WordPress a GDPR

Koncem května roku 2018 vstoupilo v platnost Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation). Od ledna 2022 dochází k dalším úpravám, a to s ohledem na cookies. V tomto článku najdete shrnutí podstatných informací se zřetelem na provozovatele e-shopů a dalších komerčních stránek.

Co se změnilo zavedením GDPR po roce 2018

Prakticky to tak obrovská tragédie nebyla, jak se z počátku mohlo jevit.

• přibyla vyšší administrativní zátěž
• rozšíření definice osobních údajů o technické parametry: e-mail, IP adresa nebo tzv. cookie v zařízení uživatele
• nová kategorie tzv. genetických a biometrických údajů, jejichž zpracování podléhá přísnějšímu režimu
• oznamovací povinnost v případě narušení bezpečnosti údajů (do 72 hodin)
• nová práva lidem, jimž údaje patří – v nařízení definováno jako “práva subjektů”: právo na přístup k osobním údajům,  právo na opravu, resp. doplnění,  právo na výmaz,  právo na omezení zpracování,  právo na přenositelnost údajů, právo vznést námitku, právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

Osobní údaje dle GDPR a princip zodpovědnosti

GDPR definuje osobní údaje ve dvou kategoriích. První jsou obecné údaje, což jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (jméno, pohlaví, věk a datum narození, osobní stav, IP adresa… atd.). Druhá kategorie podléhá přísnějšímu režimu, jde o citlivé údaje. Patří sem například údaje o zdravotním stavu, o sexuální orientaci, trestních deliktech či pravomocném odsouzení, biometrické údaje a další.

Je nutné respektovat princip tzv. zodpovědnosti, což je povinnost správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR:

• implementace záměrné a nezbytné ochrany dat (umožnění přístupu občanů k jejich údajům)
• vypracování posouzení vlivu na ochranu osobních údajů, anglický termín: Data Protection Impact Assessment  neboli DPIA
• jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
• zavedení tzv. pseudonymizace osobních údajů: zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům
• konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
• vedení záznamů o činnostech zpracování, záznamy o činnostech musí obsahovat následující informace:
  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO (pověřenec pro zpracování osobních údajů)
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření
• výjimky z povinnosti vést záznamy o činnostech zpracování: pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností a nezpracovávají citlivé údaje
• správce i zpracovatelé budou povinni spolupracovat s dozorovým úřadem a veškeré záznamy zpřístupňovat na vyžádání

Pseudonymizace

Pseudonymizace může v praxi představovat velmi podobný proces, při kterém se však osobní údaje v souboru odstraní, případně jen nahradí, a to takovým způsobem, že identifikace konkrétní fyzické osoby bude po přiřazení dodatečných údajů možná. Pojmově tedy nejde o nevratný proces, ale jen o dočasné funkční oddělení určitého „podsouboru údajů“ od ostatních údajů, které společně identifikaci umožňují. Náročnost tohoto procesu bude v praxi záviset na množství a typu zpracovaných osobních údajů, technického způsobu, jakým jsou zpracované a na mnoha dalších faktorech. V některých případech může stačit smazat první sloupec myšlené tabulky, v jiných případech bude nutný složitější algoritmus a pokročilé softwarové nástroje. GDPR tuto techniku uznává jako jedno z možných technických opatření pro zajištění ochrany a bezpečnosti osobních údajů.

Šifrování je dle GDPR možné definovat jako metodu, na základě které se z osobních údajů stanou údaje „nečitelné pro všechny osoby, které nejsou oprávněny mít k nim přístup“, tj. pro všechny osoby, které nemají k dispozici příslušné přístupové klíče. Podobně jako u pseudonymizace se jedná z pohledu GDPR o vhodné technické opatření pro zvýšení bezpečnosti při zpracování osobních údajů. Problémem této metody je však snížená využitelnost zabezpečených údajů, protože šifrované údaje není možné např. prohledávat nebo podobným způsobem dále zpracovávat bez jejich předchozího odšifrování.

Kdo musí mít DPO (pověřence pro ochranu osobních údajů)?

• Orgány veřejné moci a organizace, které jako hlavní činnost vykonávají zpracování systematického a rozsáhlého monitorování občanů nebo rozsáhle zpracovávají citlivé kategorie údajů (nemocnice, pojišťovny, banky).
• Podnikatel, jestliže zpracování osobních dat  je nedílnou součástí jeho činnosti – hlavní činnost (ne u pomocné nebo podpůrné činnosti – např. firma s daty zaměstnanců pro mzdy).

Pokud jste na pochybách, zda máte povinnost si zřídit či najmout DPO, můžete si zkusit zajistit nezávislé odborné posouzení.

