Úvod » Blog » GDPR: Povinnosti pro e-shopy a weby

E-shopy a GDPR: Jak zajistit soulad s ochranou osobních údajů

Vlastníte e-shop a nejste si jisti, zda splňuje pravidla GDPR? Zpracování osobních údajů zákazníků je nezbytnou součástí provozu každého internetového obchodu. Správné nastavení ochrany osobních údajů vám pomůže vyhnout se problémům s úřady a získat důvěru zákazníků. V tomto článku vám přiblížím základní požadavky GDPR na e-shopy a poradím, jak je splnit.

Co je GDPR a proč se týká e-shopů?

GDPR (Obecné nařízení o ochraně osobních údajů) je soubor pravidel Evropské unie, která chrání osobní údaje jednotlivců. Většina eshopů zpracovává údaje zákazníků, jako jsou jména, e-maily, telefonní čísla nebo platební údaje, fakturační nebo dodací adresy, historie objednávek, IP adresa, také údaje zaměstnanců, pokud má tým. Proto musí provozovatelé zajistit, aby s těmito údaji zacházeli v souladu s nařízením.

Na koho se GDPR vztahuje?

Nařízení GDPR se týká všech subjektů, které zpracovávají osobní údaje fyzických osob v EU, a to bez ohledu na to, kde se nacházejí. Platí tedy pro:
Firmy, e-shopy, úřady a instituce
Podnikatele a živnostníky
Online služby a webové stránky

Výjimku tvoří osobní a nekomerční zpracování – například pokud si někdo vede soukromý adresář kontaktů pro osobní účely. GDPR se také nevztahuje na údaje zesnulých osob nebo právnických osob.

Jakou roli v GDPR hrají cookies?

Cookies jsou malé soubory, které se ukládají do prohlížeče návštěvníků webu. Některé cookies jsou technické (nezbytné pro provoz webu), jiné shromažďují osobní údaje (například sledovací cookies pro marketing a analytiku) a proto na ně platí GDPR.

Podle GDPR musí každý web:
🔹 Získat souhlas se zpracováním cookies, pokud nejde o nezbytné soubory
🔹 Transparentně informovat uživatele, jaké cookies používá
🔹 Umožnit návštěvníkům souhlas kdykoliv odvolat

Toto se obvykle řeší pomocí cookie lišty a stránky se zásadami ochrany osobních údajů.

Přečtěte si také článek: Cookies na webu v roce 2024: Jak správně nastavit cookie lištu podle zákona

Jak zajistit soulad e-shopu s GDPR

1. Zpracování osobních údajů na základě právního důvodu

E-shop musí mít právní důvod pro zpracování osobních údajů. Mezi hlavní důvody patří:

1️⃣ Souhlas zákazníka – pokud osoba výslovně souhlasí se zpracováním svých osobních údajů pro konkrétní účel (např. zasílání newsletterů)
2️⃣ Plnění smlouvy – pokud je zpracování nezbytné k uzavření nebo plnění smlouvy, jejíž smluvní stranou je daná osoba, nebo pro přijetí opatření před uzavřením smlouvy na její žádost. (např. zpracování adresy pro vyřízení objednávky a doručení zboží) není nutný souhlas
3️⃣ Pro splnění zákonné povinnosti – když je zpracování povinné na základě právních předpisů (např. uchovávání faktur pro účetní a daňové účely) není nutný souhlas
4️⃣Pro oprávněné zájmy správce – pokud je zpracování nezbytné k ochraně oprávněných zájmů provozovatele nebo třetí strany, s výjimkou případů, kdy nad těmito zájmy převažují základní práva a svobody subjektu údajů, zejména pokud se jedná o dítě. (Tento právní základ nelze použít pro orgány veřejné správy při plnění jejich úkolů.) (např. ochrana před podvody) zasílání marketingových nabídek stávajícím zákazníkům.

2. Transparentní informování zákazníků

Musíte své zákazníky jasně informovat o tom, jaké osobní údaje sbíráte, za jakým účelem a jak dlouho je uchováváte. Toto by mělo být součástí obchodních podmínek nebo zvláštních Zásad ochrany osobních údajů.

Každý e-shop musí zákazníky jasně informovat o tom, jak jejich údaje zpracovává. To znamená mít dobře napsané zásady ochrany osobních údajů, které zahrnují:

  • Jaké údaje shromažďujete

  • Jaký je účel jejich zpracování

  • Jak dlouho je uchováváte

  • Kdo k nim má přístup

  • Jak mohou zákazníci uplatnit svá práva

3. Získání souhlasu tam, kde je potřeba

Pokud e-shop využívá osobní údaje pro marketingové účely (např. newsletter), musí získat výslovný souhlas zákazníka. Souhlas musí být svobodný, konkrétní a odvolatelný. Nejčastěji se využívá zaškrtávací políčko v objednávkovém formuláři nebo při registraci.

