Hlavní navigace

Jak se v e-shopu pereme s GDPR? Několik rad pro ostatní, které to teprve čeká

Milan Polák

O GDPR se o hodně mluví, ale ještě jsem nepotkal nikoho, kdo by mi na 100 % přesně řekl, co a jak bude. Co a jak máme nastavit. Jak má vše probíhat.

Doba čtení: 3 minuty

GDPR přitom nabude účinnosti za necelé dva měsíce, a to 25. května 2018. Právník agentury, se kterou řešíme mailing, je dokonce v nějaké komisi, která řeší zavádění GDPR v rámci českého zákona. A na lednovou otázku, aby nám udělal přesné zadání, jsme se dozvěděli, ať ještě raději počkáme, že se asi ještě něco bude měnit.

Čtěte také: Víte, co jsou a nejsou osobní údaje? Otestujte své znalosti 

Další věc, kterou musíme řešit na poslední chvíli

Takže zase vše budeme dělat na poslední chvíli a zase ne úplně naší vinou. Jen mi trošku přijde, že orgány u nás zase něco zavádí a zase samotné neví, kde je toho hlava a kde je toho pata. Asi jako v případě EET pro e-shopy, chaos, desítky tisíc za implementace a nakonec zrušení Ústavním soudem po prvním roce.

Na druhou stranu to byla očividná kravina od prvního dne. GDPR chápu jako něco, co je nutné. Firmy se k osobním datům klientů chovají jako prasata. Zazipovaná složka s 50 tisíci kontakty putující mailem, aby je někdo na druhé straně republiky nacpal do Facebooku a mohlo se cílit, to není úplně dobré. A tak si říkám, že nějaké logické řešení této věci je namístě. Jen kdybychom přesně věděli, jak to řešit.

A tak sem sepíši, co už vím. Nejsem odborník na GDPR, a tak pište do komentářů, co byste udělali jinak.

GDPR ukládá všem osobám zpracovávajícím osobní údaje přijmout vhodná technická a organizační opatření proti rizikům. Nejčastější a nejpravděpodobnější rizika jsou ztráta, únik dat, krádež, selhání techniky a přírodní živly. Konkrétní rizika si ale každý správce musí určit sám na základě tzv. zásady přiměřenosti. Ta říká, že opatření je třeba činit s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.

Nechápete a máte pocit, že ta neurčitost bude před soudy docela sranda? Buďte v klidu, mám to podobně.

Čtěte také: Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo

Mapování

Dobře zmapujte a popište, jak k datům přistupují lidé u vás ve firmě. Je nutné, aby prodavačka v obchodě viděla všechny objednávky na e-shopu a data těchto zákazníků?

Obchodní podmínky

Upravme si je dle GDPR.

Jak data vystupují z firmy a kam?

Dejte si toky osobních dat do tabulky. Když třeba posíláte faktury účetní, jedná se o data, která odcházejí z vaší firmy. A takových cest vás napadne spousta. Posíláte data agentuře, která se vám stará o PPC? Zaznamenejte a odhadněte možná rizika jejich úniku.

Zpracovatelské smlouvy

S dopravci, účetní, agenturami atd. Ať je jasné, kdo co s daty dělá a kdo za co odpovídá.

Viry atd.

Měli byste mít počítače ve firmě na antivirech a měli byste zálohovat. Nejen kvůli GDPR. I kvůli sobě.

Kde máte e-shop?

Vlastní server? Cloud? Hosting? I zde byste měli mít v rámci GDPR přehled, kvalitní hesla. Případně s poskytovateli uzavřené smlouvy o zpracování dat.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Údaje pro marketing

Musíte mít souhlas, a tak u objednávky přidejte zaškrtávací políčko pro všeobecné obchodní podmínky a vedle druhé políčko pro pravidla ochrany osobních údajů. Nikdy nekupujte nějakou databázi od třetí strany. To se nedělá a já jsem vlastně rád, že to GDPR bude řešit a hlídat tak i moje osobní údaje.

E-mailing

Jednoduché odhlášení z newsletteru v patičce na jeden klik už asi máte, ne?

Offline dokumenty

I takové mějte v zamknuté skříni atd. Dokud se nic nestane, asi vám nic nehrozí. Až vám někdo dokumenty ukradne, na základě GDPR ještě dostanete pokutu.

Já vím, že nás to všechny štve, ale berme to tak, že online svět vyrostl rychleji, než jsme se my i vlády a různé instituce stihli rozkoukat. Lidé jsou ochotní za cenu zisku nakupovat databáze zákazníků (a druzí ochotní je prodávat) a pak je bombardovat, jako by něco někomu provedli. A popravdě, to asi nikdo z nás neměl úplně košer, ne?

Čili já to beru pozitivně. Zamyslíme se alespoň nad tím, jak máme s daty pracovat. Uděláme si ve firmách pořádek a vytvoříme si každý šanon, který při kontrole ukážeme. Aby všichni viděli, že jsme se na to nevykašlali.