Úvod
Kontakt
Služby
Galerie

GDPR

GDPR požadavky – checklist A) Viditelné na webu 1) Sepište si přehled, jak zpracováváte osobní údaje (pro web i interně) Zkopírujte si vzor tabulky s přehledem zpracování osobních údajů a upravte dle vlastní situace. Klikněte do záhlaví sloupců pro zobrazení komentáře, co se tím daným sloupcem myslí. Cílem tabulky je udělat si kompletní přehled o tom, s jakými osobními údaji nakládáte, ať už jako správce nebo zpracovatel. Na webu totiž musíte mít popis osobních údajů, jejichž jste správcem a získáváte je přes web. Musíte uvést zákonnost zpracování, účel, kategorie a zpracovatele osobních údajů. Tyto informace (v tabulce červeně vyznačené) si dejte do podmínek ochrany osobních údajů (viz dále). 2) Vytvořte podmínky ochrany osobních údajů Je potřeba připravit zvláštní stránku, kde budete uživatele informovat o ochraně jejich osobních údajů. Dle GDPR to má být psané srozumitelným jazykem, takže žádná složitá právničina a nesmí to být součástí obchodních podmínek, ale jako samostatná stránka. Pro inspiraci mrkněte na naše podmínky nebo na vzor podmínek od Shoptetu. 3) Upravte formuláře na webu Zmapujte si všechny formuláře, kam uživatelé vkládají osobní údaje. Rozlišujeme 2 typy formulářů: Objednávkové a kontaktní formuláře → souhlas není potřeba Osobní údaje z formulářů totiž využíváte pouze k plnění smlouvy (objednávky, poptávky) a nesbíráte víc údajů, než musíte (snad). Dokonce pro tento účel nesmíte souhlas získávat, protože byste tím uživatele mylně navnadili na nějaká práva, která se pojí se souhlasem, např. na výmaz údajů. Je nutné pouze zákazníky informovat o tom, že údaje zpracováváte a dát odkaz na podmínky ochrany osobních údajů (nemusí být přímý, stačí se odkazovat z obchodních podmínek). GDPR eshop objednavka GDPR kontaktní formulář Registrace do newsletterů a ostatní formuláře → souhlas je potřeba Na druhou stranu pokud byste chtěli informace z kontaktního formuláře využít proto, abyste později potenciálnímu zákazníkovi zaslali nějaký newsletter, tak souhlas mít musíte. Obdobně pokud byste údaje z objednávky chtěli využívat i pro jiné účely než plnění smlouvy (např. nějakou pokročilou analytiku, telefonický průzkum trhu, …), musíte souhlas získat. Ujistěte se, že budete schopni zpětně zjistit, kdy byl souhlas udělen. Souhlas musí být: svobodný → nikdy nesmíte souhlasem podmiňovat dokončení objednávky, konkrétní, jednoznačný projev vůle → defaultně nesmíte checkbox se souhlasem zaškrtávat, informovaný → musíte dát odkaz na podmínky. GDPR registrace podmínky Souhlas nemusí mít nutně formu checkboxu. Pokud je to z kontextu jednoznačné, tak souhlas může být dán už jen vyplněním formuláře. Např. při registraci do newsletteru je zřejmé, že dáváte souhlas k využítí e-mailu za účelem zasílání newsletteru. Newsletter souhlas 4) Rozesíláte-li newslettery, zajistěte si souhlas od nezákazníků Newsletter odeslaný současnému zákazníkovi se považuje za oprávněný zájem, takže nemusíte souhlas mít. Zákazník ale musí mít možnost se od newsletteru odhlásit a to ještě před odesláním 1. mailu (viz vyjádření ÚOOÚ). Dle tohoto opt-out principu byste v objednávce měli mít již zaškrtnutý checkbox „souhlasím se zpracováním osobních údajů pro účely přímého marketingu“ – nebo nějakou více sexy větu. Samozřejmě je potřeba do formuláře přidat odkaz na podmínky zpracování osobních údajů. Údajně je ale možné zaslat newsletter i pokud se k nákupu schyluje – zboží je v košíku. Takže oblíbené transakční maily by měly zůstat („Máte v košíku zboží, nechcete dokončit objednávku?“). Oproti tomu od lidí, kteří jsou teprve potenciálními zákazníky, souhlas potřebujete vč. data jeho udělení. Pokud jste dříve získali souhlas, který byl svobodný, konkrétní, ale nebyl zcela informovaný (např. formulář na webu restaurace Chci dostávat na e-mail denní menu, ve kterém chyběl odkaz na plné znění podmínek zpracování osobních údajů, nicméně restaurace na e-maily odesílá pouze slíbené denní menu) → myslím si, že stačí do formuláře přidat odkaz na podmínky (viz výše) a ten samý odkaz dát i do každého e-mailu (případně poslat 1 extra e-mail s informací o nových podmínkách) a máte hotovo. Pokud jste souhlas neměli vůbec nebo byl souhlas podmíněný či nejasný → proveďte reaktivační kampaň. Oznamte lidem, že současný newsletter končí a jestli chtějí e-maily získávat dál, ať kliknou na odkaz a přihlásí se do nového newsletteru, kde budou muset zaškrtnout souhlas se zpracováním údajů. 