GDPR se blíží
Již pouhý měsíc zbývá do začátku platnosti Obecného nařízení o ochraně osobních údajů (GDPR - General Data Protection Regulation). Nejedná se o nařízení, které by bylo od základu nové, v podstatě se rozšiřuje již dnes platná legislativa (zákon 101/2000 Sb.), proto by příprava na platnost neměla být takovým problémem, jak se může zdát.
BizBox jako platforma, na které jsou provozovány e-shopy, je z pohledu přípravy zajištění nařízení GDPR orientována poměrně technicky. Našim cílem je poskytnout nástroje, které umožní dostát předpisu a jeho jednotlivým částem. Vzhledem k tomu, že samotná interpretace nařízení a dostatečnost realizovaných úkonů je často předmětem diskuzí, je naším záměrem umožnit zákazníkům realizovat technická opatření různým způsobem a nepředepisovat, co a jak udělat.
Odpovědnost za realizovaná opatření je totiž vždy na správci osobních údajů, což jste vy, a je pochopitelné, že přístupy k GDPR opatřením budou různé – někdo zvolí základní přístup vycházející z oprávněného zájmu využití osobních údajů, zásady přiměřenosti opatření a nejasné situace, někdo naopak defenzivní přístup pokrývající i věci, které v podstatě nemusí být nijak měněny.
Při rozhodnutí je třeba si připomenout účel GDPR. Tím není zákaz či ztížení zpracování osobních údajů, ale jejich netransparentní získání, nedostatečné technické zabezpečení a nesprávné až nekalé využití. A protože běžný e-shop osobní údaje využívá v rámci očekávané činnosti, což je především nabídka a prodej zboží, je v podstatě nutné pouze seznámit zákazníky s pravidly, jak jsou jejich data využívána, a udělat vše proto, aby se minimalizovalo riziko jejich zneužití. Nařízení se však netýká pouze e-shopů, ale v podstatě všech správců a zpracovatelů osobních údajů.
Co se chystá v BizBoxu
V BizBoxu vám nabídneme hned několik rozšíření, které umožní realizovat opatření v kontextu předpisu a výkonu práv zákazníků.
- Správa souhlasů – ve správě souhlasů bude možné definovat a nastavit libovolný počet souhlasů, které bude možné zákazníkem na webu (nebo správcem v administraci) odsouhlasit. Bude se jednat především o souhlas se zpracováním dat kvůli zasílání newsletterů, hodnocení objednávky nebo z jiného jasně daného důvodu. Souhlas bude moci být povinný či nepovinný a zákazník je bude moci vyjádřit zaškrtnutím nebo implicitně provedením akce (odesláním). Rozdělení, nasazení a formulace souhlasů jsou zcela volitelné.
- Přehled souhlasů – administrátorské aplikace na správu kontaktů se rozšíří o informace o provedených souhlasech a souběžně s tím bude možné v účtu zákazníka na webu (pokud je přihlášen) zobrazit všechny udělené souhlasy a zjistit data uchovávaná v e-shopu.
- Auditování – pro účely sledování nakládání s daty budou na místech vybraných aplikací (exporty, přehledy) dostupné logy s informacemi, kdy a kdo provedl operace nad daty.
- Mazání a pseudonymizace dat – pro účely objednávek a kontaktů bude možné provést pseudonymizaci dat. To znamená, že z konkrétního uživatele vznikne záznam, u kterého je například jasný rozsah objednávek, ale nebude již možné tyto objednávky spojit s konkrétní osobou. U některých dat, jako jsou třeba právě objednávky, je však možné výmaz či pseudonymizaci odmítnout s odkazem na nadřazené předpisy (účetnictví).
- Nesledování uživatele – protože osobním údajem jsou rovněž IP adresy a cookie soubory, bude možné rovněž odmítnout sledování chování zákazníka na webu. Tato možnost souvisí rovněž s přípravou na ePrivacy předpis, který EU rovněž chystá.
Dále pro vás nachystáme dodatek smluv, neboť jsme zpracovatelé dat. Z tohoto pohledu jsme na GDPR připraveni, nakládání s daty je u nás na vysoké úrovní z pohledu technického I organizačního a respektujeme pravidla ochrany při práci s vašimi daty.
