne)
- udělené souhlasy - přehled všech udělených souhlasů, které provedl na vašem eshopu
- objednávky - seznam objednávek, které jsou relevantní pro danou emailovou adresu (i včetně těch, které provedl na stejnou emailovou adresu bez přihlášení do uživatelského účtu)
- faktury - seznam vystavených faktur na email zákazníka
- recenze produktů - udělené recenze zboží, ve kterých uvedl daný email
Na konci stránky najdete možnost export údajů a výmaz údajů. Tuto funci připravujeme a bude nasazena co možná nejdříve.
Evidence souhlasů zákazníků
U každého registrovaného zákazníka najdete uložený souhlas se zpracováním osobních údajů za účelem registrace. Souhlas najdete na kartě zákazníka v záložce "Ostatní". Zda je souhlas udělen či nikoliv a jeho expirace je zobrazena také na výpisu zákazníků.
Zvýšené požadavky na zabezpečení
S ohledem na zvýšené požadavky na zabezpečení vyplývající z GDPR, každý eshop bude nově využívat HTTPS protokol. Každému eshopu od JZShop zajistíme certifikát Let's Encrypt zcela zdarma, případně je možné požádat o komerční verzi certifikátu.
Dále jsme provedli zvýšené požadavky na heslo pro přihlášení do emailové schránky a do administrace eshopu. Nově sílu hesla kontroluje "Měřič síly hesla", který vyhodnocuje komplexnost hesla a porovnává heslo s dostupnými slovníky nebezpečných hesel. Minimální síla hesla je "Slabé heslo", viz níže.
- Nebezpečné heslo - heslo není dovoleno použít, velmi snadno prolomitelné
- Velmi slabé heslo - heslo není dovoleno použít, velmi snadno prolomitelné
- Slabé heslo - heslo, jež lze použít, přesto doporučujeme rozšířit o speciální znak nebo další čísla
- Dobré heslo - heslo, jež lze obtížně prolomit - doporučujeme
- Silné heslo - velmi komplexní heslo s velmi nízkou pravděpodobností prolomení - perfektní
V heslu je nově zakázáno (bude kontrolováno měřičem síly hesla) používat části domén, IČ nebo telefonní čísla. Důrazně doporučujeme zkontrolovat sílu hesla, např. v "Můj účet" a případná slabá hesla změnit.
Vzorové dokumenty
Ve spolupráci s advokátní kanceláří Ambrož & Bílý jsme pro klienty (a nejen pro ně) připravili vzorové souhlasy a informace o zpracování šité na míru eshopu JZShop. Do vzorových dokumentů jednoduše doplníte údaje správce a případné zpracovatele 3. stran. Konečné procesy se však mohou od vzorových případů lišit a proto doporučujeme konzultaci s právníky. Nepřebíráme žádnou zodpovědnost za užití vzorových dokumentů správci.
Důležité odkazy:
