Přehledně o GDPR

V letošním roce, přesně 25. května, vstoupí v platnost Obecné nařízení o ochraně osobních údajů – GDPR (General Data Protection Regulation). Přinášíme vám shrnutí podstatných informací se zřetelem na konkrétní dopady pro provozovatele e-shopů a dalších komerčních stránek.

Co je GDPR

Nová legislativa EU, která si klade za cíl výrazně zvýšit ochranu osobních dat a chránit digitální práva občanů:

  • nejvíce ucelený soubor pravidel na ochranu dat na světě
  • jednotná platnost ve všech státech EU
  • více než 50 bodů bude upřesněno v prováděcím zákoně – jejich podoba je v naší národní pravomoci
  • u nás nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů
  • nařízení musí respektovat každý (hrozí vysoké tresty), kdo shromažďuje nebo zpracovává osobní údaje Evropanů (i instituce, které na evropském trhu fungují)
  • týká se i těch, kdo sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií
  • např. bankovní instituce, zdravotnictví, veřejná správa, školství, e-shopy…

Co se změní

  • přibude velká administrativní zátěž
  • rozšíření definice osobních údajů o technické parametry: e-mail, IP adresa nebo tzv. cookie v zařízení uživatele
  • nová kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu
  • oznamovací povinnost v případě narušení bezpečnosti údajů (do 72 hodin)
  • nová práva lidem, jimž údaje patří – v nařízení definováno jako “práva subjektů”

Jde například o

  • právo vznést námitku proti zpracování dat
  • právo na přenositelnost osobních údajů
  • přístup osoby k údajům, které jsou o ní shromažďovány (ideálně online)
  • právo na výmaz a jeho rozšíření na právo být zapomenut

Osobní údaje dle GDPR

GDPR definuje osobní údaje ve dvou kategoriích. První jsou obecné údaje, což jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (jméno, pohlaví, věk a datum narození, osobní stav, IP adresa… atd.). Druhá kategorie podléhá přísnějšímu režimu, jde o citlivé údaje. Patří sem například údaje o zdravotním stavu, o sexuální orientaci, trestních deliktech či pravomocném odsouzení, biometrické údaje a další.

Co je nutné udělat

  1. zrevidovat informační systémy a postupy nakládání s osobními údaji
  2. respektovat princip tzv. zodpovědnosti, což je povinnost správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR

Uplatnění principu zodpovědnosti:

  • implementace záměrné a nezbytné ochrany dat (umožnění přístupu občanů k jejich údajům)
  • vypracování posouzení vlivu na ochranu osobních údajů, anglický termín: Data Protection Impact Assessment  neboli DPIA
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • zavedení tzv. pseudonymizace osobních údajů: zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
  • vedení záznamů o činnostech zpracování, záznamy o činnostech musí obsahovat následující informace:
    • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO (pověřenec pro zpracování osobních údajů)
    • účely zpracování
    • popis kategorií subjektů údajů a kategorií osobních údajů
    • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
    • informace o mezinárodním předávání osobních údajů
    • lhůty pro výmaz jednotlivých kategorií údajů
    • popis technických a organizačních opatření
  • výjimky z povinnosti vést záznamy o činnostech zpracování: pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností a nezpracovávají citlivé údaje
  • správce i zpracovatelé budou povinni spolupracovat s dozorovým úřadem a veškeré záznamy zpřístupňovat na vyžádání

Pseudonymizace

Pseudonymizace může v praxi představovat velmi podobný proces, při kterém se však osobní údaje v souboru odstraní, případně jen nahradí, a to takovým způsobem, že identifikace konkrétní fyzické osoby bude po přiřazení dodatečných údajů možná. Pojmově tedy nejde o nevratný proces, ale jen o dočasné funkční oddělení určitého „podsouboru údajů“ od ostatních údajů, které společně identifikaci umožňují. Náročnost tohoto procesu bude v praxi záviset na množství a typu zpracovaných osobních údajů, technického způsobu, jakým jsou zpracované a na mnoha dalších faktorech. V některých případech může stačit smazat první sloupec myšlené tabulky, v jiných případech bude nutný složitější algoritmus a pokročilé softwarové nástroje. GDPR tuto techniku uznává jako jedno z možných technických opatření pro zajištění ochrany a bezpečnosti osobních údajů.

