GDPR a e-shop u MasteredMonkey

Napsal Michal Pešat, 21.05.2018

Připravili jsme si pro Vás souhrn informací, které zodpoví většinu Vašich dotazů ohledně GDPR, které vstupuje v platnost 25.5.2018.

Je třeba splnit široké spektrum povinností, ale pokud se budete GDPR chvilku zabývat, zjistíte, že nejde o nic složitého :)

K 25.5.2018 je třeba:

Na e-shopu upravit

  1. Způsob průchodu zákazníka/návštěvníka tak, aby odpovídal platným právním předpisům, tj. přidat odpovídající zátržítka, systémově podchytit datum udělení souhlasu (zaškrtnutí daného zátržítka) a umožnit zapomenutí či prozrazení údajů osobě (pokud o to požádá - písemnou formou, tak ve strojově čitelné podobě umožňující další zpracování), které se údaje týkají na požádání (je třeba být kontaktní, např. na e-mailu a reagovat na tyto požadavky) - dobrý přehled doporučení je zde (tato doporučení budou k 25.5. implementována): https://docs.google.com/document/d/1gECJnkfHlYe58EHg4af-QAxqqD1HnMAXnaJHzEAS0Sk/edit
  2. Vytvořit informativní stránku  o zpracování osobních údajů, v této stránce je nutné informovat zákazníka/návštěvníka, jaké údaje zpracováváte, kdo je zpracovává, proč (účel) a na jak dlouho - vzor viz: https://internetove-vinarstvi.cz/podminky-zpracovani-osobnich-udaju 
  3. Doporučuje se tzv. třívrstvé informování, tj. stav, kdy je vedle zátržítka text "Souhlasím se zpracováním osobních údajů ?", přičemž text "zpracováním osobních údajů" funguje jako odkaz na informativní stránku  a "?" funguje jako tzv. onhover (při najetí myši) bublina, ve které se zobrazí krátký a stručný popis podstatných informací o zpracování
  4. Doporučuje se tzv. Double opt-in metoda přihlašování k souhlasu, tj. zákazník/uživatel je vyzván k potvrzení ještě v následně doručeném e-mailu (vyloučí se tím, že souhlas např. udělí někdo jiný bez přístupu k mailu apod.)
  5. Je doporučeno provozovat e-shop na HTTPS (zabezpečeném) protokolu - to mají všechny e-shopy u nás automaticky :)
  6. Je doporučeno, aby aplikace e-shopu splňovala základní požadavky na zabezpečení - např. tzv. OWASP 10 
  7. Doporučení pro přímý marketing: https://www.epravo.cz/top/clanky/gdpr-a-primy-marketing-107161.html?mail , https://www.gdpr.cz/blog/direct-marketing/
  8. Od 25.5.2018 navíc platí tzv. "Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018", které vydal Úřad pro ochranu osobních údajů, toto doporučení obsahuje mimo jiné informace o tom, jak se vyvarovat zobrazování tzv. "Cookie lišty", která všem zákazníkům akorát překážela, ve zkratce jde o to, že musíte zákazníka o zpracování cookies informovat v obchodních podmínkách/podmínkách o zpracování osobních údajů , link: https://blog.webareal.cz/cookie-lista-vsechno-je-jinak/  a https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=29973 
  9. Pro rozesílku newsletterů vašim zákazníkům NENÍ NUTNÉ za určitých podmínek zasílat žádný souhlas s žádostí o potvrzení a odsouhlasení zpracování osobních údajů, jde totiž o tzv. "oprávněný zájem" ( https://www.dpo4u.cz/l/opravneny-zajem/ ).

"Každý přistupuje k nařízení tak nějak po svém. Zejména v posledním týdnu velké firmy zintenzivnily rozesílání nejrůznějších e-mailů, nejčastěji s žádostí se schválením o užití dat. Tak trochu to připomíná hysterii, nebo spíše paniku," uvedl ředitel společnosti Miroslav Uďan.

Zdroj: https://byznys.ihned.cz/c1-66146850-dve-tretiny-ceskych-e-shopu-nejsou-pripraveny-na-gdpr-zmatkuji-a-posilaji-zakaznikum-ruzne-zadosti-o-schvaleni-ukazala-analyza 

"S GDPR se tento systém právních základů nemění. V rámci tohoto systému by však měl každý správce nejprve pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu, a na souhlas spoléhat pouze v případě, že to možné není. Uvažování by tedy mělo být přesně opačné, než jaké je v mnoha případech dnes, přičemž velké množství zpracování (typicky zpracování týkající se samotné podstaty podnikání správce) bude možné činit na základě nezbytnosti pro uzavření či plnění smlouvy. Další zpracování, které je nutné provádět např. v roli zaměstnavatele, bude možné provádět částečně na stejném základě, částečně na základě nezbytnosti pro plnění právních povinností. Velká množina zpracování bude v neposlední řadě prováděna na základě oprávněného zájmu – do této skupiny lze zařadit např. provozování kamerových systémů nebo některé druhy přímého marketingu."