V případě, že jako správce osobních údajů nebudete funkci DPO zřizovat nebo si osobu či firmu zajišťující nařízený dohled najímat, měli byste disponovat stanoviskem s odůvodněním, proč tomu tak není. Ostatní správci nebo zpracovatelé dat mohou pověřence jmenovat dobrovolně. Vykonávat DPO může interní vlastní zaměstnanec nebo externí služba.

Sankce při ignorování GDPR

• maximálně 20 000 000 € (500 miliónů Kč) – tato částka může být udělena komukoliv (bez ohledu na velikost společnosti)
• nebo 4 % z celkového ročního obratu společnosti

Faktory ovlivňující výši sankce (např.): povaha, závažnost a délka porušování, počet poškozených občanů, míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod a kategorie osobních údajů dotčené porušením.

Jak je to u internetových obchodníků?

O systematické a pravidelné monitorování se jedná, pokud používáte a na webu máte:

• reklamní sdělení (cílená – na základě chování při používání vyhledávacích nástrojů)
• e-mail retargeting
• věrnostní programy

Pověřence by měl mít ten, kdo zpracovává osobní údaje jako podklad pro reklamu ve vyhledávačích, která se utváří podle toho, jak se lidé chovají na internetu.

E-shopy a GDPR

GDPR se v České republice týká více než 36 000 e-shopů. Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. Poskytovatel musí být připraven na GDPR.

Systém souhlasů

Dalším z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud je ke zpracování osobních údajů takový souhlas vyžadován, nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje.

Konkrétní příklad u e-shopu: pokud poskytnu provozovateli e-shopu osobní údaje, které jsou nezbytné k zakoupení výrobku, tak to, že nedám souhlas k zasílaní marketingových e-mailů, nemůže být důvodem, kvůli kterému by mi měl e-shop odmítnout samotné zakoupení produktu.

Souhlas k využití osobních údajů bude muset být vědomý, oddělený a uživatel musí být informovaný, k čemu ho dává. Souhlas bude nutné vyžadovat na několika úrovních:

• pro získání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje)
• pro předání dat partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi

Pokud chce e-shop předat osobní údaje někomu dalšímu, je potřeba zaškrtnutí určitého políčka, kde o to zvlášť požádá. To políčko nesmí být předzaškrtnuté a zároveň nesmí být podmínkou pro možnost dalšího kroku (předávání údajů za účelem marketingu totiž není nezbytné k tomu, aby internetový obchod zaslal zboží). Tento souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek.

Veškeré souhlasy, které provozovatel nezískal výše popsaným způsobem, nejsou od účinnosti nové právní úpravy v roce 2018 platné a podnikatel je tak musí získat znovu (což jste již pravděpodobně učinili).

Odvolání souhlasu

Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést.

Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.

Zabezpečení dat

Celkově obecně velmi výrazně stoupla zodpovědnost za data, která na základě souhlasu zákazníků uchováváte. Data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí stanovit osobu, která bude za bezpečné uchování dat přímo zodpovědná (může jí být i přímo majitel e-shopu).

Dopady na obchodní podmínky e-shopu

Provozovatelé e-shopů jsou dlouhé roky zvyklí mít souhlas se zpracováním osobních údajů a poučení o právech s tím souvisejících jako součást obchodních podmínek. Takový postup je však podle GDPR protiprávní.

Provozovatel musí zcela jasně oddělit obchodní podmínky od dokumentace týkající se ochrany osobních údajů – pro otázku osobních údajů tak je potřeba vytvořit samostatný dokument.

Spotřebitel je povinen při registraci do e-shopu nebo při zaslání objednávky kromě souhlasu s obchodními podmínkami zaškrtnutím příslušného políčka potvrdit také samostatný souhlas se zpracováním osobních údajů, a to pro každý z účelů zpracování zvlášť (viz Systém souhlasů).

WordPress a GDPR

Jak to má WordPress s GDPR? Od verze 4.9.6 přibyly do WordPressové administrace nástroje na jednodušší práci s osobními údaji. Hned po instalaci WordPressu objevíte v administraci stránek novou stránku Zásady ochrany osobních údajů. V administraci pod Nastavení -> Soukromí najdete nástroj pro editaci stránky Zásady ochrany osobních údajů, kde si můžete upravit stávající znění textu a nebo vložit vlastní. Případně si vytvořte jinou stránku a nastavte jako stránku pro zásady ochrany osobních údajů.

