Jak se připravit na GDPR z pohledu e-shopu? |
Čtvrtek, 26 Duben 2018 11:10 | |
„Nové nařízení zaměstnává podnikatele po celé Evropě. Přináší některé novinky či zdůrazňuje význam ochrany osobních údajů díky výrazně vyšším limitům pro případné pokuty při porušení stanovených pravidel. Pro řadu provozovatelů e-shopů, a to především těch středních a malých, je GDPR stále tajemným strašákem. Proto se v rámci APEK již řadu měsíců věnujeme intenzivně poskytování informací nejen našim členům tak, aby byli podnikatelé na 25. květen 2018 co nejlépe připravení," uvádí výkonný ředitel APEK Jan Vetyška. Co je to GDPR?GDPR je nařízení, tedy legislativní norma Evropské Unie, která má přímý dopad na všechny členské státy včetně České republiky. Upravuje ochranu osobních údajů, ukládá podnikatelům s ní související povinnosti a stanovuje také sankce za případná porušení těchto pravidel. Orgánem, který dodržování tohoto nového nařízení bude u nás dozorovat, je Úřad pro ochranu osobních údajů (ÚOOÚ). Účinnost GDPR nastane 25. května 2018. Jak se musí obchodník na GDPR připravit?Nové nařízení přináší mimo jiné značnou povinnost seberegulace. Ta začíná již od úvodní analýzy, kterou by si měl provozovatel (nejen) e-shopu v tuto chvíli udělat. Na prvním místě je třeba si ověřit, zda má obchodník v pozici správce osobních údajů (tedy toho, kdo osobní údaje získá a spravuje), vyřešené tři hlavní vztahy:
„Základem úspěchu v přípravě na nové nařízení je, aby si obchodník dokázal nadefinovat, s jakými osobními údaji a za jakým účelem nakládá. Dále kdo k nim má přístup, a to jak v rámci společnosti, tak i externě. A na závěr je třeba se zaměřit na zabezpečení a postup pro případný únik spravovaných osobních údajů," upozorňuje Jan Vetyška. Na co nezapomenout směrem k zákazníkům?Provozovatel e-shopu by měl směrem k zákazníkům v první řadě upravit informační povinnosti, jejichž splnění by mělo odpovídat požadavkům GDPR. U zpracování osobních údajů pro účely splnění kupní smlouvy stačí nakupujícího řádně informovat. Pro marketingové účely mimo komunikaci s vlastními zákazníky je nutné získat aktivní souhlas spotřebitele. Dále by obchodník neměl zapomínat na další práva subjektů údajů (zákazníků) – právo na výmaz osobních údajů či právo na přenositelnost osobních dat. Jak postupovat směrem k dodavatelům?Ve vztahu k dodavatelům služeb je z pohledu obchodníka nutné opět zvážit, zda a jak dochází k předání osobních údajů zákazníků. Dochází-li totiž k jejich předávání, pak by měl mít správce údajů (obchodník) se všemi zpracovateli (poskytovateli služeb), uzavřeny příslušné smlouvy. Většina velkých společností, se kterými provozovatelé e-shopů spolupracují, mají již tyto smlouvy k dispozici. Co musí obchodník udělat interně v rámci společnosti?Provozovatelé e-shopů by neměli zapomínat na povinnost zhotovit záznamy o zpracování osobních údajů. Měli by mít k dispozici „interní směrnice", ve kterých budou popsané všechny procesy včetně tzv. oprávněných zájmů související se zpracováním osobních údajů. A to jak směrem k zákazníkům, tak například i směrem k zaměstnancům. Ti by totiž také měli být informování o způsobu nakládání s jejich osobními údaji (povinnosti směrem ke státní správě či předání zpracovateli = mzdové účtárně). Zapomínat by se nemělo ani na opatření pro případ, kdy dojde k úniku osobních údajů.
Mohlo by vás zajímat:
|