Pokud vytváříte nové webové stránky, pravděpodobně jste již přemýšleli o jejich designu a obsahu. Zvážili jste také nastavení vašich stránek v souladu s právními povinnostmi? V tomto článku se podíváme na povinnosti vztahující se ke zpracování osobních údajů. Všichni jsme už slyšeli o směrnici GDPR. Budete rozesílat newslettery? I na tuto problematiku se podíváme optikou zpracování osobních údajů.

Co je to zpracování osobních údajů a směrnice GDPR

GDPR (General Data Protection Regulation) je soubor pravidel a předpisů upravujících ochranu osobních údajů v Evropské unii. Vztahuje se na všechny webové stránky, které shromažďují nebo uchovávají osobní údaje osob nacházejících se v EU, bez ohledu na to, kde je webová stránka umístěna.

GDPR vyžaduje, aby:

  • webové stránky měly uživatelsky přívětivé zásady ochrany osobních údajů,
  • zabezpečily veškeré shromážděné údaje,
  • informovaly uživatele o jejich právech týkajících se jejich údajů.

Nařízení o ochraně osobních údajů (GDPR) je nový zákon EU o ochraně osobních údajů, který vstoupil v platnost 25. května 2018. GDPR nahrazuje směrnici EU o ochraně osobních údajů z roku 1995. Posiluje pravidla EU pro ochranu údajů tím, že dává jednotlivcům větší kontrolu nad jejich osobními údaji a zavádí nová práva pro jednotlivce.

Zpracování osobních údajů

Zpracování osobních údajů –  čtyři hlavní zásady

  1. Zákonnost, spravedlnost a transparentnost: Osobní údaje musí být zpracovávány zákonným, spravedlivým a transparentním způsobem.
  2. Omezení účelu: Osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
  3. Minimalizace údajů: Osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné vzhledem k účelům, pro které jsou zpracovávány.
  4. Přesnost: Osobní údaje musí být přesné a v případě potřeby aktualizované. Nepřesné nebo neúplné údaje by měly být vymazány nebo zničeny.

Nová práva fyzických osob při zpracování osobních údajů

  • Právo na informace
  • Právo na přístup
  • Právo na opravu
  • Právo na výmaz
  • Právo na omezení zpracování
  • Právo na přenositelnost údajů

Společnosti musí rovněž zavést vhodná bezpečnostní opatření, aby chránily osobní údaje před neoprávněným přístupem, změnou nebo zničením.

Na co si dát pozor při zpracování osobních údajů?

Organizace, které zpracovávají osobní údaje, musí jmenovat pověřence pro ochranu osobních údajů (DPO). DPO je odpovědný za zajištění toho, aby organizace dodržovala GDPR.

Podle GDPR musí organizace přijmout opatření na ochranu osobních údajů před náhodným nebo neoprávněným přístupem, zničením, změnou nebo neoprávněným použitím. Musí také zajistit, aby osobní údaje byly přesné a aktuální, a podniknout kroky k zajištění toho, aby fyzické osoby měly právo na informace o tom, jak jsou jejich osobní údaje používány.

Organizace, které zpracovávají osobní údaje, musí jednotlivcům poskytnout právo na přístup k jejich osobním údajům a právo na jejich výmaz za určitých okolností. Musí také poskytnout fyzickým osobám právo vznést námitku proti zpracování jejich osobních údajů pro marketingové účely. V neposlední řadě musí kontaktovat fyzické osoby, které byly dotčeny porušením ochrany osobních údajů, a to do 72 hodin od okamžiku, kdy se o porušení dozvěděly.

Podívejte se na rekvalifikační kurzy

Zpracování osobních údajů

Jaké jsou příklady osobních údajů?

Existuje mnoho příkladů osobních údajů, ale mezi nejběžnější patří:

  • jméno,
  • e-mailová adresa,
  • fyzická adresa,
  • datum narození,
  • telefonní číslo.

