Nejčastější dotazy o GDPR
Obecné nařízení o ochraně osobních údajů (GDPR) je pro mnohé podnikatele pořád úplnou novinkou.
Proto jsme pro vás s Martinou Kroupovou z coou.sk sepsali kromě odpovědí na nejčastější dotazy i checklist, který vám pomůže připravit svůj e-shop nebo webovou stránku na GDPR i bez právní pomoci.
- Je nutné získávat od zákazníků souhlas se zpracováním OÚ za účelem vyřízení objednávky?
- Pokud chci své zákazníky informovat o slevách, nových produktech a akcích prostřednictvím newsletteru, potřebuji souhlas se zpracováním e-mailové adresy?
- Jak získat souhlas se zpracováním, který je v souladu s nařízením?
- Co by měl souhlas se zpracováním osobních údajů obsahovat?
- Jak zjistím, zda je můj e-shop nebo webová stránka připravena na GDPR?
1. Je nutné získávat od zákazníků souhlas se zpracováním OÚ za účelem vyřízení objednávky?
Ne, správce zpracovává osobní údaje za účelem zpracování objednávky a dodání zboží bez souhlasu zákazníka.
Proč je to tak a příklady, jak je to správně a nesprávně najdete i v našem článku.
2. Pokud chci své zákazníky informovat o slevách, nových produktech a akcích prostřednictvím newsletteru, potřebuji souhlas se zpracováním e-mailové adresy?
Ano, souhlas se zpracováním je v tomto případě nevyhnutelný. Je právním titulem pro získání a další zpracování osobních údajů z důvodu zasílání newsletteru. Zpracování již samotných e-mailových adres všeobecně považujeme za zpracování osobních údajů.
3. Jak získat souhlas se zpracováním, který je v souladu s nařízením?
Souhlas musí být udělen v souladu s nařízením, proto jím musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle dotčené osoby, tedy příjemce e-mailové zprávy, kterým potvrzuje, že souhlasí se zpracováním svých osobních údajů.
4. Co by měl souhlas se zpracováním osobních údajů obsahovat?
- identifikační údaje vás jako správce,
- účel nebo důvod zpracování osobních údajů, pro který vyžadujete souhlas,
- příjemce, nebo kategorie příjemců (podle čl. 4 ods. 9 nařízení), kterým budete osobní údaje poskytovat,
- pokud budete osobní údaje vyvážet do třetího státu, poté informaci o přiměřených zárukách (například jako rozhodnutí Evropské komise nebo přistoupení organizace k tzv. bezpečnému štítu),
- informaci o tom, že souhlas je možné kdykoliv odvolat.
Tyto informace musíte subjektu poskytnout srozumitelným a dostupným způsobem, např. ve formě podmínek zpracování osobních údajů na webu.
5. Jak zjistím, zda je můj e-shop nebo webová stránka připravena na GDPR?
Doporučujeme zkontrolovat, zda:
- Souhlas se zpracováním není součástí obchodních podmínek, které zveřejňujete prostřednictvím webových stránek.
- Souhlas se zpracováním není součástí smlouvy se subjektem údajů tak, že subjekt údajů nemá možnost souhlas neudělit, resp. nemá prostor pro vyjádření nesouhlasu.
- Je souhlas udělený subjektem údajů skutečně svobodný, že subjekt údajů se opravdu sám a dobrovolně rozhoduje o tom, zda jeho osobní údaje budou zpracovány.
- Nepoužíváte předem zaškrtnutá políčka o uděleném souhlasu.
- Získáváte souhlas se zpracováním pro jistý účel odděleně od jiných účelů (například samostatně pro newsletter, samostatně pro věrnostní program, samostatně pro spotřebitelskou soutěž).
- V čase získávání osobních údajů na základě souhlasu dostatečně informujete subjekty údajů o tom, jak budou jejich údaje zpracovány.
- Umíte udělený souhlas prokázat.
- Má subjekt údajů opravdu možnost kdykoliv udělený souhlas jednoduše odvolat.
Více informací a konkrétních příkladů implementace nařízení GDPR najdete v článku Připravte svůj e-shop na GDPR.