• Úvod  ›  
  • Metodika  ›  
  • GDPR - nejčastější otázky a odpovědi

GDPR - nejčastější otázky a odpovědi


Co je GDPR?

Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.
Oproti současnému stavu jde o detailnější a širší úpravu povinností správců a zpracovatelů osobních dat.

Koho se GDPR týká?

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.


Jakých údajů se nařízení týká?

Jedná se o osobní údaje fyzických osob (právnické osoby jsou z působnosti tohoto nařízení vyloučeny). Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem. Dále pak rozlišujeme ještě zvláštní kategorii údajů a to jsou údaje citlivé.

Co se rozumí zpracováním?

Zpracováním se rozumí operace nebo soubor operací s osobními údaji prováděných pomocí či bez pomoci automatizovaných postupů, jako např.: shromažďování, zaznamenávání, uložení, vyhledání, nahlédnutí, použití, šíření, výmaz, apod.

Má zákazník právo na výmaz všech svých osobních informací?

Pokud chce nakupující smazat údaje zpracované pod jiným právním titulem než je „souhlas" (např. doklady nebo objednávky), pak jste oprávněni říct, že to nelze. Můžete využít vašeho právního nároku/povinnosti na ukládání těchto dat po dobu až 15 let,
a to z důvodu případných budoucích sporů o náhradu škody způsobené neúmyslně.

Právo být informován

Musí existovat stránka, nejlépe na e-shopu, kde informujete o všech typech údajů, které uchováváte. Jak dlouho je uchováváte, jak je skladujete technicky, jak si je mohou prohlédnout, že mohou požádat o smazání údajů - jak a kterých -, kontakt na osobu, která je za správu jejich údajů zodpovědná, komu data poskytujete, k čemu a jak je to zajištěno technicky.

Kdo musí mít pověřence (DPO)?

Tzv. pověřence musí mít firma, která provádí rozsáhlé systematické zpracování osobních údajů. Dále je to firma, která provádí rozsáhlé zpracování citlivých údajů. A třetím případem je firma, kde je správcem osobních údajů veřejný orgán. Ani do jedné z těchto kategorií běžné malé e-shopy nespadají, takže pověřenec není potřeba.

Je povinnost zavést double opt-in (dvojí potvrzení)?

Povinnost to není, ale pro ověření pravé identity příjemce a platnosti zadaného e-mailu toto potvrzení doporučujeme. Double opt-in funguje tak, že na zadaný e-mail bude zaslán potvrzovací e-mail s odkazem, a pokud na něj zájemce klikne, bude tím zařazen do databáze. Tato funkce je užitečná také pro případ kontroly, zda se konkrétní subjekt zaregistroval či přihlásil k odběru opravdu dobrovolně.

Je povinnost zavést šifrování?

Ne. Jedná se pouze o doporučený bezpečnostní prvek. V rámci e-shopů se jedná
např. o zavedení HTTPS protokolu pro administraci i pro veřejnou část e-shopu. Dále je potom doporučeno šifrování u koncových zařízení (práce na domácím notebooku, firemní email v soukromém mobilním telefonu).

Potřebuji souhlas k zasílání procesních emailů?

Ne. Procesní emaily k vyřizování objednávek lze posílat (potvrzení přijetí objednávky,
info o expedici, atp.) zákazníkovi bez zvláštního souhlasu, jsou totiž nutné k hlavní činnosti e-shopu (vyřízení objednávky). Tyto emaily však nesmí obsahovat reklamu.

Jak mohu požádat subjekty o udělení souhlasu znovu?

Měli byste si projít databáze subjektů údajů a dohledat potvrzení o udělení souhlasu. Zjistíte, že máte tři kategorie údajů:

  1. Údaje od osob, u kterých můžete doložit, že jste souhlas získali v souladu s GDPR (např. prostřednictvím aktivního souhlasu).
  2. Údaje od osob, od kterých jste souhlas získali nepřímo (např. na základě předvyplněného políčka atp.).
  3. Údaje od osob, o nichž víte, že vám souhlas odmítly dát nebo jej vzaly zpět.