Souhlas musí být udělen dobrovolně, informovaně a jednoznačně. To znamená:

  • Žádné předem zaškrtnuté checkboxy.
  • Možnost kdykoli souhlas odvolat.
  • Žádné podmiňování objednávky souhlasem se zpracováním osobních údajů.

4. Zabezpečení osobních údajů

E-shop musí zajistit, aby údaje zákazníků nebyly zneužity. To zahrnuje:

  • Použití šifrování (SSL certifikát)

  • Bezpečné ukládání hesel (hashování)

  • Ochranu databází proti neoprávněnému přístupu

  • Pravidelnou aktualizaci systémů a pluginů

5. Práva zákazníků podle GDPR

Zákazníci mají podle GDPR několik práv, která musí e-shop respektovat:

  • Právo na přístup – zákazník může požádat o informace o zpracování svých údajů

  • Právo na opravu – může požádat o opravu nepřesných údajů

  • Právo na výmaz – může požádat o odstranění údajů, pokud nejsou dále potřebné

  • Právo na přenositelnost – může požádat o předání údajů v přenosném formátu

  • Právo vznést námitku – může odmítnout zpracování údajů pro marketingové účely

    6. Smlouvy s poskytovateli služeb

    Pokud e-shop využívá třetí strany (např. platební brány, hosting, mailingové služby), musí mít zpracovatelské smlouvy, které upravují, jak tyto společnosti nakládají s osobními údaji.

    7. Cookies a GDPR

    Pokud e-shop využívá cookies pro marketing nebo analytiku, musí o tom informovat uživatele a umožnit jim udělit souhlas. Nejlepší je použít cookie lištu, která umožňuje uživatelům spravovat jejich preference.

    Od ledna 2022 platí novela zákona č. 127/2005 Sb., o elektronických komunikacích, která zpřísnila pravidla pro cookies:

    • Pro většinu cookies potřebujete aktivní souhlas uživatele (tzv. opt-in).
    • Používání cookies má být transparentně popsáno v samostatné Cookies politice.

    8. Povinnost ohlásit únik osobních údajů

    V případě, že dojde k narušení bezpečnosti osobních údajů (např. hacknutí databáze), musíte to nahlásit Údradu pro ochranu osobních údajů (UOOU) do 72 hodin.

    Jak se vyhnout pokutám?

    GDPR předpokládá vysoké pokuty a jejich vymáhání je v České republice aktivně sledováno. Doporučuje se:

    • Mít všechny povinné dokumenty (zásady ochrany osobních údajů, cookies politika, obchodní podmínky).
    • Používat transparentní souhlasové mechanismy.
    • Zabezpečit osobní údaje dle nejlepších bezpečnostních praktik.

    Pokud si nejste jistí, doporučuji konzultaci s právníkem nebo odborníkem na ochranu osobních údajů, který vám pomůže správně implementovat všechny povinnosti vyplývající z GDPR. Mít správně nastavené procesy nejenže pomáhá chránit vaše zákazníky, ale také minimalizuje riziko pokut, které mohou dosáhnout až 20 milionů EUR nebo 4 % z celosvětového ročního obratu vaší společnosti, podle toho, která částka je vyšší.

    Jaká jsou rizika při nedodržení GDPR?

    Pokud nebudete dodržovat pravidla GDPR, můžete se dostat do problémů nejen s úřady, ale také ztratit důvěru zákazníků, což může mít dlouhodobý negativní dopad na vaši pověst a podnikání. Mezi nejčastější následky nedodržování patří:

    • Pokuty a sankce: Jak již bylo zmíněno, pokuty za porušení GDPR mohou být značné a mohou zasáhnout i menší podniky. Zajistit si právní poradenství a správně se připravit na požadavky GDPR je investice, která se vám vrátí v podobě klidného a bezpečného podnikání.

    • Ztráta důvěry zákazníků: V dnešní době je ochrana osobních údajů pro zákazníky velmi důležitá. Pokud zjistí, že jejich údaje nejsou chráněny správně, mohou přestat využívat vaše služby. To může vést k negativnímu vlivu na loajalitu a reputaci vaší značky.

    • Poškození vztahů s partnery: Pokud nedodržíte pravidla GDPR, mohou vás opustit i vaši obchodní partneři, kteří si uvědomují rizika spojená s neoprávněným zpracováním osobních údajů.

    Dodržování GDPR není jen o vyhnutí se pokutám, ale také o budování důvěry se zákazníky. Každý e-shop by měl mít jasně stanovená pravidla pro ochranu osobních údajů, zajistit jejich bezpečnost a umožnit zákazníkům uplatnit svá práva. Pokud si nejste jisti, zda váš e-shop splňuje všechny požadavky, doporučuji konzultaci s odborníkem na GDPR.

