Mít GDPR na webu správně vyladěné vám dává výhodu. Je to první místo, na které se Úřad kouká před tím, než u vás zaklepe. Pokud máte web v pořádku, můžete si přičíst první plus.
Webové stránky dnes nahrazují výkladní skříně, zprostředkovávají kontakt se zákazníky a mají spoustu další funkcí. A regulují je různé právní předpisy. Jedním z nejvýznamnějších je GDPR, a jeho nastavení není zrovna triviální záležitost. V našem článku se dozvíte základní věci, na které byste měli při tvorbě webu myslet, abyste se s GDPR nedostali do křížku.
Mít GDPR na webu správně vyladěné vám dává výhodu. Je to první místo, na které se Úřad kouká před tím, než u vás zaklepe. Pokud máte web v pořádku, můžete si přičíst první plus.
Zásady zpracování osobních údajů
Pokud na webu sbíráte osobní údaje, musíte na něm také poskytnout informace, jak budete údaje zpracovávat. Může jít o kontaktní formuláře, nákup na webu, uživatelské účty, ale i některá data sbíraná soubory cookies.
Best practice je mít na webu zvláštní stránku se zásadami ochrany osobních údajů, a to pro všechny případy sběru osobních údajů na jednom místě. V nich popíšete, jaké údaje zpracováváte, z jakých důvodů, jak dlouho, práva zákazníků a uvedete další relevantní informace.
U každého místa, kde zákazníci vkládají nějaké informace, pak uvedete odkaz na zásady ochrany. Ke zpracování osobních údajů často není zapotřebí souhlas. Na to je třeba dávat pozor: souhlas se zpracováním osobních údajů uveďte jen tam, kde je opravdu třeba. Pokud máte souhlas i tam, kde není třeba, jde o praktiku, která je v rozporu s GDPR.
Zásady ochrany osobních údajů na webu můžete použít i k tomu, že v nich uvedete informace o zpracování osobních údajů osob, které k vám přijdou jinudy než přes web. Například na web dát informace o tom, jak zpracovávate osobní údaje obchodních kontaktů a v ostatních dokumentech již jen používáte odkaz na web.
Kontaktní formulář či chat
Chtějte po zákaznících pouze informace potřebné k vyřízení požadavku. U kontaktního formuláře je typický rozsah kontakt, na kterém je možné osobu zastihnout, a text požadavku.
Pod formulář vždy přidejte informaci o zpracování osobních údajů, ať již plný text nebo odkaz na jinde obsaženou informaci. Zaškrtávací políčko se souhlasem nepotřebujete.
Vyplnění kontaktního formuláře neznamená souhlas se zasíláním obchodních sdělení. Nic vám nebrání dát pod kontaktní formulář zaškrtávací políčko pro odběr newsletteru, ale posílejte ho jen těm, kdo políčko zaškrtli.
Je libo newsletter?
Není odběr jako odběr, regulace se liší podle toho, jestli kontakt je či není zákazníkem.
První situace je typická pro eshopy. Chcete posílat newsletter svým zákazníkům, kteří něco nakoupili. V tomto případě nepotřebujete souhlas. V rámci checkoutu byste ale měli zákazníka informovat, že mu budete newsletter posílat a dát mu možnost ho odmítnout, třeba prostřednictvím zaškrtávacího políčka.
Druhá situace je přihlášení k odběru newsletteru z webu. K tomu potřebujete sebrat souhlas od daného adresáta. Souhlas není jen zaškrtávací políčko, lze ho sebrat například i přes tlačítko ve stylu „chci newsletter“, tedy za podmínky, že v daném kroku adresát souhlasí jen s newsletterem. Sbírejte jen údaje nezbytné (email a případně jméno pro oslovení) a nezapomeňte u formuláře vždy uvést odkaz na zásady ochrany osobních údajů.
Doba zasílání newsletteru by neměla být neomezená. Doporučujeme stanovit, jak dlouho budete newsletter zasílat a uvést dobu v zásadách ochrany osobních údajů. Časově neomezené zasílání nevyhovuje podmínkám GDPR, a to i přes to, že mnoho provozovatelů webu dobu zasílání newsletteru neomezuje.
Český Úřad na ochranu osobních údajů („ÚOOÚ“) doporučuje k získání souhlasu metodu double opt-in. Spočívá v tom, že po přihlášení je adresátovi vygenerován email a k zařazení do databáze dojde až po potvrzení přihlášení přes odkaz v emailu. Samotné GDPR však tento požadavek neobsahuje, z toho důvodu zastáváme názor, že jde spíše o best practice než povinnost.
Absolutně nezbytné je mít k newsletterům fungující mailingovou databázi, která zaznamená přihlášení k odběru newsletteru (resp. opt-out u zákazníků). Databáze by měla zaznamenat emailovou adresu, datum a čas souhlasu a texty, které se zobrazily při jeho udělení. A nezapomeňte na propojení s odkazem pro odhlášení, který musíte mít v každém newsletteru. Toto zdůrazňujeme proto, že stále je mnoho webů, u kterých tyto funkcionality chybí nebo jsou nedostatečné. Odhlášení pak nefunguje a to vystavuje podnikatele velkému riziku pokuty. ÚOOÚ zasílání newsletterů a podobných obchodních sdělení rád kontroluje.
E-book či něco jiného zdarma…
Častý trik marketérů: zadejte email, pošleme vám e-book zdarma. To je zcela v pořádku, ale NENÍ možné na takto získané kontakty zasílat obchodní sdělení, aniž byste k tomu sebrali separátní souhlas se zasíláním osobních údajů. Musíte vymyslet jiný trik.
Personalizace – kontroverzní téma
Podle chování a nákupu na webu lze personalizovat další nabídky pro zákazníky, ať už jde o zobrazované reklamy nebo obsah newsletterů. Potřebujete k takové personalizaci souhlas nebo můžete personalizovat i bez něj?
Odpověď není jednoznačná a praxe se liší. My zastáváme názor, že určitá míra personalizace je možná i bez souhlasu, avšak při invazivnějších technikách již bude nutné získat souhlas, a teď nemluvíme jen o automatizované segmentaci, která vede k nabízení různých cen různým zákazníkům, která značně zasahuje do práv subjektů údajů (aerolinky to na nás prý zkouší). Bez individuální analýzy a zvážení rizik se v této oblasti neobejdete.
Uživatelský účet
K založení uživatelského účtu (nejčastější je u e-shopu) je třeba separátní souhlas. Nelze podmiňovat nákup založením uživatelského účtu. Pokud už si uživatel účet založí, lze ho využít k bližšímu kontaktu se zákazníkem, třeba zadání jeho preferencí, které použijete pro personalizaci newsletterů.
Cookies
Cookies není třeba představovat, snad každý zná Google Analytics asi nejužívanější nástroj k měření návštěvnosti webu.
Cookies jsou právně obzvlášť zákeřná část webu a vztahuje se na ně kromě GDPR i zákon o elektronických komunikacích, který reguluje i cookies, která nesbírají žádné osobní údaje. Cookies věnujeme zvláštní článek.
A to není vše…
Internet nabízí nekonečné možnosti a mnoho další funkcí, které můžete uživatelům přes web nabídnout. Náš článek ukazuje jen ty nejběžnější případy sběru a použití osobních údajů při provozování webu. Kreativní využití uživatelských údajů na webu a webových službách má velký potenciál, ale nezapomínejte na GDPR. Jen tak bude vaše podnikání v suchu.
POTŘEBUJETE NALADIT WEB A NECHCE SE VÁM TÍM TRÁVIT ČAS? DEJTE NÁM VĚDĚT.