Spread the love

 

Od 25 mája začne platiť nová európska smernica o ochrane osobných údajov GDPR. Za porušenie tohto nariadenia môže firmám a majiteľom internetových stránok hroziť pokuta až do výšky 20 milionov euro.

GDPR prináša zásadnú zmenu paradigmy ochrany súkromia.

Spotrebiteľom by malo poskytnúť práva na informácie o tom, ako spoločnosti a internetové stránky používajú ich osobné údaje Tiež aj možnosť meniť ich, prenášať či právo na kompletný výmaz údajov.

 

Aké zmeny prinesie GDPR prinesie pre vašu webovú analytiku, reklamy či ďalšie nastavenia webu?

 

Čo pokrýva GDPR?

Ktorekoľvek osobné údaje spadajú pod GDPR. Spadajú tam  napr. meno, priezvisko, email, jedinečný, aj pseudonymizovaný online identifikátor (niektoré cookies), lokalizačné, demografické, kultúrne a iné údaje, potenciálne aj IP adresa. Tiež tam spadá komplexné spracovanie osobných údajov aj akýkoľvek profiling (pokročilá segmentácia) uživatelov.

 

Čo nespadá pod GDPR?

Keď údaje vyžaduje zhromažďovať iný zákon (napr. v prípade objednávky, fakturácie a pod.), nevyžaduje sa informácia či súhlas v rámci GDPR na ďalšie spracovanie.

 

 

Spracováva pre vás osobné údaje tretia strana?

Keď osobné údaje návštevníkov poskytujete tretej strane na ďalšie spracovanie (napr. rôzne online služby a nástroje ako Mailchimp alebo CRM a pod.), budete potrebovať podpísať tzv. sprostredkovateľskú (spracovateľskú) zmluvu alebo dodatok.

GDPR povinnosti na webe

GDPR presne určuje, že ktorekoľvek informácie či súhlasi musia byť v súlade s týmito požiadavkami:

  • Súhlas na každý konkrétny účel musí byť samostatný (jeden súhlas nesmie byť viazaný inými súhlasmi, napr. spojením položiek)
  • Musí existovať aktívny súhlas (súhlas nesmie byť implicitný, ale explicitný – istota potvrdenia, tzv. opt-in – nestačí napríklad uviesť, že používaním webu vyjadruješ s podmienkami súhlas)
  • Granularita (podrobnosť informácií a súhlasov – detailné členenie položiek, teda nestačí získať súhlas na všeobecné marketingové účely)
  • Pomenovanie spracovateľov a dát (kto, čo a za akým účelom spracováva, uvedenie doby uchovávania dát)
  • Súhlas musí byť ľahko odvolateľný (rovnako ako pri udelení, nesmie sa napr. vyžadovať vyplnenie formulára pred odhlásením)

Povinnosť informovať a povinnosť získať informovaný súhlas

Rozoznávame dva základné typy povinností smerom k návštevníkom webu:

  • Povinnosť informovať
  • Povinnosť získať informovaný súhlas

Aké zmeny na kvôli GDPR na svojom webe potrebujete urobiť?

Webová analytika

Predpokladame, že na na vašej internetovej stránke  používate nástroj Google Analytics. Ak využívate iný analytický nástroj, budú sa naňho vzťahovať podobné povinnosti.

Google Analytics ma svojich interných pravidlách  definované, že zakazuje uchovávať osobné údaje ako sú napr. emailové adresy či iné PII (personally identifiable information – osobne identifikovateľné údaje).

 

Google Analytics spracováva IP adresy  a nastavuje cookies s náhodne prideleným, anonymným identifikátorom.

Povinnosť informovať

Ak využívate Google Analytics, máte povinnosť informovať návštevníkov webu. Ak máte zapnutý remarketing či demografiu, mali by ste konkrétne informovať o zbieraných údajoch a ich využití.

 

Povinnosť informovať sa tiež vzťahuje na:

  • využívanie nástrojov na nahrávanie aktivity používateľov na webe bez ukladania osobných údajov (Hotjar, Mouseflow, Clicktale, Crazy Egg a pod.)
  • prepojenie Google Analytics s inými nástrojmi ako napr. Search Console
  • remarketingové kódy (Adwords, Doubleclick, Sklik, InRes a pod.)
  • základnú demografickú segmentáciu

Budete tiež potrebovať urobiť niekoľko zmien v Google Analytics (alebo cez Google Tag Manager):

 

  • Skontrolujte, či náhodov nevedome neuchovávate osobné údaje ako emailové adresy
  • anonymizovať IP adresy (napr. namiesto 46.229.231.142 adresu identifikovať iba ako 46.229.231.0)

 

Povinnosť získať súhlas

Explicitný súhlas potrebujete získať pre spracovávanie údajov ako:

  • vlastné psedonymné identifikátory pre použitie ako client ID (user ID) či vlastné dimenzie – napr. pri napojení na CRM či iný, interný systém
  • pokročilú segmentáciu, kde je možné cieliť či identifikovať konkrétnu osobu

 

manúl k gdpr

 

Čo musíte urobiť do 25. mája?