Tyto údaje mohou být shromažďovány od uživatelů při registraci na webové stránky nebo online služby, při vyplňování formuláře nebo při nákupu. Je důležité si uvědomit, že i když jsou tyto informace veřejně dostupné, stále jsou považovány za osobní údaje a musí být chráněny podle nařízení GDPR.

Jaké jsou právní povinnosti týkající se zpracování osobních údajů?

Podle směrnice GDPR musí všechny webové stránky dodržovat určitá nařízení týkající se ukládání a zpracování osobních údajů. Tato nařízení zahrnují zajištění toho, aby:

  • osobní údaje byly shromažďovány pouze pro konkrétní, legitimní účely,
  • byly bezpečně uloženy,
  • fyzické osoby měly právo na přístup ke svým osobním údajům a na výkon svých práv na ochranu soukromí.

Nedodržení nařízení GDPR může vést k vysokým pokutám, proto je důležité zajistit, aby vaše webové stránky byly v souladu s tímto nařízením již od samého počátku.

Před spuštěním webových stránek se ujistěte, že jste se seznámili se všemi příslušnými právními povinnostmi, abyste se vyhnuli případným problémům. Nejste-li si jisti, zda jste skutečně splnili všechny zákonné požadavky, obraťte se na advokátní kancelář. Investice do legislativního auditu vašeho podnikání může být do budoucna jednou ze stěžejních.

TOP rekvalifikační kurzy v roce 2024

6 tipů pro správné zpracování osobních údajů

  1. Vyberte si spolehlivou hostingovou společnost, bezpečné cloudové úložiště a vyžádejte si smlouvy o Zpracování osobních údajů. Tyto smlouvy si založte do šanonu pro případnou kontrolu. O tom, že data vašich klientů jsou spravovány třetími stranami, je informujte.
  2. Používejte silná hesla pro všechny účty spojené s webovými stránkami, včetně účtu správce, databázového účtu a účtu FTP. Vyvarujte se používání snadno uhodnutelných nebo běžných hesel. Zpracujte si vnitřní směrnici, jak budete postupovat při odchodu zaměstnanců, kdo bude zodpovědný za změnu přístupových hesel ke klientským datům, případně si vše ošetřete smlouvou o mlčenlivosti.
  3. Nainstalujte na své webové stránky certifikát SSL, který bude šifrovat veškerý provoz mezi návštěvníky a vaším serverem. To pomůže ochránit citlivé informace, jako jsou čísla kreditních karet a osobní údaje, před zachycením třetími stranami.
  4. Zveřejněte na svých webových stránkách zásady ochrany osobních údajů, které jsou v souladu s požadavky GDPR. Měly obsahovat informace o tom, jaké údaje jsou shromažďovány, jak jsou používány a kdo k nim má přístup. Návštěvníci by měli být schopni snadno vyhledat a pochopit vaše zásady ochrany osobních údajů před tím, než na vašich webových stránkách poskytnou jakékoli osobní údaje.
  5. Udržujte své webové stránky v aktuálním stavu s nejnovějšími bezpečnostními záplatami a aktualizacemi. Tím zajistíte, že váš web bude chráněn před potenciálními bezpečnostními zranitelnostmi.
  6. Pokud od návštěvníků shromažďujete jakékoli osobní údaje, ujistěte se, že máte zavedeny jasné postupy a zásady pro správu těchto údajů, jakož i metody pro povolení/odmítnutí přístupu k nim, zajištění jejich přesnosti a jejich vymazání, pokud již nejsou potřeba.

Dodržováním těchto kroků zajistíte, že vaše webové stránky budou v souladu s nařízením GDPR a dalšími zákonnými povinnostmi, a zároveň ochráníte bezpečnost údajů návštěvníků vašich webových stránek.

