Hlavní navigace

GDPR a eshop,podejna

Dobrý den,
manžel má prodejnu se sportvním zbožím a e-shop. Na obou místech se při registraci vyplňují údaje jako je jméno, příjmení, adresa, telefon a e-mailová adresa.
Na prodejně tyto udaje máme na ustřiřku ze záručního listu. Uchováváme to v šupliku k tomu určenému.
Přístup k tomu má prakticky každý. Na stránkách jsou tyto udaje v administraci, kam mám přístup já, jakožto správce webu, a jsou v záložce "zákazníci".
Co se pro nás změní zavedením GDPR a jak bychom měli správně postupovat?

Děkuji Alena

Alena
31. 1. 2018 11:49

Odpověď

Dobrý den, Aleno,

Děkuji Vám za dotaz.

Obecně: pokud dané osobní údaje k vyřízení objednávky skutečně potřebujete, potom je v takových případech nutné Vaše zákazníky informovat ohledně zpracování jejich osobních údajů.

Jinak se mi ale na první pohled zdá, ale upozorňuji, že tento názor mohl vzniknout na základě nedostatečných informací, že pokud nemáte nějaký Váš speciální důvod, proč vyžadujete registraci v kamenném obchodě (např. zboží místo vyzvedávání si v kamenné prodejně zasíláte na zákazníkovu adresu), není to úplně ideální stav – pokud si zboží může zákazník převzít hned na místě, není třeba sbírat jeho osobní údaje. V případě, že by získal registrací nějaké výhody, nebo by se tím zaregistroval do nějakého klubu, bylo by třeba získat jeho souhlas se zpracováním osobních údajů – ten byste mu museli předložit k podepsání.
Stejná situace nastane i v případě e-shopu – pokud využíváte údaje pouze za účelem zaslání zboží na základě konkrétní objednávky, je to v pořádku (a uchováváte je po omezenou dobu např. právě pro účely uplatnění práv z vadného plnění), ale pokud by se zákazník současně s objednávkou registroval do nějakého klubu, už by to správně nebylo. Z takto kusých situací ale bohužel Vaší situaci nemůžu komplexně posoudit.

Proto mohu jen doporučit obecné kroky:

1. Všechny osobní údaje, které někde uchováváte, mějte zabezpečené – alespoň zamčený šuplík, zaheslovaný počítač a databázi s osobními údaji, bezpečné chování na internetu, apod.

2. Vezměte, prosím, na vědomí rozlišení informace o zpracování osobních údajů a souhlas se zpracováním osobních údajů: zjednodušeně pro tuto situaci, pokud potřebujete osobní údaje zákazníka pro plnění smlouvy, musíte ho o zpracování těchto nutných údajů informovat, pokud chcete získat osobní údaje nad rámec plnění smlouvy (např. k tomu, aby třeba zákazník získal nějakou výhodu) - tedy v situacích, kdy zpracování osobních údajů není nutné, je třeba k takovému zpracování získat souhlas zákazníka.

Při objednávce zboží je nutné zákazníka informovat o tom, že zpracováváte jeho osobní údaje. Podrobně jsou náležitosti dané informace stanoveny v čl. 12 GDPR či ust. § 11 zákona o ochraně osobních údajů – ve zkratce jde o informování o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, po jakou dobu budou osobní údaje uchovávány (ve Vašem případě doporučujeme nastavit max. 10 let – je možné, že se v budoucnu objeví spory, reklamace, apod., proto je ve Vašem oprávněném zájmu dané osobní údaje uchovávat s tím, že po uplynutí této doby je nutné osobní údaje zlikvidovat), dále musí být zákazník informován o jeho právech: např. o právu přístupu k osobním údajům, právu na opravu osobních údajů, právu na vysvětlení ohledně zpracování osobních údajů či např. právu požadovat výmaz osobních údajů (podrobně lze dohledat v zákoně na ochranu osobních údajů či nově od května v GDPR).

Pokud zákazníka o zpracování informujete, nemusíte evidovat, že tyto informace vzal na vědomí (to znamená – pokud by Vám v kamenném obchodě zákazník uváděl osobní údaje z toho důvodu, že potřebuje zaslat zboží jinam – předložíte mu text informace o zpracování osobních údajů, pokud necháte zákazníka tuto informaci podepsat, bude to pro Vás lepší z důvodu prokazatelnosti, ale není to nutné. V e-shopu není nutné evidovat aktivní vyjádření zákazníka se srozuměním obsahu informace. K umístění této informace na e-shop viz bod 5.)

3. Nelze slučovat objednávku zboží a registraci do případného klubu pod jeden aktivní úkon zákazníka (např. tedy znění „objednáním zboží se registruji do klubu X“ není správně – správně by bylo, pokud by u políčka „odeslání objednávky“ bylo další políčko „chci vstoupit do klubu a souhlasím se zpracováním svých osobních údajů za účelem registrace do klubu“).

4. Pro registraci do klubu či případně k zasílání marketingových kampaní je nutné získat souhlas se zpracováním osobních údajů daných zákazníků. Ten je třeba taktéž správně nastavit – zákazník by měl vyjádřit aktivní souhlas, ideálně by souhlas měl probíhat double opt-inem a zákazník by měl mít dostatek informací o tom, jaké osobní údaje budete sbírat, k jakým účelům, na jakou dobu, zda používáte nějaké další subjekty k takovému zpracování (zpracovatele: pro Vás tedy nejspíš poskytovatel webhostingu), informaci o tom, že lze souhlas vzít kdykoliv zpět a jakým způsobem, a jaké má zákazník, který Vám tyto osobní údaje poskytne, práva podle zákona o ochraně osobních údajů (nově od května podle GDPR). Souhlas je, na rozdíl od informace, nutné evidovat: to znamená, že pro případ e-shopu musíte být schopni dokázat, že zákazník zaškrtnul políčko „souhlasím se zpracováním osobních údajů“ či případně v kamenné prodejně daný souhlas podepsal.

5. Pokud jsem Vás nesprávně pochopila a registrací se rozumí zaslání objednávky a tudíž pouze „registrace“ ve Vašem systému, postačí informace o zpracování osobních údajů viz výše – je nutné ale tuto informaci zákazníkovi poskytnout – k objednávce na e-shopu umístit „informaci o zpracování osobních údajů“ odkazující na plné znění textu, nebo rovnou plný text, nebo tuto informaci lze začlenit do všeobecných obchodních podmínek a na ně odkázat.

Přeji Vám hezký den,

s pozdravem

Anna Freimannová

Mgr. Anna Freimannová (poradkyně pro GDPR)
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).