Do začiatku platnosti GDPR potrebujete vykonať niekoľko krokov:

  1. zbaviť sa už existujúcich dát a osobných údajov, ku ktorým neviete doložiť explicitný súhlas – hlavne sa to týka newslettr ak nemali double opt-in (t.j. overenie napr. kliknutím na odkaz v emaily po prihlásení k odberu noviniek)

Pri zbere e-mailových adries je odporúčaná metóda dvojitého potvrdenia, tzv. Double opt-in.

  1. overiť či nemáte Google Analytics prepojený s inými nástrojmi
  2. sprevádzkovať anonymizáciu IP adries v analytike
  3. musíte získať súhlasy tam, kde dáta chcete spracovávať ďalej
  4. treba podpísať zmluvy alebo dodatky s tretími stranami, ktoré pre vás údaje spracovávajú a prípadne doplniť kontakty
  5. hlavne doplniť na web lištu s informáciami o spracovávaných údajoch (povinnosť informovať) – lišta musí obsahovať dve možnosti 1. rozumiem 2 . Ďalšie informácie
  6. treba aj doplniť na web získanie súhlasov pre spracovávanie osobných údajov, ak využívate pseudonymné identifikátory (povinnosť získať informovaný súhlas)

Keď máte e-shop už nestačí dať, že súhlasím zo spracovaním osobných údajov už len do obchodných podmienok ale musí to byť osobitná kolónka na zaškrtnutie a odkazovať na informatívnu stránku o spracovaní osobných údajov.

  1. dať na vašu internetovú stránku novú stránku venovanú GDPR s komplexnými informáciami – vrátane kontaktu pre spotrebiteľov – odporúčame použiť email v tvare: gdpr@domena.sk
  2. Treba na vašu internetovú stránku dať možnosť kedykoľvek poskytnuté súhlasy odvolať

Pri žiadosti zákazníka o jeho vymazanie z databázy (jedna z požiadaviek GDPR) je potrebný Double opt-out (potvrdenie odhlásenia v dodatočnom e-maile).

  1. Keď ste firma spracovávajúca citlivé osobné údaje vo veľkom rozsahu alebo verejná inštitúcia alebo firma s viac ako 250 zamestnancami, tak musíte si vytvoriť si bezpečnostný projekt a tiež ustanoviť funkciu tzv. Data Protection Officer a ten bude zodpovedať za dodržiavanie a nezávislú kontrolu dodržiavania GDPR.

 

Čo musia e-shopy zmeniť ohľadne GDPR?

 

Podrobné informácie čo sa týka e-shopov ohľadom GDPR:


Modul newsletter
 – od užívateľa, ktorý zadáva e-mailovú adresu do newslettera, je potrebné získať súhlas so spracovaním osobných údajov.

  Registrácia zákazníka – od užívateľa, ktorý sa registruje na e-shope, je potrebné získať súhlas so spracovaním osobných údajov.

  Objednávka – pri odosielaní objednávky je potrebné, aby zákazník potvrdil súhlas alebo potvrdil oboznámenie sa so spracovaním osobných údajov (podľa toho, či je objednávka s registráciou alebo bez registrácie).

  Informatívna stránka o spracovaní osobných údajov – do systému je potrebné doplniť špeciálnu podstránku, ktorá bude obsahovať kompletné znenie podmienok spracovania a ochrany osobných údajov.

  Formuláre ďalších funkcií („Recenzie produktov“, „Strážny pes“, „Našli ste lepšiu cenu?“, „Otázka na produkt“, „Kontaktný formulár“) – v rámci týchto funkcií dochádza k zbieraniu osobných údajov, preto je potrebné získať súhlas so spracovaním osobných údajov.

  Výpis z dát zákazníka a zrušenie registrácie (výmaz dát) – potvrdenie odhlásenia bude v dodatočnom e-maile s Double opt-out.

  Verziovanie Zásad so spracovaním osobných údajov – každá zmena textu zásad je v systéme zaznamenaná, aby bolo možné určiť presné verzie, s ktorými návštevník v daných časoch súhlasil.

  Možnosť zrušenia Heureka služby „Overené zákazníkmi“ – podľa právnych záverov Heureky a zástupcov APEK v ČR.

 

Knihu ohľadom európskej vyhlášky o ochrane osobných údajov GDPR nájdete tu

 

 

Máte firmu a chcete si nájsť nových klientov pomocou  vyhľadávačov a sociálnych sieti bez nutnosti veľkých finančných investícií? Viac info nájdete tu

 

 

  • (článok ma iba informatívny charakter, administrator a ani autor článku nezodpovedajú za presnosť informácií )

Pridaj komentár