Zpracování osobních údajů a oprávněný zájem

Pokud zpracováváte osobní údaje (např. e-mail z faktury, adresa pro odeslání zboží) za účelem vyřízení koupě zboží/služby, není potřeba souhlas. Tento údaj zpracováváte na základě právního titulu plnění smlouvy nebo oprávněného zájmu. Je potřeba pouze informovat o zpracování osobních údajů. Stačí uvést do VOP (Všeobecné obchodní podmínky).

Také pro účely vyřízení dotazu z kontaktního formuláře není potřeba souhlas. Stačí informace o zpracování osobních údajů.

Pozor! Pokud byste e-mail získaný přes kontaktní formulář chtěli používat pro zasílání newsletteru, pak už je nutný souhlas (zaškrtávací políčko, proklik na podstránku, kde bude plné znění souhlasu, s nastavením double opt-inu).

Double opt-in

Poté, co se klient proklikne prvním opt-inem (tedy klikne na tlačítko, že chce odebírat newsletter) mu odešlete email, ve kterém si ještě jednou ověříte, že svůj email zadal on sám a opravdu si přeje daný email odebírat. Teprve toto se považuje za dostatečně ověřený email.

Odhlášení z databáze

Klienti musí mít možnost co nejjednodušeji se odhlásit z vaší databáze pro odběr newsletterů. Ideálně pouze jedním kliknutím. V praxi se sice setkáváme s tím, že jsme přesměrováni na stránku s dotazem, zda se opravdu chceme odhlásit, případně proč. Tento postup ale není zcela správný.

 Lišta pro zasílání newsletterů a pop up okénko – nastavení sběru emailů

  • Kolonka na vyplnění e-mailu
  • Opt-in okénko u „Souhlas se zpracováním osobních údajů“
  • Při prokliku na toto „Souhlas se zpracováním osobních údajů“ rozbalení plného znění souhlasu
  • Nastavit double-opt-in
  • Nastavit možnost co nejjednodušeji se odhlásit z odběru newsletterů, ideálně na jedno kliknutí
  • Každé tři roky si obnovte databázi reaktivačním emailem

Pozor! Pro zasílání newsletterů potřebujete vždy souhlas s potvrzeným double opt-in. Souhlas nelze podmiňovat např. slevou na první nákup v eshopu apod.

Zpracování osobních údajů

Reaktivace souhlasů se zasíláním newsletterů

Souhlasy se zasíláním newsletterů je nutné každé cca 3 roky (automaticky či ručně) reaktivovat. Součástí reaktivačního emailu budou dvě tlačítka:

  • Souhlasím, chci nadále dostávat newslettery
  • Nechci nadále dostávat newslettery

Reaktivační email musí obsahovat informace o tom, kdo jste, jaké osobní údaje se zpracovávají, za jakým účelem, jak dlouho, jaké používáte zpracovatele a jaká se pojí k souhlasu práva.

Pozor na zakoupené nebo někde stažené databáze

Nedoporučujeme nakupovat nebo stahovat emailové databáze. Pokud nemáte od všech lidí získaný souhlas se zpracováním osobních údajů (případně potvrzení od poskytovatele takové databáze o vlastnictví souhlasů se zpracováním v souladu s GDPR), databázi buď:

  • přestaňte používat,
  • zašlete reaktivační email s dotazem, zda chce i nadále zasílat newslettery. Pokud klient potvrdí, že ano, můžete jej v klidu v databázi ponechat. V opačném případě kontakt z databáze odstraňte.

Závěr

Spuštění webových stránek je velký krok, který vám může nabídnout příležitost vydělat peníze a navázat kontakt se zákazníky. S takovým podnikáním jsou však spojeny některé právní povinnosti, včetně povinnosti zpracovávat osobní údaje v souladu s nařízením GDPR. Je důležité těmto předpisům rozumět a ujistit se, že je vaše webové stránky splňují, abyste se vyhnuli případným pokutám v budoucnu. Tím zajistíte, že vaše webové stránky zůstanou v souladu s předpisy. V případě pochybností je vhodné oslovit advokátní kancelář, která se touto problematikou zabývá.

Mám zájem o odběr newsletteru