Skupina č. 1
- To jsou použitelné údaje; tyto osoby kampaň nepřekvapí, protože vám daly souhlas již dříve, navíc si tak s velkou pravděpodobností zajistíte i lepší reakce na kampaň, protože tyto osoby komunikaci od vás uvítají. Tyto osoby nemusíte znovu o souhlas žádat.

Skupina č. 2 - Tyto údaje použitelné nejsou. Nevíte, jestli dané osoby skutečně chtějí vaše zprávy dostávat, protože jste je o souhlas s použitím jejich údajů nepožádali přímo. Počínaje 25. květnem budete muset tyto údaje odstranit z mailingových seznamů a nebudete oprávněni je pro marketing dále používat. Pokud chcete, aby tyto osoby zůstaly na vašich seznamech, musíte je kontaktovat a upozornit je, že jste v minulosti získali jejich nepřímý souhlas s použitím údajů pro účely marketingu, a ony musejí potvrdit, že chtějí na mailingovém seznamu zůstat a nadále od vás zprávy odebírat. Doporučujeme využít nějaký motivační bonus - dárkový poukaz, sleva na první nákup, apod.

Skupina č. 3 - To jsou absolutně nepoužitelné údaje! V žádném případě je nesmíte pro marketingové účely použít a ani nejste oprávněni těmto osobám poslat žádost o dodatečný souhlas. Musíte tyto údaje okamžitě odstranit ze seznamu rozesílky.

Můžu mít univerzální textaci na místech kde je souhlas se zpracováním osobních dat nutný?

Záleží. Měli byste konkrétně vyjádřit, jakým krokem se souhlas provádí, tzn. např. "Dokončením objednávky souhlasíte s ..." nebo "Vložením emailu souhlasíte s ...". Vždy byste měli odkazovat na konkrétní články (tzn. VOP a POOÚ), kde jsou tyto souhlasy rozvedené podrobněji.

Pokud sbírám e-maily, například pro registraci do soutěže, je to nutný údaj a musí být zadán, ale na tento e-mail nemůžu poslat jiný e-mail související s něčím jiným než soutěží? Navíc po ukončení soutěže je nutné tyto e-maily smazat?

Ano, pokud vám zákazník neposkytne e-mail zároveň pro soutěž a pro jiný účel zpracování. Souhlas musí být udělen samostatně a výslovně, například zaškrtnutím políčka, pro každý účel zvlášť.

Jaké úpravy budou provedeny v rámci IS benefit 2000+ (subsystém Ekonomika, Skladové hospodářství, apod.)?

Tady záleží na vás. Každý uživatel by měl mít do IS benefit svůj vlastní přístup a heslo. Dle požadavků lze nastavit každému uživateli i „balíček" oprávnění.

Musí být ve Zpracovatelské smlouvě uvedeny konkrétní informace o všech obchodních parterech, kteří zpracovávají osobní údaje?

Ne. Je vaší povinností informovat vaše zákazníky o tom, že se jejich data předávají třetím stranám. V rámci zachování obchodního tajemství ale můžete odmítnout konkretizovat, které to jsou. Postačí oblast, kterou se třetí strana zabývá (dopravce, marketingová společnost, účetní firma, apod.)

Je jednou získaný souhlas poskytnut na dobu neurčitou?

Ne. Souhlas se zpracováním osobních údajů musí být dán svobodně, ke konkrétnímu účelu a na dobu určitou. Tento účel musí být jednoznačně specifikován a musí být prokazatelně doložen po celou dobu zpracování.

Školení zaměstnanců - je povinné?

Ano. S každým zaměstnancem mějte podepsaný papír o tom, že byl proškolen v GDPR. Ideálně s popisem směrnice, podle které má s osobními údaji zacházet.