Šifrování je dle GDPR možné definovat jako metodu, na základě které se z osobních údajů stanou údaje „nečitelné pro všechny osoby, které nejsou oprávněny mít k nim přístup“, tj. pro všechny osoby, které nemají k dispozici příslušné přístupové klíče. Podobně jako u pseudonymizace se jedná z pohledu GDPR o vhodné technické opatření pro zvýšení bezpečnosti při zpracování osobních údajů. Problémem této metody je však snížená využitelnost zabezpečených údajů, protože šifrované údaje není možné např. prohledávat nebo podobným způsobem dále zpracovávat bez jejich předchozího odšifrování.

Kdo musí mít DPO (pověřence pro ochranu osobních údajů)?

  • Orgány veřejné moci a organizace, které jako hlavní činnost vykonávají zpracování systematického a rozsáhlého monitorování občanů nebo rozsáhle zpracovávají citlivé kategorie údajů (nemocnice, pojišťovny, banky).
  • Podnikatel, jestliže zpracování osobních dat  je nedílnou součástí jeho činnosti – hlavní činnost (ne u pomocné nebo podpůrné činnosti – např. firma s daty zaměstnanců pro mzdy).

Sankce při ignorování GDPR

  • maximálně 20.000.000 € (500 miliónů Kč) – tato částka může být udělena komukoliv (bez ohledu na velikost společnosti)
  • nebo 4 % z celkového ročního obratu společnosti

Faktory ovlivňující výši sankce (např.): povaha, závažnost a délka porušování, počet poškozených občanů, míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod a kategorie osobních údajů dotčené porušením.

Jak je to u internetových obchodníků?

O systematické a pravidelné monitorování se jedná, pokud používáte a na webu máte:

  • reklamní sdělení (cílená – na základě chování při používání vyhledávacích nástrojů)
  • e-mail retargeting
  • věrnostní programy

Pověřence by měl mít ten, kdo zpracovává osobní údaje jako podklad pro reklamu ve vyhledávačích, která se utváří podle toho, jak se lidé chovají na internetu.

Mám mít DPO?

Pokud jste na pochybách, zda máte povinnost si zřídit či najmout DPO, můžete si zkusit zajistit nezávislé odborné posouzení.

V případě, že jako správce osobních údajů nebudete funkci DPO zřizovat nebo si osobu či firmu zajišťující nařízený dohled najímat, měli byste disponovat stanoviskem s odůvodněním, proč tomu tak není. Ostatní správci nebo zpracovatelé dat mohou pověřence jmenovat dobrovolně. Vykonávat DPO může interní vlastní zaměstnanec nebo externí služba.

E-shopy a GDPR

GDPR se v České republice týká více než 36 000 e-shopů. Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. Poskytovatel musí být připraven na GDPR.

Systém souhlasů

Dalším z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud je ke zpracování osobních údajů takový souhlas vyžadován, nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje.

Konkrétní příklad u e-shopu: pokud poskytnu provozovateli e-shopu osobní údaje, které jsou nezbytné k zakoupení výrobku, tak to, že nedám souhlas k zasílaní marketingových e-mailů, nemůže být důvodem, kvůli kterému by mi měl e-shop odmítnout samotné zakoupení produktu.

Souhlas k využití osobních údajů bude muset být vědomý, oddělený a uživatel musí být informovaný, k čemu ho dává. Souhlas bude nutné vyžadovat na několika úrovních:

  • pro získání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje)
  • pro předání dat partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi

Pokud bude chtít e-shop předat osobní údaje někomu dalšímu, bude potřebovat zaškrtnutí určitého políčka, kde o to zvlášť požádá. To políčko nesmí být předzaškrtnuté a zároveň nesmí být podmínkou pro možnost dalšího kroku (předávání údajů za účelem marketingu totiž není nezbytné k tomu, aby internetový obchod zaslal zboží). Tento souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek.

Veškeré souhlasy, které provozovatel nezískal výše popsaným způsobem, nebudou od účinnosti nové právní úpravy platné a podnikatel je tak bude muset získat znovu. Právě z tohoto důvodu je vhodné přizpůsobit dokumentaci e-shopu nové úpravě co nejdříve. Provozovatel tím zajistí, že soubor osob, k jejichž údajům bude mít souhlas dle nové úpravy a které tak nebude muset po 25. květnu 2018 odstranit, bude co největší.

Stávající souhlasy mohou zůstat, ale je bude potřeba zrevidovat – požádat zákazníky o souhlas znovu.

Odvolání souhlasu

Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést.

Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.

Zabezpečení dat

Celkově obecně velmi výrazně stoupne zodpovědnost za data, která budete na základě souhlasu zákazníků uchovávat. Data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí stanovit osobu, která bude za bezpečné uchování dat přímo zodpovědná (může jí být i přímo majitel e-shopu).