Zdroj: http://www.bulletin-advokacie.cz/gdpr-v-otazkach-a-odpovedich


V případě kontroly

  1. Je třeba kontrolnímu orgánu prokázat, jaké znění souhlasu a kdy uživatel odsouhlasil, tj. je nutné vést si historií verzí informativních stránek k určitému datu, aby bylo identifikovatelné, jaký souhlas uživatel odsouhlasil, kdy a případně i IP adresu, zařízení apod.
  2. Je třeba mít zpracovaný přehled s externími firmami a osobami, které pro nás osobní údaje zpracovávají, evidovat Kdo, Co, Proč, na jak dlouho od udělení souhlasu a příslušné smlouvy/dohody, pokud je danou entitou někdo mimo EU, zákazník o tom musí být informován v informativní stránce, konkrétní vzor takového dokumentu uvádíme níže:


PŘÍLOHA 1
DETAILY TÝKAJÍCÍ SE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
1. Předmět zpracování
1.1 Předmětem zpracování Chráněných údajů je zpracování Osobních údajů v souvislosti s poskytováním Služeb dle Smlouvy o poskytování služeb.
2. Doba trvání zpracování
2.1 Společnost ThePay bude pravidelně zpracovávat Chráněné údaje po dobu trvání Smlouvy, pokud nebude písemně sjednáno jinakdo doby, kdy již zpracování Chráněných údajů ze strany Společnosti ThePay není vyžadováno pro účely plnění příslušných povinností Společnosti ThePay dle této Smlouvy či dle Právních předpisů.
3. Typy Osobních údajů
3.1 Partner může Společnosti ThePay předávat Osobní údaje v rozsahu určeném Partnerem či v rozsahu vyžadovaném právními předpisy, přičemž tyto Osobní údaje mohou zejména zahrnovat následující typy Osobních údajů:
3.1.1  identifikační informace (jméno, příjmení, adresa);
3.1.2  kontaktní informace (e-mailová adresa, telefonní číslo);
3.1.3  informace o využívání produktů a služeb Partnera vč. transakcí, jejích výší, povaze;
3.1.4  geolokační informace (informace z webového prohlížeče nebo mobilních aplikací);
3.1.5  informace z osobní, telefonické a elektronické komunikace.
4. Kategorie Subjektů údajů
4.1 Partner může Společnosti ThePay předávat Osobní údaje v rozsahu určeném Partnerem, přičemž tyto Osobní údaje mohou zejména zahrnovat následující kategorie Subjektů údajů:
4.1.1  potenciální klienti, klienti, obchodní partneři a dodavatelé Partnera;
4.1.2  kontaktní osoby potenciálních klientů, klientů, obchodních partnerů a dodavatelů Partnera;
4.1.3  uživatelé služeb Partnera;
4.1.4  zaměstnanci, zástupci nebo spolupracovníci Partnera.
5. Dílčí zpracovatelé
5.1 K okamžiku uzavření této Smlouvy Společnost ThePay využívá Dílčí zpracovatele:
5.1.1  VSHosting s.r.o., IČO: 62505455;
5.1.2  Google LLC;
5.1.3  Microsoft Corporation;
5.1.4  Seznam.cz, a.s., IČO: 261 68 685;
5.1.5  Smartsupp.com, s.r.o., IČO: 03668681,
5.1.6  KB SmartPay, Cataps, s.r.o., IČO: 03633144
5.1.7  Česká spořitelna, a. s., IČO: 45244782
5.1.8  Komerční banka, a.s., IČO: 45317054
5.1.9  Raiffeisenbank a.s., IČO: 49240901
5.1.10  mBank S.A., organizační složka, IČO: 27943445
5.1.11  MONETA Money Bank, a.s., IČO: 25672720
5.1.12  Fio banka, a.s., IČO: 61858374
5.1.13  Československá obchodní banka, a. s., IČO: 00001350
5.1.14  Sberbank CZ, a.s., IČO: 25083325
5.1.15  Equa bank a.s., IČO: 47116102
5.1.16  UniCredit Bank Czech Republic and Slovakia, a.s., IČO: 64948242
5.1.17  Supercash s.r.o., IČO: 04072669
5.1.18  Hlavního Partnera, je-li Partner zařazen do Partnerského programu, jehož identita je Partnerovi známa, neboť
jeho v návaznosti na jeho činnost došlo k uzavření Smlouvy mezi Společností ThePay a Partnerem.

Informace o tom, jak technicky funguje zpracovávání údajů zákazníků

Ke každému udělenému souhlasu zákazníka se sleduje:

1) datum a čas udělení souhlasu

2) doslovné znění uděleného souhlasu (podmínky zpracování aktuální v okamžik udělení souhlasu)

Tyto informace jsou dostupné v profilu zákazníka.

Odkazy na dokumenty

Níže uvádíme odkazy na spracovatelské smlouvy/dohody/podmínky, které mají naši klienti nejčastěji uzavřené se svými partnery - mohou si je tak zařadit do své složky s přehledem o zpracovatelích


Zpracovatel údajůJaké údajeZa jakým účelem a na jak dlouhoOdkaz na smlouvu/dohodu/podmínky zpracování
Systém MasteredMonkey


Michal Pešat, Do Kopečka 37, 103 00 Praha, IČ: 74885570, DIČ: CZ9103280175, email: podpora@mastered-monkey.com

Obchodní podmínky


Podmínky zpracování osobních údajů





Zbožové srovnávače


Zboží.cz

Odkaz
Heureka.cz

Odkaz




Analytické nástroje


Google Analytics

Odkaz

Co nastavit v Analytics

Mergado


Yandex Metrica

Odkaz




Reklamní platformy


Google AdwordsNezískává osobní údaje


Facebook

Odkaz
InstagramNezískává osobní údaje

SklikNezískává osobní údaje





Účetní software

Stormware Pohoda

Informace o GDPR a programu Pohoda naleznete zde 

Další informace zde

Pohoda údaje nezpracovává, za předpokladu, že je nepošlete podpoře či nevyužijete některých funkcí, které jsou výslovně specifikované (údaje zůstávají lokálně na počítači a nikam neodchází)



Platební brány

ThePay.cz

Odkaz

Odkaz 2