S implementací jednotlivých úprav na straně e-shopu Vám rádi pomůžeme, neváhejte se na nás obrátit. Nezapomeňte ale, že stanovení úrovně opatření je hlavně na vás.
Co za Vás BizBox nevyřeší
Ale tak jednoduché to zase nebude. GDPR není předpis pro e-shopy a elektronickou formu podnikání. Jedná se o předpis platný pro všechny způsoby zpracování dat, takže i ty mimo zákazníky e-shopu.
V rámci firmy byste měli:
Výstupem by měl být dokument, který lze předložit při kontrole opatření. Výhodou existence dokumentu je jednoznačně zmapování procesů nakládání s osobními daty, které je v řadě případů nejasné.
- Analyzovat a popsat všechny informace a procesy vztahující se ke zpracování osobních údajů. Musí být zřejmé:
- Jaké, proč, za jakým účelem a jak dlouho zpracováváte osobní údaje.
- Kde jsou konktrétně data uložena, jaké jsou možnosti a způsoby jejich využití, kdo a za jakých podmínek je oprávněn je využít.
- Jak jsou tato data zabezpečená a jaké je riziko jejich zneužití.
Výstupem by měl být přehled opatření, směrnice či kodexy přijaté v dané oblasti. Možností je i ustanovení pověřence pro ochranu osobních údajů, které pro vás s největší pravděpodobností, není povinné (GDPR předepisuje případy, kdy povinné je), nicméně bude jasné, kdo koordinuje a dohlíží na celou oblast.
- Realizovat opatření, které na základě předešlé analýzy nastaví pravidla nakládání s osobními údaji a umožní snížit riziko zneužití dat. Jedná se o opatření technická i organizační (přidělení příslušných oprávnění, evidence přístupů k datům a podobně)
Výstupem budou aktualizované dokumenty odrážející činnost firmy a současný stav v oblasti osobních údajů
- Aktualizovat obchodní podmínky a dokumenty týkající se ochrany osobních údajů, kde jasně vymezíte, jaké údaje a proč potřebujete, jak s údaji nakládáte, jaké mají zákazníci práva a možnosti uplatnění svých práv ohledně osobních údajů. Upozorníte rovněž, pokud tomu tak je, že data předáváte i dalším subjektům (správa e-shopu, účetní, doprava atd.), ale zároveň máte zajištěno, že tito zpracovatelé postupují při nakládání s osobními daty rovněž v souladu s předpisy.
Výstupem bude sada dokumentů, které je třeba získat a pokud jsou v elektronické podobě, tak si je nejlépe stáhnout a uložit, třeba i v papírové podobě. Prakticky všichni běžní zpracovatelé se na GDPR připravují rovněž a získání aktualizovaných obchodních podmínek, dodatků smluv či prohlášení o souladu s GDPR tak nebude problém.
- Zajistít si zpracovatelské smlouvy se subjekty, kterým předáváte osobní údaje.
Výstupem bude databáze souhlasů, které jsou v souladu s GDPR.
- Ověřit si s platnost stávajících souhlasů - pokud již disponujete sadou souhlasů zákazníků například kvůli odběru newsletteru, pak je na zvážení, zda dřívější souhlas postačí, nebo bude třeba je získat znovu. Platí, že pokud byly dřívější souhlasy získány způsobem, který odporuje chystaným předpisům, pak je třeba získat souhlas znovu.
Nevíte jak začít?
Pokud jste se celé problematice ještě nevěnovali, zkuste začít právě analýzou zpracování osobních údajů. Zvažte, jaká data jsou pro vás stěžejní, zda je možné jejich získání považovat za oprávněný zájem nebo potřebujete, či raději chcete, získat explicitní souhlas uživatele.
Podívejte se, které služby používáte a prohlédněte si jejich stránky, kde již určitě problematika GDPR z pohledu daného nástroje bude rozebraná. S něčím vám určitě pomohou odkazy, které jsou vyjádřením kompetentních subjektů z oblasti ochrany osobních údajů nebo práva.