Dopady na obchodní podmínky e-shopu

Provozovatelé e-shopů jsou dlouhé roky zvyklí mít souhlas se zpracováním osobních údajů a poučení o právech s tím souvisejících jako součást obchodních podmínek. Takový postup je však podle GDPR protiprávní.

Provozovatel bude nově muset zcela jasně oddělit obchodní podmínky od dokumentace týkající se ochrany osobních údajů – pro otázku osobních údajů tak bude potřeba vytvořit samostatný dokument.

Spotřebitel pak bude povinen při registraci do e-shopu nebo při zaslání objednávky kromě souhlasu s obchodními podmínkami zaškrtnutím příslušného políčka potvrdit také samostatný souhlas se zpracováním osobních údajů, a to pro každý z účelů zpracování zvlášť (viz Systém souhlasů).

Doporučujeme k přečtení konkrétní příklady možných dopadů GDPR pro online marketing, které sepsal Daniel Nytra ve svém článku. V Olomouci se 6. února 2018 k tomuto tématu konala akce s názvem GDPR pro webdesignery a provozovatele webů, na které se organizátoři zdarma podělili o své zkušenosti s přípravou na soulad s GDPR.

Služby WP-admin.cz a GDPR

Firma WP-admin.cz neposkytuje službu externího DPO, ani nezávislé odborné posouzení. Zatím nemáme definovánu konkrétní nabídku pro zabezpečení souladu webů s GDPR, situaci však průběžně monitorujeme. Na základě dalšího vývoje budou naši technici implementovat potřebné změny pro zajištění bezproblémového fungování webů a e-shopů, kterých se GDPR týká.

V  Praze proběhlo 29. 1. 2018 školení WordPress, WooCommerce a GDPR, které se zabývalo podrobnostmi GDPR ve vztahu k webovým stránkám běžícím na WordPressu a s praktickými ukázkami i řešeními pro e-shopy na WooCommerce.

Zdroje:

46 otázek a odpovědí k GDPR
Novinky ve zpracování osobních údajů. Jak se na ně připravit?
Nová pravidla ochrany osobních údajů
Směrnice GDPR – otázky – 4. Zásady a právní důvody zpracování
Jak ovlivní nové nařízení o ochraně osobních údajů (GDPR) e-shopy?
Pověřenec pro ochranu osobních údajů – klíčová funkce pro zajištění GDPR

Použitý obrázek: zdroj Pexels.com, Licence CC0 1.0 Universal

Další články k tématu

Jak se co nejlépe starat o svůj web?

Máte web

Znáte to, vlastníte web nebo e-shop a zjišťujete, že je kolem jeho provozu spousta starostí a práce. Často má mnoho lidí dojem, že nějak vytvoří stránky na webu a...tím celá záležitost prakticky končí. Kdo to však zkusí, ví, že tím celé dobrodružství teprve začíná… Zvláště pokud se stránky nebo obchod prudce rozvíjí, najednou...zjistíte, že potřebujete zajistit nejrůznější služby. Komunikace s hostingem, aktualizace pluginů i samotného WordPressu. Pokud není web náležitě spravován, objevují se po čase...nejrůznější chyby, např. se přestanou zobrazovat správně obrázky, přestanou fungovat odkazy, změní se umístění různých prvků apod. Může také vyvstat potřeba úprav některých...funkcí (např. přidání nové platební metody, změna formulářů atd.) nebo jen prostě zjistíte, že určité informace potřebujete přesunout na jiné místo. Nebo vyvstane nutnost napojit...web na nové služby či zajistit úpravy v souladu s novou legislativou… Dalším častým problémem bývá virová nákaza, kterou na první pohled ani nemusíte poznat. Je třeba sledovat...jakékoliv známky podezřelé aktivity. Může se projevit například náhodným přesměrováním URL adresy, odesíláním nevyžádaných zpráv nebo zobrazením hlášky antivirového programu,...který škodlivý kód na stránkách identifikoval. Web může být až do opravy vyřazen z provozu. Tady začíná být starost o web opravdu náročná a pro laika, který se IT nezabývá,...nesrozumitelná.

Svěřte svůj web odborníkům

A právě v těchto případech...se obraťte na nás - na tým WP-admin.cz. Zajišťujeme komplexní péči o váš web. Můžete se plně spolehnout na to, že sledujeme a organizujeme vše tak, aby web běžel plynule a bez...závad. Je tu ale jedno ale.
Pro to, aby vše dobře klapalo, potřebujeme vaši součinnost.

