Hlavní navigace
Už zbývá jen pro podání daňového přiznání. Vyřešte je s našimi chytrými formuláři a tipy na slevy.

Jak dopadne nová regulace GDPR na české e-shopy a weby?

Autor: www.shutterstock.com, podle licence: Rights Managed
Daniel Hutník

EU bojuje za ochranu soukromí uživatelů internetu. Jde o online nakupování a využívání internetových služeb. Jak se GDPR dotkne provozovatelů e-shopů a webů?

Od května 2018 začne platit nové evropské nařízení General Data Protection Regulation (GDPR), tedy Obecné nařízení na ochranu osobních údajů, které se týká mimo jiné i všech provozovatelů e-shopů či jiných internetových služeb, u kterých se zákazník registruje svými osobními údaji. Jde o další krok, navazující na nedávnou evropskou regulaci cookies, který si stanovuje za cíl lépe ochránit spotřebitele.

Jaké nové povinnosti vznikají provozovatelům e-shopů a webů? Co se dá udělat už teď?

Evropská unie tuto novou regulaci zdůvodňuje tak, že po spotřebitelích jsou nyní často vyžadovány velmi detailní osobní údaje a provozovatelé internetových služeb s těmito údaji pak nakládají prakticky podle své vůle (po spotřebiteli je vyžadován jen obecný souhlas se zpracováním jeho dat) a často je i sdílejí nebo přeprodávají dalším subjektům.

Co budou muset udělat e-shopy

Pro provozovatele e-shopů a webových služeb bude nová evropská regulace, která ale zatím nebyla přenesena do české legislativy a nelze tedy ještě do všech detailů hovořit o způsobu jejího naplnění v našem prostředí, znamenat především nutnost získání nových souhlasů zákazníků se zpracováním jejich osobních údajů a pak také daleko větší důraz na bezpečné uchovávání získaných dat.

Čtěte také: GDPR: Nový strašák pro firmy. Nařízení shrnuje právník

Souhlas bude nutné vyžadovat na několika úrovních – nejen při získávání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje), ale například také při jejich předání partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi. Souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby (pokud to není zcela nezbytně nutné). Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést. Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.

Provozovatelé e-shopů a internetových služeb ponesou s nástupem GDPR také daleko větší zodpovědnost za data, která budou na základě souhlasu zákazníků uchovávat. Tato data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí ustanovit osobu, která bude za bezpečné uchování dat přímo odpovědná (může jí ale být třeba i přímo majitel e-shopu).

Psali jsme: 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu

Je čas ptát se poskytovatele obchodní platformy

Po nařízení o cookies a zavedení elektronické evidence tržeb je GDPR další zásadní změnou v životě českých internetových obchodníků a provozovatelů webových služeb. Největší internetoví obchodníci se na nástup GDPR jistě již připravují, ale jelikož v České republice působí (podle analýzy srovnávače cen Heureka.cz) více než 36 000 e-shopů, lze očekávat, že ne všichni jejich provozovatelé jsou si svých nových povinností vědomi. GDPR se navíc týká i všech internetových služeb, které při registraci nových zákazníků rovněž požadují řadu osobních údajů.

Psali jsme: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud

Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. V tom případě je již nyní na čase pokládat tomuto poskytovateli dotazy ohledně připravenosti jeho řešení na zavedení regulace GDPR. 

Mezi důležité otázky, na které je třeba hledat odpověď, patří především:

  • Jaká data o zákaznících jsou v rámci obchodního řešení ukládána?
  • Jak je s těmito daty nakládáno – především kde se fyzicky nacházejí a kdo k nim má přístup?
  • Jak jsou osobní data zákazníků zabezpečena (fyzické zabezpečení, šifrování atd.)?
  • Jsou data sdílena s nějakými dalšími subjekty?
  • Jaká data o našich zákaznících opravdu potřebujeme a jaké souhlasy si budeme muset vyžádat.

Jakkoli mohou zatím publikované informace o GDPR znít pro provozovatele e-shopů nepříjemně, pravděpodobně bude možné nové podmínky zpracování osobních údajů zákazníků splnit s přijatelnými náklady. Důležité bude především nastavit správný systém získávání souhlasů a mechanismy zabezpečení získaných dat. Obchodníci by měli hledat pomoc u provozovatele své obchodní platformy nebo si zvolit takového poskytovatele, který bude na GDPR připraven včas.

Našli jste v článku chybu?