Zpět na seznam
7. květen 2018
Blog

GDPR a e-shopy: Co potřebujete o novém zákoně vědět?

V předchozím blogovém článku jsme se podívali na to, co děláme v CloudTalku, abychom byli v souladu s GDPR. Jako společnost poskytující tisíce hovorů měsíčně se stavíme k ochraně vašich dat zodpovědně a děláme vše proto, abychom vám pomohli být rovněž v souladu s GDPR, pokud využíváte naše řešení. Pokud provozujete například e-shop je však důležité, abyste si i vy na vaší straně ošetřili několik nástrojů, které při provozování vašeho byznysu potřebujete.

Na co tedy třeba dbát, abyste vyhověli předpisům GDPR?

  1. Sběr osobních údajů
  2. Právo na přístup k údajům a jejich přenositelnost
  3. Právo na vymazání a právo byt zapomenut
  4. Souhlas ke zpracování údajů pro marketingové účely
  5. Zpracování žádostí 
  6. Oznámení o ochraně osobních údajů
  7. Služby třetích stran
  8. Zvýšené pokuty za nedodržení či porušení GDPR
  9. Souhlas rodičů
  10. Oznámení o úniku údajů
  11. Odpovědná osoba za GDPR
  12. GDPR vypadá jako strašák, ale není třeba se ho bát.

 

1. Sběr osobních údajů

Jelikož GDPR nařízení je celé o ochraně osobních údajů, striktně reguluje kdo, jak a za jakým účelem tyto údaje sbírá a pracuje s nimi. Za osobní údaje se považuje například jméno, adresa, telefonní číslo, e-mail či profil na sociálních sítích nebo i IP adresa.
GDPR ochraňuje základní lidská práva v rámci EU v souvislosti se zpracováním osobních údajů.

Je třeba myslet na to, že pokud využíváte aplikace či platformy třetích stran, musí být i ty v souladu s GDPR. Proto je určitě prověřte, předejdete tak možným nedorozuměním či nepříjemnostem. 

 

Doporučujeme vám sbírat jen ty osobní údaje, které skutečně potřebujete a můžete je i odůvodnit.

2. Právo na přístup k údajům a jejich přenositelnost

Nová regulace zajišťuje jednotlivcům právo na přístup k jejich údajům, které shromažďujete. To znamená, že si od vás mohou vyžádat kopii jejich dat a vy jste povinni jim tyto údaje poskytnout v přehledném, srozumitelném a standardně přenosném formátu tak, aby mohli tato data převést k jiné společnosti.

Nezapomeňte na to, že údaje lze uchovávat i v aplikacích či službách třetích stran, a proto je třeba si je od těchto stran vyžádat.

Pokud používáte CloudTalk, informace, které ukládáte o vašich zákaznících k nám, máte neustále k dispozici, a můžete s nimi kdykoli pracovat.

3. Právo na vymazání a právo být zapomenut

GDPR dává jednotlivcům právo požádat o vymazání údajů z vaší databáze nebo tzv. právo být zapomenut.

Jste připraveni na povinnost vymazat nebo omezit zpracovávání údajů vašich zákazníků v reakci na takovou žádost?

Zákazník má právo na vymazání svých údajů, když jejich zpracování již není dále potřebné pro účel, pro který byly původně shromážděny.

Další změnou kromě vymazání je tzv. právo být zapomenut. Nařizuje, aby zákazníci mohli jednoduše svůj výslovný souhlas se zpracováním údajů vzít zpět, tedy zrušit. 
Ujistěte se, že zákazníkům poskytujete jednoduše a srozumitelně na vaší webové stránce možnost vymazání či „zapomenutí“.

V CloudTalku vám dokážeme pomoci se smazáním dat, které jménem vaší firmy zaznamenáváme. Vaše kontakty si můžete bez problémů smazat, přičemž nahrávky hovorů se automaticky stanou anonymními, ale samozřejmě si je v případě potřeby můžete také definitivně smazat. Myslete však na to, že pokud si je uchováte jako anonymní, například jako ukázky pro interní školení, některé z nich mohou obsahovat osobní údaje, na které nemáte souhlas.

Stejnou možnost vám však musí zprostředkovat i jiné třetí strany, jejichž služby využíváte, abyste vy mohli žádosti vašeho zákazníka transparentně vyhovět.