Export osobních údajů ve WordPressu

V sekci Nástroje bylo přidáno Export osobních údajů a Výmaz osobních údajů. První zmíněné slouží pro stažení dat určitého uživatele, kdy do políčka zadáte uživatelské jméno nebo e-mail uživatele, od kterého data chcete. Po vyplnění e-mailu a kliknutí na tlačítko Odeslat žádost, je posléze zaslán e-mail se souhlasem o stažení jeho dat. Na obrázku vidíte jak to vypadá po odeslání žádosti.

Po odsouhlasení (kliknutí na odkaz v e-mailu) se v adminu změní Stav a Další kroky, kde přes tlačítko Send Export Link zašlete na zadaný mail odkaz ke stažení osobních dat z webu.

Výmaz osobních údajů ve WordPressu

Vymazání osobních údajů probíhá naprosto stejným způsobem jako export osobních údajů. Nejprve musíte zadat e-mail nebo uživatelské jméno uživatele, u terého chcete vymazat jeho data z WordPress webu. Poté mu přijde na e-mail žádost o souhlas s vymazáním jeho údajů z webu. Po jeho odsouhlasení se v tabulce objeví link, přes který zašlete na uživatelův e-mail odkaz pro smazání dat z webu.

GDPR a e-shop plugin WooCommerce

Ve WooCommerce přibyly od verze 3.4 funkce pro práci s osobními údaji zákazníků, kteří nakupují ve vašem internetovém obchodě.

Export osobních údajů

WooCommerce 3.4 přidává do vygenerovaného souboru exportu následující data:

• adresu zákazníka a informace o jeho účtu
• objednávky spojené s danou e-mailovou adresou
• stáhne oprávnění a logy související s danou e-mailovou adresou

Postup exportu je totožný jako výše zmíněný pro WordPress. Navíc jsou přidány další položky ohledně objednávek – např. fakturační a doručovací adresa.

Výmaz osobních údajů ve WooCommerce

Výmaz probíhá stejným způsobem jako export osobních dat. Nicméně je pochopitelné, že u internetových obchodů není situace tak jednoduchá, z důvodu různých právních předpisů. Proto byla přidána další pravidla při výmazu osobních údajů z WooCommerce. Najdete je ve WooCommerce -> Nastavení -> záložka Účty a soukromí.

Toto nastavení je v základu neaktivní, je ho tedy třeba ručně zatrhnout – aktivovat. Pokud navíc ručně odstraníte uživatele ze systému, jsou společně s jeho údaji vymazány:

• platební klíče
• adresy
• objednávky (jsou konvertovány do anonymních objednávek)

Pokud potřebujete hromadně anonymizovat více objednávek přímo ze seznamu objednávek WooCommerce, použijte hromadnou akci Odstranit osobní data. Objednávky zůstávají, ale převádí se pod anonymní identity.

Nastavení uchovávání dat

Chcete-li snížit množství uložených osobních údajů, od WooCommerce 3.4 si můžete nastavit, jak dlouho chcete uchovávat data, která již nejsou pro zpracování objednávky potřebná. Pokud ponecháte nevyplněné, údaje se budou uchovávat po dobu neurčitou (což není v souladu s pravidly GDPR).

Tato nastavení najdete pod WooCommerce > Nastavení > Účty a soukromí.

• Neúspěšné, nevyřízené a zrušené objednávky, které budou odstraněny, budou přesunuty do koše.
• Dokončené objednávky, které budou odstraněny, se anonymizují, takže prodejní statistiky nebudou ovlivněny.
• Neaktivní účty budou smazány. Neaktivní účet je účet, pod kterým se ještě nikdo nepřihlásil, nebo z něj nebyla po stanovenou dobu vytvořena objednávka.

Je možné nastavit denní mazání účtů pomocí cronu. Neaktivní účty WooCommerce sleduje pomocí metadat a odstraňuje pouze odběratele / zákaznické účty.

Možnosti zobrazení stránky s objednávkou

Chcete-li snížit množství uložených osobních údajů, můžete vypnout některá volitelná pole, která nemusíte pro zpracování požadovat.

Úryvky pro stránku se zásadami osobních údajů

Pokud definujete stránku zásad ochrany osobních údajů, je důležité, aby bylo možné odkazovat na tuto stránku v případě potřeby. WooCommerce vypíše oznámení a odkazy na zásady ochrany osobních údajů ve dvou částech:

1. Registrační formulář
2. Objednávkový formulář

Přepínač se souhlasem a informativní text je zobrazen automaticky při objednávce nad potvrzovacím tlačítkem. Obojí lze nastavit v WooCommerce > Nastavení > Účty a soukromí.

SimpleShop a GDPR

Jak řeší bezpečnost dat aplikace SimpleShop?

