Od května 2018 začne platit nové evropské nařízení General Data Protection Regulation (GDPR), tedy Obecné nařízení na ochranu osobních údajů, které se týká mimo jiné i všech provozovatelů e-shopů či jiných internetových služeb, u kterých se zákazník registruje svými osobními údaji. Jde o další krok, navazující na nedávnou evropskou regulaci cookies, který si stanovuje za cíl lépe ochránit spotřebitele.
Jaké nové povinnosti vznikají provozovatelům e-shopů a webů? Co se dá udělat už teď?
Evropská unie tuto novou regulaci zdůvodňuje tak, že po spotřebitelích jsou nyní často vyžadovány velmi detailní osobní údaje a provozovatelé internetových služeb s těmito údaji pak nakládají prakticky podle své vůle (po spotřebiteli je vyžadován jen obecný souhlas se zpracováním jeho dat) a často je i sdílejí nebo přeprodávají dalším subjektům.
Co budou muset udělat e-shopy
Pro provozovatele e-shopů a webových služeb bude nová evropská regulace, která ale zatím nebyla přenesena do české legislativy a nelze tedy ještě do všech detailů hovořit o způsobu jejího naplnění v našem prostředí, znamenat především nutnost získání nových souhlasů zákazníků se zpracováním jejich osobních údajů a pak také daleko větší důraz na bezpečné uchovávání získaných dat.
Čtěte také: GDPR: Nový strašák pro firmy. Nařízení shrnuje právník
Souhlas bude nutné vyžadovat na několika úrovních – nejen při získávání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje), ale například také při jejich předání partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi. Souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby (pokud to není zcela nezbytně nutné). Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést. Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.
Provozovatelé e-shopů a internetových služeb ponesou s nástupem GDPR také daleko větší zodpovědnost za data, která budou na základě souhlasu zákazníků uchovávat. Tato data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí ustanovit osobu, která bude za bezpečné uchování dat přímo odpovědná (může jí ale být třeba i přímo majitel e-shopu).
Psali jsme: 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu
Je čas ptát se poskytovatele obchodní platformy
Po nařízení o cookies a zavedení elektronické evidence tržeb je GDPR další zásadní změnou v životě českých internetových obchodníků a provozovatelů webových služeb. Největší internetoví obchodníci se na nástup GDPR jistě již připravují, ale jelikož v České republice působí (podle analýzy srovnávače cen Heureka.cz) více než 36 000 e-shopů, lze očekávat, že ne všichni jejich provozovatelé jsou si svých nových povinností vědomi. GDPR se navíc týká i všech internetových služeb, které při registraci nových zákazníků rovněž požadují řadu osobních údajů.
Psali jsme: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud
Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. V tom případě je již nyní na čase pokládat tomuto poskytovateli dotazy ohledně připravenosti jeho řešení na zavedení regulace GDPR.
Mezi důležité otázky, na které je třeba hledat odpověď, patří především:
- Jaká data o zákaznících jsou v rámci obchodního řešení ukládána?
- Jak je s těmito daty nakládáno – především kde se fyzicky nacházejí a kdo k nim má přístup?
- Jak jsou osobní data zákazníků zabezpečena (fyzické zabezpečení, šifrování atd.)?
- Jsou data sdílena s nějakými dalšími subjekty?
- Jaká data o našich zákaznících opravdu potřebujeme a jaké souhlasy si budeme muset vyžádat.
Jakkoli mohou zatím publikované informace o GDPR znít pro provozovatele e-shopů nepříjemně, pravděpodobně bude možné nové podmínky zpracování osobních údajů zákazníků splnit s přijatelnými náklady. Důležité bude především nastavit správný systém získávání souhlasů a mechanismy zabezpečení získaných dat. Obchodníci by měli hledat pomoc u provozovatele své obchodní platformy nebo si zvolit takového poskytovatele, který bude na GDPR připraven včas.