Zákazník nemůže samozřejmě žádat o smazání úplně všech dat, do kterých spadají například i objednávky, nebo třeba nahrávky hovorů, které přímo tvoří součást objednávky. V takovém případě jde o obchodní transakce, které podléhají svým vlastním nařízením.
Zaměřte se však určitě na zákazníky, kteří sice u vás mají vytvořené účty, ale nemají žádnou historii transakcí.

4. Souhlas se zpracováním údajů pro marketingové účely

Nově jste povinni vašim zákazníkům zřetelně zprostředkovat možnost rozhodnout se, zda vám poskytnou své údaje na marketingové aktivity, nebo ne. 
To například znamená, že zaškrtávací políčka na udělení souhlasu nemohou být předem vyplněna a také to znamená, že zákazník může jednoduše svůj souhlas zrušit.
Důležité je i políčko na souhlas s použitím údajů třetími stranami, při kterém nyní musíte uvést názvy stran, které mohou mít k těmto údajům přístup a pro jaké účely je mohou použít.
Zákazník musí být tedy řádně informován o konkrétních situacích zpracování, použití jeho údajů a musí dobrovolně projevit svůj výslovný souhlas. 
Tato povinnost samozřejmě ovlivní nejvíce marketingové oddělení a zvolenou strategii zejména, co se týká individualizované reklamy.

Můžete si položit tyto otázky

  • Potřebujete od zákazníka kladný souhlas pro potřeby zpracování jeho osobních údajů vámi nebo třetími stranami?
  • Poskytujete svým zákazníkům dostatek informací o tom, jak využíváte jejich údaje, tak aby vám mohli dát svůj souhlas?
  • Musí zákazník vyjádřit svůj souhlas nebo je tato možnost již předem zaškrtnutá?
  • Zaznamenáváte a ukládáte někde souhlasy zákazníků?

5. Zpracování žádostí

Jelikož GDPR rozšiřuje právo jednotlivce na přístup a kontrolu svých osobních údajů, budete pravděpodobně nuceni aktualizovat informace, jak zpracováváte údaje o zákaznících.
Pokud poskytujete zákazníkům zákaznický servis, doporučujeme se podívat na možné vylepšení, která by vám zajistilo být v souladu s GDPR i v rámci tohoto oddělení. V CloudTalku vám s tím rádi pomůžeme a poradíme. Ukažte zákazníkům, že regulaci, která chrání jejich základní lidská práva, berete seriózně a že je respektujete. Zákazníci tento přístup ocení a mnohem raději u vás nakoupí.

Pokud chcete GDPR využít ve svůj prospěch, vsaďte na řádné zapracování požadavků, které GDPR určuje. Zákazníci transparentnost vždy velmi ocení a určitě si budou vybírat společnosti, které tyto nové standardy dodržují.

6. Oznámení o ochraně osobních údajů

GDPR nařízení obsahuje konkrétní informace, které musíte zákazníkům poskytnout. Obecně jde o upozornění a podmínky, které se týkají ochrany jejich osobních údajů. Zahrnují vaše „Podmínky na ochranu osobních údajů“ všechny informace, které jste povinni podle GDPR poskytnout?

7. Služby třetích stran

Každý, kdo využívá jakékoli služby třetích stran, je podle GDPR povinen si od zákazníků získat výslovný souhlas k zaznamenání či zpracování jejich osobních údajů. Do služeb třetích stran spadá například  Facebook, Google Adwords aplikace, služby na rozesílání newsletterů  (Mailchimp, Sendgrid, atď.), různé e-commerce platformy (např.  Shopify, Magento, Shoptet) či platební brány a v neposlední řadě i nástroje umožňující provozovat kvalitní zákaznický servis - do této kategorie tedy z vašeho pohledu patří i CloudTalk.
Co všechno v CloudTalku s radostí děláme, abychom byli pro vás GDPR complaint, se můžete dočíst v předchozím článku  “CloudTalk a GDPR, jak se připravit?”
Je samozřejmě na vás, jaké služby či aplikace ve vašem byznysu využíváte. Ujistěte se však, že tyto služby jsou v souladu s GDPR tak, aby to zahrnovalo všechny vaše potřeby.

Nebojte se používat služby třetích stran - seriózní firmy s GDPR počítají a jsou na něj připravené.

Pokud využíváte CloudTalk a máte dodatečné informace, neváhejte se na nás obrátit, napište nám a náš specialista se vám ozve.

