E-shopy budou díky GDPR pečlivěji spravovat osobní údaje svých zákazníků
Od května 2018 začne platit nové evropské nařízení General Data Protection Regulation (GDPR), tedy Obecné nařízení na ochranu osobních údajů, které se týká mimo jiné i všech provozovatelů e-shopů či jiných internetových služeb, u kterých se zákazník registruje svými osobními údaji. Jde o další krok, navazující na nedávnou evropskou regulaci cookies, který má za cíl lépe ochránit spotřebitele, po kterých jsou nyní často vyžadovány velmi detailní osobní údaje. S těmi pak provozovatelé internetových služeb nakládají prakticky podle své vůle (po spotřebiteli je vyžadován jen obecný souhlas se zpracováním jeho dat) a často je i sdílejí nebo přeprodávají dalším subjektům.
Všechny způsoby nakládání s osobními údaji budou nyní podléhat explicitnímu schválení zákazníkem a provozovatelé e-shopů i webových služeb se budou muset o získaná data starat mnohem pečlivěji a transparentněji. „Regulace GDPR je jedním ze zásadních kroků, v posílení práv evropských spotřebitelů, především práva na soukromí, ve vztahu k internetovým obchodníkům a poskytovatelům webových služeb. Ti si z našich osobních údajů udělali velmi dobrý zdroj příjmů z reklamy a dalšího využití získaných dat,“ říká Daniel Hutník ze společnosti Sprinx Systems, která se zabývá vývojem a nasazováním obchodních systémů.
Základní požadavky GDPR
Pro provozovatele e-shopů a webových služeb bude nová evropská regulace, která ale zatím ještě nebyla přenesena do česká legislativy a nelze tedy konkrétně hovořit o způsobu jejího naplnění v našem prostředí, znamenat především nutnost získání nových souhlasů zákazníků se zpracováním jejich osobních údajů a pak také daleko větší důraz na bezpečné uchovávání získaných dat.
Souhlas bude nutné vyžadovat na několika úrovních – nejen při získávání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje), ale například také při jejich předání partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi.
Souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby (pokud to není zcela nezbytně nutné). Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést. Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.
Provozovatelé e-shopů a internetových služeb ponesou s nástupem GDPR také daleko větší zodpovědnost za data, která budou na základě souhlasu zákazníků uchovávat. Tato data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí ustanovit osobu, která bude za bezpečné uchování dat přímo odpovědná (může jí ale být třeba i přímo majitel e-shopu).
Těm, co řešení požadavků GDPR odkládají, se pravděpodobně prodraží
„K regulaci GDPR zatím neexistuje prováděcí vyhláška, takže lze jen těžko odhadovat, jak bude do detailu tato právní úprava zakotvena v české legislativě. Přesto je již nyní správný čas začít situaci kolem GDPR sledovat a informovat se u provozovatele využívané obchodní nebo webové platformy, jakým způsobem bude postupovat,“ doporučuje Daniel Hutník.
Daniel Hutník ze společnosti Sprinx Systems
Nic neodkládat a připravit se na již nyní jasné podmínky je třeba mimo jiné, protože zavádění rozsáhlejších IT změn trvá delší čas. Zvýšená poptávka na jaře příštího roku pravděpodobně zajistí vysokou obsazenost dodavatelů IT řešení a také možnost nechat říci si za práci na poslední chvíli prémiovou cenu.
„Firmy by se na nové nařízení měly připravovat již nyní. Zavedení systémových změn, zejména v oblasti IT, si může v případě velkých společností vyžádat i rok příprav. Jejich odložení na později se nemusí vyplatit. Pokuty za nedodržování nového nařízení mohou dosáhnout až 20 milionů eur, což činí zhruba 526 milionů korun, nebo 4 % obratu firmy za uplynulý finanční rok. Každá větší firma by si měla určit jednoho pracovníka, který bude na ochranu osobních dat dohlížet,“ dodává Stanislav Klika z poradenské a auditorské firmy BDO.
Na nedávném interním školení pro vydavatele Marketing Journalu, komunikační agenturu Focus Agency, zdůrazňoval JUDr. Josef Aujezdský, že se nedá očekávat, že začnou od května 2018 v nějaké velké míře padat takto drakonické pokuty. Míra nepřipravenosti a nesouladu mnoha firem s novou legislativou bude realistickými očima nemalá, takže trestání viníků nebude moci být tak nekompromisní jen z kapacitních důvodů. Vzít v úvahu je třeba i to, že GDPR do značné míry kodifikuje na evropské úrovni to, co už platí nyní v české legislativě, akorát to není vymáháno.
Otázky kolem GDPR
Po nařízení o cookies a zavedení elektronické evidence tržeb je GDPR další zásadní změnou v životě českých internetových obchodníků a provozovatelů webových služeb. Největší internetoví obchodníci se na nástup GDPR jistě již připravují, ale jelikož v České republice působí (podle analýzy srovnávače cen Heureka.cz) více než 36 000 e-shopů, lze očekávat, že ne všichni jejich provozovatelé jsou si svých nových povinností vědomi. GDPR se navíc týká i všech internetových služeb, které při registraci nových zákazníků rovněž požadují řadu osobních údajů.
Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. V tom případě je již nyní na čase ptát se tohoto poskytovatele na otázky kolem připravenosti jeho řešení na zavedení regulace GDPR. Mezi důležité otázky, na které je třeba hledat odpověď patří především:
- Jaká data o zákaznících jsou v rámci obchodního řešení ukládána?
- Jak je s těmito daty nakládáno – především kde se fyzicky nacházejí a kdo k nim má přístup?
- Jak jsou osobní data zákazníků zabezpečena (fyzické zabezpečení, šifrování atd.)?
- Jsou data sdílena s nějakými dalšími subjekty?
- Jaká data o našich zákaznících opravdu potřebujeme a jaké souhlasy si budeme muset vyžádat.
„Jakkoli mohou zatím publikované informace o GDPR pro provozovatele e-shopů znít nepříjemně, pravděpodobně bude možné nové podmínky zpracování osobních údajů zákazníků splnit s přijatelnými náklady. Důležité bude především nastavit správný systém získávání souhlasů a mechanismy zabezpečení získaných dat. Obchodníci by měli hledat pomoc u provozovatele své obchodní platformy, nebo si zvolit takového poskytovatele, který bude na GDPR připraven včas,“ uzavírá Daniel Hutník ze společnosti Sprinx Systems.