Co se týče osobních údajů zákazníků internetových obchodů postavených na SimpleShopu, zodpovědnost za bezpečnost dat je jak na straně zpracovatele (SimpleShop.cz) tak na straně správce (provozovatele e-shopu).

Jak poznat, případně dokázat, že je SimpleShop.cz důvěryhodným a spolehlivým zpracovatelem osobních údajů vašich klientů?

Základním dokumentem jsou v tomto případě Zásady ochrany osobních údajů, které ma SimpleShop.cz na svých stránkách, kde najdete, jaké osobní údaje sbírají, jak a za jakým účelem je zpracovávají. K dispozici vám je i popis technického zajištění bezpečnosti dat, a to jak vašich, tak klientů SimpleShop.cz a klientů ve vašem internetovém obchodě.

Proběhla také změna obchodních podmínek, do kterých byla vložena zpracovatelská smlouva. Tato smlouva vyjadřuje vztah mezi vámi (jako správci osobních údajů vašich klientů e-shopu) a SimpleShop.cz (jako zpracovateli těchto údajů). K nalezení je pod bodem 6. Ostatní oblasti obchodních podmínek jsou nezměněné. SimpleShop.cz tyto dokumenty doporučuje vytisknout a založit k dalším dokumentům, které dokládají ochranu osobních údajů.

Jaká data vašich klientů SimpleShop.cz zpracovává?

Údaje jsou zpracovávány v rozsahu, který vaši zákazníci poskytnou do prodejního formuláře na e-shopu, za účelem technického zabezpečení všech aspektů prodeje. Více informací najdete v dokumentu Zásady ochrany osobních údajů.

Jak řešit přepínače v prodejním formuláři? Je to moje starost, nebo starost SimpleShop.cz?

V každém případě je to vaše starost, jelikož vaši klienti, svěřují své údaje vám, byť prostřednictvím formuláře SimpleShopu. Pro usnadnění situace byl natočen videotutoriál.

Formuláře a GDPR

Firemní web

Pokud jde o kontaktní nebo poptávkový formulář, jedná se o komunikaci s budoucím klientem, případně jednání o budoucí smlouvě. V tomto případě o souhlas se zpracováním osobních údajů žádat nemusíte, ale minimálně byste měli návštěvníka upozornit na to, že odesláním poskytne osobní údaje ke zpracování. Stačit by měla například informace: Odesláním souhlasíte se zpracováním osobních údajů. A doplňte odkaz na stránku se zásadami ochrany osobních údajů.

Internetový obchod (e-shop)

Pokud se jedná o internetový obchod a objednávku, ani v tomto případě by z právního hlediska neměl být potřeba souhlas se zpracováním osobních údajů. Nicméně i zde byste měli návštěvníka upozornit na to, že odesláním poskytne osobní údaje ke zpracování. Stačit by měla například informace: Odesláním souhlasíte se zpracováním osobních údajů. A doplňte odkaz na stránku se zásadami ochrany osobních údajů.

Komentáře ve WordPressu

Několik příkladů a jejich různá řešení:

• Pokud z nějakého důvodu potřebujete sbírat nejen jméno/přezdívku, ale také e-mail nebo IP adresu, je nutné požádat o souhlas se zpracováním osobních údajů. K publikování komentáře totiž tyto údaje nutně nepotřebujete.
• Podobně jako u recenzí na e-shopech můžete uplatnit oprávněný zájem. Například, pokud chcete mít možnost komentujícího dohledat pro podezření z urážky na cti a podobně. V takovém případě souhlas není potřeba, ale o zpracování údajů musíte informovat.
• Další a velice dobrou možností jsou anonymnější komentáře. Pokud vám to nebude chybět, sbírejte např. jen jméno nebo přezdívku. V tomto případě se nejedná o sběr osobních údajů a souhlas není potřeba.
• Poslední, a z hlediska GDPR nejlepší možnosti, je anonymizace komentářů. Komentující vůbec nemusí vyplňovat e-mail ani jméno nebo přezdívku. Pod příspěvkem se pak komentující objeví jako Anonymous.

Jsou tím požadavky vyplývající z GDPR vyřešeny?

Z hlediska WordPressu částečně ano. Nicméně byste měli data uživatelů uchovávat v bezpečí. To znamená pravidelné aktualizace a zabezpečení webu, aby se k citlivým datům nikdo jen tak nedostal. Bezpečnost je proces a jde o soulad technických prostředků a procesních kroků.

Zdroje

• Co je GDPR? (GDPR.cz)
• GDPR (obecné nařízení) (UOOU)
• WooCommerce.com GDPR (WooCommerce)
• Jak na cookie lištu (Pavel Ungr)
• WP a Cookie Consent (WPPivo.cz)