8. Zvýšené pokuty za nedodržení či porušení GDPR

Pokuty za nedodržení nařízení se mohou vyšplhat až do výše 20 milionů EUR nebo 4 % ročních příjmů. Nemůžeme si tedy dovolit udělat chybu a data musí být uložena bezpečně. Společnosti nesou odpovědnost za to, jak a kde se rozhodnou data ukládat. Z pohledu provozovatele e-shopů, kteří využívají v největší míře softwary třetích stran, se GDPR dotkne pravděpodobně nejvíce Je nezbytné, aby byla například data šifrována a měla přesně definovaná pravidla, kdo, jak a za jakým účelem k nim má přístup.

Jednodušší to mají e-shopy, které využívají  cloudové služby. Takové služby totiž fungují ve velkém a veškeré úpravy či nové změny řeší globálně pro všechny stejně, automaticky a ve stejném čase. Stejně jako v CloudTalku jsme si vědomi nutnosti plně dodržovat nové nařízení, podobných cloudových řešení můžete najít mnoho (například Shopify, Intercom či Mailchimp).

Naopak firmy, které běží na vlastních serverech nebo mají vytvořený software na míru, si budou muset najít lidi, kteří jim udělají analýzu a audit, řešení otestují a následně navrhnou, případně rovnou implementují potřebné změny. Je jasné, že taková řešení se pohybují ve vysokých cenových hladinách.

9. Souhlas rodičů

GDPR zahrnuje také specifické požadavky ohledně souhlasu rodičů za účelem zpracování osobních údajů uživatelů mladších 16 let (v některých zemích může být věk nižší).
Zamyslete se, zda musíte podniknout kroky, abyste vyloučili ze zpracování údajů tyto uživatele nebo zda tato data potřebujete a musíte změnit způsob, jakým souhlas získáváte.

10. Oznámení o úniku údajů

Pokud zjistíte, že došlo k úniku osobních údajů, musíte neprodleně informovat dotyčné uživatele a regulační orgány.
Oznámení je třeba ohlásit do 72 hodin od doby, než zjistíte, že údaje unikly.
Měli byste být na takovou situaci předem připraveni, a proto je dobré sestavit si záložní plán, jak bude vaše firma v takovém případě reagovat a postupovat.

11. Odpovědná osoba za GDPR

Specialista pro ochranu osobních údajů dohlíží na to, jak vaše firma sbírá a zpracovává osobní údaje. Jeho náplň práce zahrnuje úlohy jako například vyhodnocování vlivu GDPR na váš byznys nebo například jak, co a kdy je třeba změnit, abyste byli v souladu s GDPR. Zvažte dobře, zda vzhledem k vaší velikosti a zaměření, potřebujete odpovědnou osobu.

12. GDPR vypadá jako strašák, ale není třeba se ho bát

V zájmu EU není zrušit nebo omezit e-shopy. Úřady pro regulaci chápou, že ukládání některých dat je nezbytné pro obchodní transakce.

Takto předejdete velkým pokutám a problémům:

  • Podstupte důkladnou analýzu.
  • Implementujte osvědčené postupy.
  • Shromažďujte pouze ta data, která skutečně potřebujete.
  • A HLAVNE: Buďte transparentní a přistupte k GDPR zodpovědně.

Pokud si prověříte služby třetích stran, které využíváte, provedete pár potřebných změn na vašem e-shopu a budete čestní, můžete navíc GDPR využít i ve svůj prospěch.
Zákazníci budou na GDPR nařízení čím dál více přihlížet a jejich loajalita ke značce se bude vyvíjet i v závislosti na jeho dodržování. Proto nezanevřete na evropský trh, právě naopak, prodávejte vaše produkty, ale dělejte to průhledně. Zákazníci to ocení a budou vaší značce věrní.

Využijte GDPR ve svůj prospěch, vezměte to jako výzvu a způsob vytvoření pozitivního povědomí o vaší značce.

Sledujte náš blog i nadále. Budeme se postupně věnovat dalším oblastem podnikání, jaký dopad má na ně nový zákon a jak být v souladu s GDPR.

Seznam článků ze seriálu "Jak na GDPR":

  1. GDPR: Co potřebujete vědět o novém zákoně na ochranu osobních údajů?
  2. CloudTalk a GDPR, jak se připravit?
  3. GDPR a e-shopy (právě čtete)
  4. GDPR: Jsem provozovatel nebo zpracovatel údajů? (brzy publikujeme)

Odběr novinek