    Kdy lze zpracovávat osobní údaje se souhlasem a kdy bez něj?

    GDPR stanovuje šest právních důvodů, na základě kterých je možné zpracovávat osobní údaje. V některých případech je nutný souhlas subjektu údajů, jindy lze údaje zpracovávat i bez souhlasu, pokud existuje jiný právní základ.

     

    Pro většinu firem a eshopů jsou zásadní tyto čtyři právní důvody pro zpracování osobních údajů:

     

    Souhlas subjektu údajů (1) – například při zařazení zákazníka do marketingové soutěže nebo při používání cookies pro cílenou reklamu.

    Plnění smlouvy (2) – zákazník vyplní objednávku a poskytne své osobní údaje (jméno, příjmení, adresu). Tyto údaje jsou nezbytné k doručení zboží.

    Právní povinnost (3) – fakturační údaje musí eshop uchovávat pro účetní a daňové účely.

    Oprávněný zájem (6) – eshop může zákazníkovi zasílat nabídky podobných produktů bez nutnosti dalšího souhlasu.

      1️⃣ Zpracování osobních údajů na základě souhlasu

      Souhlas je nutný v případech, kdy nelze použít jiný právní základ. GDPR (článek 7) stanoví, že souhlas musí být:

      • Doložitelný – správce musí být schopen prokázat, že ho získal.
      • Odvolatelný – musí být možné ho kdykoli snadno odvolat.
      • Konkrétní a informovaný – subjekt údajů musí vědět, k čemu se souhlas vztahuje.

      Nejčastější využití souhlasu:

      • Cílená reklama a remarketing (například zobrazování reklam na základě chování návštěvníka webu).
      • Zasílání obchodních sdělení a newsletterů.
      • Předání osobních údajů třetím stranám.
      • Používání marketingových cookies.

      Příklad: Pokud chcete zobrazovat reklamu uživatelům, kteří si na vašem webu prohlédli produkt, ale nenakoupili, potřebujete jejich souhlas s marketingovými cookies. Tento souhlas musíte evidovat a být schopni jej doložit.

        2️⃣ Plnění smlouvy – prodej zboží a služeb

        Souhlas není potřeba, pokud subjekt údajů sám aktivně požádá o službu nebo produkt.

        Příklad:

        • Návštěvník vyplní poptávkový formulář na webu – kontaktujete ho, protože projevil zájem o vaše služby.
        • Zákazník objedná zboží v e-shopu a zadá své kontaktní údaje – použijete je k potvrzení objednávky a doručení zboží.
        • Firma zasílá upomínku neplatícímu zákazníkovi – jedná v rámci plnění smlouvy.

        Osobní údaje tedy můžete zpracovávat i bez souhlasu, pokud jsou nezbytné pro splnění smlouvy. Stačí uvést stručné informace o zpracování v podmínkách webu.

          3️⃣ Právní povinnost – Jak nakládat s osobními údaji po vyřízení objednávky?

          Po vyřízení objednávky musí e-shop uchovávat některé osobní údaje zákazníků kvůli účetním a daňovým předpisům.

          • Faktury je nutné archivovat zpravidla 5 až 10 let.
          • Během této doby stále zpracováváme údaje jako jméno, příjmení a fakturační adresu, protože jsou součástí účetní evidence.
          • Pokud je na faktuře uveden e-mail nebo telefon, můžeme je také uchovávat.

          🔍 Co ale dělat s dalšími údaji?
          Pokud e-mail a telefon nejsou na faktuře, ale pouze v e-shopu, neměli bychom je dále uchovávat. Pro daňové účely už nejsou potřeba a je vhodné je po určité době smazat.

          📌 Doporučení: Nastavte pravidla pro automatické mazání nadbytečných osobních údajů, abyste splnili požadavky GDPR a minimalizovali zpracování údajů nad rámec zákonných povinností.

            4️⃣ Oprávněný zájem – pouze pokud projde testem vyváženosti

            Oprávněný zájem umožňuje zpracování osobních údajů bez souhlasu, ale pouze tehdy, pokud má správce oprávněný důvod a tento důvod převáží nad právy subjektu údajů.

            🔍 Co znamená oprávněný zájem?

            • GDPR definuje některé oprávněné zájmy, jako je předcházení podvodům, přímý marketing nebo počítačová bezpečnost.
            • Pokud správce chce zpracovávat osobní údaje na základě oprávněného zájmu, musí prokázat jeho skutečnou existenci a provést tzv. test vyváženosti – tedy posoudit, zda jeho zájem nepřevyšuje práva a svobody subjektu údajů.

