Hlavní navigace

Jak se v e-shopu pereme s GDPR? Několik rad pro ostatní, které to teprve čeká

Milan Polák

O GDPR se o hodně mluví, ale ještě jsem nepotkal nikoho, kdo by mi na 100 % přesně řekl, co a jak bude. Co a jak máme nastavit. Jak má vše probíhat.

Doba čtení: 3 minuty

GDPR přitom nabude účinnosti za necelé dva měsíce, a to 25. května 2018. Právník agentury, se kterou řešíme mailing, je dokonce v nějaké komisi, která řeší zavádění GDPR v rámci českého zákona. A na lednovou otázku, aby nám udělal přesné zadání, jsme se dozvěděli, ať ještě raději počkáme, že se asi ještě něco bude měnit.

Čtěte také: Víte, co jsou a nejsou osobní údaje? Otestujte své znalosti 

Další věc, kterou musíme řešit na poslední chvíli

Takže zase vše budeme dělat na poslední chvíli a zase ne úplně naší vinou. Jen mi trošku přijde, že orgány u nás zase něco zavádí a zase samotné neví, kde je toho hlava a kde je toho pata. Asi jako v případě EET pro e-shopy, chaos, desítky tisíc za implementace a nakonec zrušení Ústavním soudem po prvním roce.

Na druhou stranu to byla očividná kravina od prvního dne. GDPR chápu jako něco, co je nutné. Firmy se k osobním datům klientů chovají jako prasata. Zazipovaná složka s 50 tisíci kontakty putující mailem, aby je někdo na druhé straně republiky nacpal do Facebooku a mohlo se cílit, to není úplně dobré. A tak si říkám, že nějaké logické řešení této věci je namístě. Jen kdybychom přesně věděli, jak to řešit.

A tak sem sepíši, co už vím. Nejsem odborník na GDPR, a tak pište do komentářů, co byste udělali jinak.

GDPR ukládá všem osobám zpracovávajícím osobní údaje přijmout vhodná technická a organizační opatření proti rizikům. Nejčastější a nejpravděpodobnější rizika jsou ztráta, únik dat, krádež, selhání techniky a přírodní živly. Konkrétní rizika si ale každý správce musí určit sám na základě tzv. zásady přiměřenosti. Ta říká, že opatření je třeba činit s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.

Nechápete a máte pocit, že ta neurčitost bude před soudy docela sranda? Buďte v klidu, mám to podobně.

Čtěte také: Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo

Mapování

Dobře zmapujte a popište, jak k datům přistupují lidé u vás ve firmě. Je nutné, aby prodavačka v obchodě viděla všechny objednávky na e-shopu a data těchto zákazníků?

Obchodní podmínky

Upravme si je dle GDPR.

Jak data vystupují z firmy a kam?

Dejte si toky osobních dat do tabulky. Když třeba posíláte faktury účetní, jedná se o data, která odcházejí z vaší firmy. A takových cest vás napadne spousta. Posíláte data agentuře, která se vám stará o PPC? Zaznamenejte a odhadněte možná rizika jejich úniku.

Zpracovatelské smlouvy

S dopravci, účetní, agenturami atd. Ať je jasné, kdo co s daty dělá a kdo za co odpovídá.

Viry atd.

Měli byste mít počítače ve firmě na antivirech a měli byste zálohovat. Nejen kvůli GDPR. I kvůli sobě.

Kde máte e-shop?

Vlastní server? Cloud? Hosting? I zde byste měli mít v rámci GDPR přehled, kvalitní hesla. Případně s poskytovateli uzavřené smlouvy o zpracování dat.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Údaje pro marketing

Musíte mít souhlas, a tak u objednávky přidejte zaškrtávací políčko pro všeobecné obchodní podmínky a vedle druhé políčko pro pravidla ochrany osobních údajů. Nikdy nekupujte nějakou databázi od třetí strany. To se nedělá a já jsem vlastně rád, že to GDPR bude řešit a hlídat tak i moje osobní údaje.

E-mailing

Jednoduché odhlášení z newsletteru v patičce na jeden klik už asi máte, ne?

Offline dokumenty

I takové mějte v zamknuté skříni atd. Dokud se nic nestane, asi vám nic nehrozí. Až vám někdo dokumenty ukradne, na základě GDPR ještě dostanete pokutu.

EBA Tip v článku Rondo

Já vím, že nás to všechny štve, ale berme to tak, že online svět vyrostl rychleji, než jsme se my i vlády a různé instituce stihli rozkoukat. Lidé jsou ochotní za cenu zisku nakupovat databáze zákazníků (a druzí ochotní je prodávat) a pak je bombardovat, jako by něco někomu provedli. A popravdě, to asi nikdo z nás neměl úplně košer, ne?

Čili já to beru pozitivně. Zamyslíme se alespoň nad tím, jak máme s daty pracovat. Uděláme si ve firmách pořádek a vytvoříme si každý šanon, který při kontrole ukážeme. Aby všichni viděli, že jsme se na to nevykašlali.