Komunikujte s námi a informujte...nás. Proč?

Když například náš klient očekává skokové navýšení přístupů, protože pořádá nějakou větší akci, prezentuje se v médiích nebo přidává aktuální a...zajímavý obsah či událost na svých stránkách, je potřebné, abychom to věděli. Protože jako externí služba nemáme přístup k mnoha interním informacím a není v našich silách...sledovat veškeré dění kolem stránek. Nejsme uživatelé stránek, ale jejich správci. Pokud jako správci od klienta nemáme dostatečně a s předstihem informace o očekávaných a předem...zajištěných aktivitách, které mají dopad na návštěvnost a používání webu, může bohužel docházet k nemilým situacím. A ty mohou být pro obě strany velice stresové, avšak zcela...zbytečné.

Několik příkladů z praxe

1) Klient, kterému spravujeme stránky, akutně požaduje řešení zpomaleného webu, který najednou často padá nebo je dokonce zcela vyřazen...z provozu. Právě probíhá důležitá akce a na jeho stránky přišlo nepočítaně více návštěvníků. Majitel stránek dopředu věděl, že akce bude probíhat a že přiláká mnoho...návštěv. Nepodal nám o tom ale žádnou informaci a v průběhu akce žádá rychlé řešení… To je však pozdě.
Řešení spočívá právě v odpovídající...přípravě webu na tuto enormní zátěž.
2) Podobně, když klient spouští nový projekt nebo kampaň. Vše prezentuje v médiích, je zřejmé, že web přiláká pozornost. Ale my o...tom nemáme ani tušení. Web činí potíže - je zpomalený, seká se (může být i nedostupný), protože nemá po technické stránce zajištěnou přípravu.
...Řešením je podání informace o spuštění nového projektu od klienta, po níž následuje  adekvátní zajištění technických příprav z naší strany. Ty spočívají v komunikaci s...hostingem, (úprava parametrů php, navýšení paměťové kapacity), dočasným vypnutím některých pluginů a spuštěním monitoringu, aby web bez problémů vydržel nápor návštěvníků....
3) Klient provozuje web bez dlouhodobé koncepce rozvoje. Neustále přichází s novými nápady na nové funkcionality, které se snažíme postupně zapracovávat. Upozorňujeme na to,...že při tomto postupu práce může nastat problém. Web se zpomaluje, aktualizace se stávají rizikovými, správa webu je velmi komplikovaná. Dlouhodobě aplikované nepromyšlené zásahy...vyžadují vysoké náklady na opravy a celkovou údržbu.
Řešením je společně schválený dlouhodobý plán rozvoje webu, kde je přesně stanoveno, co, kdy a jak...se udělá. Tím se znatelně sníží celkové náklady na provoz webu, jehož chod navíc není ohrožen.
Ve výčtu bychom mohli dále pokračovat. Poskytujeme kvalitní a komplexní...servis, poctivě se zabýváme každým požadavkem zákazníků. Naším cílem jsou skvělé, perfektně udržované a funkční weby a spokojení majitelé a uživatelé stránek. Snažíme se,...abychom maximálně snížili jakékoliv riziko spojené se zásahy na webu. Proto nás mrzí, když kvůli nedostatečné komunikaci a opomíjení sdělování podstatných skutečností nutných pro...bezchybný provoz webů, dojde k výše popsaným nepříjemným událostem. Nejlepší péči o váš web můžeme zajistit jen spolu s vámi. Když nás budete včas informovat o věcech, které...s webem zdánlivě nesouvisí, máme možnost zajistit nejlepší servis. Nebojte se na nás kdykoliv s důvěrou obrátit, společně se domluvíme a vyjasníme potřebné informace a podklady. Vy i...my tím získáme pozitivní prospěch. Web bude mít zajištěnu péči, při níž eliminujeme výskyt nepředvídatelných potíží a jeho správa se tak zbytečně...neprodraží.   Použité obrázky: zdroj Pixabay.com, Licence CC0 1.0 Universal
Ako zmenšiť obrázky, zrýchliť web a ušetriť miesto? Jedna z vecí, ktorá ukazuje, že zohľadňujete všetky detaily pri zrýchľovaní webu, je optimalizácia veľkosti obrázkov. Predstavíme vám prácu s modulom Shortpixel, ktorý je vynikajúcim nástrojom na optimalizáciu veľkosti zdrojov. Návštevníci webu s pomalým pripojením...budú za to určite vďační.

Napsat komentář