GDPR v e-commerce a e-mail marketingu
Pokud některé odvětví zasáhne GDPR více, tak elektronické podnikání, online marketing a email marketing zvlášť mezi ně rozhodně patří, chce se mi napsat, že jim doslova kralují.
E-shopy a online marketing to je obrovský kus práce s daty, osobními i citlivými údaji. Čeští e-shopaři procházejí nelehkým obdobím, když se stabilizovali po zavedení EET, čeká je ještě větší změna, v podobě revolučního nařízení, které zásadně zpřísňuje práci s osobními a citlivými daty, GDPR, které vstoupí v platnost již 25. 5. 2018.
Nová pravidla ovlivní především získávání souhlasu se zpracováním osobních údajů a to nejen samotný souhlas, ale také to jak má být specifikován a co v něm vše musí být uvedeno.
Pokuty za nezvládnutí příprav a selhání v ochraně osobních údajů mohou být až likvidační, připravíte-li se však včas a pečlivě, minimalizujete či dokonce eliminujete riziko.
Jak to bude již s udělenými souhlasy??
Veškerá data, která obchodníci již sesbírali od subjektů údajů (osoby, jimž údaje patří) a byla evidována jinak než aktivním souhlasem, musí přestat používat a zcela odstranit nebo žádat subjekty údajů o nový, aktivní a nepodmíněný souhlas. Jde především o data, která byla nasbírána pasivním způsobem, což znamená, že uživatel měl souhlas již předem zaškrtnutý a o souhlasy, které musel uživatel zadat podmínečně, např. pro dokončení objednávky.
Souhlasy v souladu GDPR
Souhlasy v e-commerce a e-mail marketingu jsou většinou spojené se zasíláním obchodních sdělení, reklamních e-mailů či newslettrů. Souhlas musí být jednoznačný, svobodný a explicitně oddělený od ostatních ustanovení, tedy od všeobecných obchodních podmínek. Souhlas musí být udělen aktivně, tedy uživatel jako subjekt údajů musí sám svobodně zaškrtnout pole a nesmí být podmíněn, například, že pokud nevyplní subjekt souhlas, nemůže objednat či nedostane odměnu atp. Součástí souhlasu by měly být informace o tom, proč budou data zpracována, jak s nimi bude naloženo, kdo s nimi bude pracovat a také by zde mělo být vymezeno, co budete na základě souhlasu posílat za sdělení a materiály.
Povinnosti správce osobních údajů (například e-shopaře)
Všichni správci dat musí dokumentovat, že zpracovávají pouze, k danému účelu, nezbytně nutné informace (u e-shopu například email, jméno. adresa apod.) S tím pak souvisí povinnost dokladovat výše zmíněné pravidelně dozorovému orgánu.
Stane-li se, že vám uniknou nebo jsou dokonce zneužita uložená data, musíte incident do 72 hodin od zjištění nahlásit Úřadu pro ochranu osobních údajů.
Jak na to?
Je důležité mít zachycené všechny procesy týkající se práce, ukládání a případné ztráty dat v interních předpisech firmy. Aby každý ve společnosti věděl, jak s osobními údaji nakládat a jaký je postup v případě úniku. Jedna věc je tedy nastavení interních procesů a druhá věc je technické zabezpečení počítačové sítě, prostoru atp. proti úniku dat. Měli byste udělat maximum pro minimalizování rizika ztráty a zneužití osobních údajů.
Potřebujete-li provést procesem přípravy, poradit, nezávazně zkonzultovat, zkontrolovat a zauditovat interní síť či hledáte pověřence pro zpracování dat, obraťte se na odborníky, ušetříte si tak mnoho času a stresu.