5) Nesměňujte obsah za souhlas Dáváte e-book zdarma ke stažení výměnou za e-mail, na který bude uživatel dostávat newslettery? To už byste dělat neměli, nesmíte totiž vyžadováním obsahu blokovat přístup k informacím. Nicméně dá se to hezky obejít tak, že obsah nabídnete buď zdarma se souhlasem jako dosud nebo za peníze. Uživatel tedy nemusí souhlas dávat a ještě navíc ukážete, že váš obsah má nějakou hodnotu. Uživatel tak může nabýt dojmu, že opravdu něco ušetřil 🙂 GDPR - souhlas za e-mail 6) Nezískávejte citlivé osobní údaje Za citlivé osobní údaje se považují údaje o rase, etniku, náboženském vyznání, členství v odborech, zdravotním stavu, sexuální orientaci, trestních deliktech atd. Tyto údaje podléhají mnohem přísnějšímu zpracování. Pokud je nutně potřebujete získávat, přečtěte si o tom něco více. 7) Zkontrolujte nastavení analytických nástrojů Ve výchozím nastavení bývají analytické nástroje vč. Google Analytics nastaveny tak, že nesbírají IP adresy ani jiné osobní údaje. Pokud byste ale v Hotjaru, Smartlooku nebo jiných sledovali vyplňování formulářů, kam uživatelé zadávají např. e-mail, nebo zrušili anonymizaci IP adresy, tak byste souhlas potřebovali. 8) Získejte souhlas pro retargeting v AdWords a Facebooku Odvoláváme, co jsme v roce 2018 odvolali. Těsně před spuštěním GDPR všechny marketéry potěšil ÚOOÚ, který tvrdil (právně nezávazné stanovisko) že na webu nemusíte mít cookie lištu. Za udělení souhlasu se považovalo nastavení prohlížeče, které dnes povětšinou umožňují zakázat cookies třetích stran. Stačilo prý zákazníky informovat o tom, k čemu cookies používáte a komu je předáváte. Tedy žádná práce navíc, pokud jste cookies pro retargeting již uvedli v bodu 1 a 2. Pokud na svém webu používáte cookies pro cílenou reklamu, měl by být pro tento účel udělen souhlas. Souhlas ale lze odvodit z nastavení prohlížeče, a proto (za podmínky, že na svém webu, například v nějaké podzáložce o zpracování osobních údajů, splníte informační povinnost o tom, pro co cookies používáte, označíte užívanou platformu, její způsob zpracování cookies a budete mít s platformou uzavřenou smlouvu nebo jiný „dostatečně GDPR bezpečný dokument“) můžete cílenou reklamu spouštět už po příchodu návštěvníka na váš web. — ÚOOÚ Jenže to se v roce 2021 opět změnilo. Aktualizace 26. 4. 2021 V Poslanecké sněmovně leží novela zákona o elektronických komunikacích, která říká, že všechna cookies, které nejsou nezbytné pro fungování webu, musí uživatel aktivně odsouhlasit. Tento přístup nyní zaujímá i ÚOOÚ, takže je i v souladu s evropskou praxí. Přiklání se k němu i samotný Google. Pro práci s cookies (pokud nejsou technické pro fukčnost webu), je tedy zapotřebí, aby dal uživatel dobrovolný a aktivní souhlas. Z praktického pohledu to znamená přidat na web cookie lištu. Kdy sbíráte netechnická (tedy marketingová) cookies a potřebujete lištu? V Google Analytics máte zapnuté sbírání demografických údajů ba dokonce sbíráte neanonymní údaje (např. osobní údaje z formulářů odesíláte formou událostí do GA, čemuž byste se každopádně měli vyvarovat nehledě na cookie lištu). Používáte doubleclick nebo remarketing od Googlu nebo Facebooku. (Sklik je z obliga, pro něj lišta není potřeba). V Google Ads používáte přehledy zobrazení v obsahové síti. Jak by měla lišta vypadat? Nesmí zamezovat vstupu na web. Má nastavit cookies až po aktivním kliku na Souhlasím. Nemá být „otravná“. Jakou lištu použít? Klaro – open source cookie lišta, se kterou máme dobré zkušenosti. CookieChoices – rozcestník od Googlu s odkazy na různé Cookie lišty. Facebook like tlačítko Facebookové Like tlačítko a obecně plug-iny dalších sociálních sítí pro sdílení obsahu využívají cookies s osobními údaji. Sice by podle některých zdrojů mohli být vyňaty z GDPR, na druhou stranu německý soud rozhodl opačně. Raději bych tedy klasická Facebook like tlačítka zapínal až po souhlasu nebo nepoužíval vůbec. Nejen v cookie liště lze dát souhlas Remarketingové kódy můžete také aktivovat nejen v cookie liště, ale i až po odkliknutí nepovinného souhlasu v objednávce (čtěte dále, jak namotivovat uživatele) nebo můžete navázat souhlas na získání obsahu nebo výhody zdarma. 9) Opt-in na zákaznické recenze, opt-out na Heuréku Správná recenze by měla být uvěřitelná, proto by měla obsahovat jméno a ideálně i fotografii a e-mail. Když budete recenze zveřejňovat (byť jen se jménem), je třeba opatřit si souhlas. Na druhou stranu, pokud posíláte informace o objednávce do Heuréky, aby zaslala e-mail s výzvou k napsání recenze v rámci Ověřeno zákazníky, výslovný souhlas nepotřebujete. Heuréka radí umístit k tlačítku dokončení objednávky opt-out z programu Ověřeno zákazníky.