            📌 Jaké to má dopady pro weby a e-shopy?

            • Přímý marketing – pokud už jste se zákazníkem obchodovali, můžete mu na základě oprávněného zájmu posílat nabídky podobných produktů bez nutnosti souhlasu.
            • Analytika a statistiky – některé firmy považují sledování návštěvnosti a chování uživatelů na webu za oprávněný zájem. GDPR to ale výslovně neuvádí, takže je nutné zvážit, zda takové zpracování obstojí při případné kontrole.

            ⚠️ Důležité: Každý provozovatel webu by si měl individuálně posoudit, zda jeho využití oprávněného zájmu není za hranou zákona, a zda by jej v případě kontroly dokázal obhájit.

              Kdy se jedná o oprávněný zájem?

              Oprávněný zájem může být právním důvodem pro zpracování osobních údajů, pokud je zpracování nezbytné a nepřeváží nad právy a svobodami subjektu údajů. Příklady zahrnují:

              📹 Kamerové systémy

              například monitoring prostor z důvodu bezpečnosti nebo docházkové systémy v zaměstnání.

              📩 Přímý marketing

              zasílání nabídek stávajícím zákazníkům bez nutnosti souhlasu.

              💳 Bonita klientů

              vyhodnocení schopnosti zákazníka splácet závazky.

              Praktické příklady oprávněného zájmu

              🛒 Nezaplacené zboží

              Pokud zákazník nezaplatí za dodané zboží, firma může jeho údaje předat právnímu zástupci nebo inkasní společnosti. Toto je oprávněný zájem za podmínky, že je vymáhání v souladu se zákonem a nezasahuje nepřiměřeně do práv dlužníka. Doporučuje se také informovat subjekt údajů předem.

              🔞 Ověření věku

              E-shopy prodávající tabák, alkohol či erotické pomůcky mohou ověřovat věk návštěvníků webu. GDPR přísně reguluje zpracování údajů dětí do 16 let, a proto může být ověření věku oprávněným zájmem.

              🎯 Personalizace služeb

              Pokud služba přizpůsobuje obsah podle věku, pohlaví nebo lokality uživatele, může být oprávněným zájmem provozovatele zlepšení uživatelského zážitku.

              📊 Analytika

              Poskytovatelé online služeb mohou sledovat návštěvnost, zobrazování stránek nebo hodnocení obsahu pro účely optimalizace marketingu. Je však nutné zohlednit i další předpisy, jako je ePrivacy Directive, která upravuje používání cookies.

              🏨 Evidence návštěvníků

              Hotely mohou evidovat vstupy a odchody hostů pomocí vstupních karet. Účelem může být zajištění bezpečnosti, řešení sporů či optimalizace služeb. Je však nutné minimalizovat rozsah zpracování a dobu uchování údajů.

              📞 Monitorování hovorů

              Call centra mohou nahrávat hovory pro analýzu kvality služeb. Musí ale zákazníky informovat na začátku hovoru.

              🚗 Lokalizace vozidel

              Zaměstnavatel může sledovat služební vozidla pomocí GPS, pokud jsou určena k pracovnímu využití. Pokud však zaměstnanec může vůz používat i soukromě, vyžaduje to jeho souhlas.

              📦 Logistika

              Obchodní řetězce mohou analyzovat údaje o zákaznících k optimalizaci distribučních center a skladových zásob.

              🚦 Dopravní informace

              Společnosti sledující dopravu mohou v reálném čase zpracovávat data z mobilních telefonů a vozidel k poskytování navigačních služeb.

              Rozdíl mezi oprávněným zájmem a souhlasem

              Přímý marketing – Oprávněný zájem umožňuje základní personalizaci nabídek, ale pokud zahrnuje rozsáhlé profilování, je nutný souhlas.

              🏫 Školní dokumentace – Nástěnky, školní kroniky nebo ročenky mohou být zveřejněny na základě oprávněného zájmu školy. Pro publikaci fotografií dětí na sociálních sítích je však nutný souhlas rodičů.

              Shrnutí

              Ne vždy je nutné získávat souhlas ke zpracování osobních údajů. Pokud zpracování vychází ze smlouvy, zákona nebo oprávněného zájmu, souhlas není potřeba. Pro marketing a cílenou reklamu je ale souhlas nezbytný a musí být řádně evidován. Každý správce údajů musí pečlivě zvážit, zda se jeho činnost opírá o oprávněný zájem, a být připraven ji v případě kontroly obhájit. 🚀

              🛠 Doporučení: Přehledně informujte uživatele na webu o způsobu zpracování osobních údajů a jasně rozlište, kdy je nutný souhlas a kdy ne.