Vaše přípravy na implementaci nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR) jsou pravděpodobně v plném proudu. GDPR vstupuje v platnost 25. května 2018. V tomto článku se dozvíte, jak by se změny o ochraně osobních údajů měly projevit na vašem webu.
Osobní údaje na vašem webu
Pokud vlastníte web, pravděpodobně shromažďujete o jeho uživatelích data a třeba je využíváte i pro vaše marketingové kampaně. Měli byste vědět, že za osobní údaje nejsou považovany jen e-mail, telefon či adresa zákazníka. Patří k nim i údaje jako IP adresa, chování uživatele na webu či informace o tom, z jakého zařízení si váš web prohlížel. GDPR se týká také všech fotek, videí či referencí, které na svém webu uvádíte.
Nové nařízení se tedy nevztahuje pouze na e-shopy a další weby s přímým prodejem. Potřebujete se nad ním zamyslet i v případě, že (pouze) používáte jakoukoli webovou analytiku, případně ji používáte k personalizaci reklamy – typicky pro remarketingové kampaně. Prověřit potřebujete i veškerý obsah, který na webu používáte.
Nejdříve ty zjevné osobní údaje. GDPR se vás týká v případě, když na webu používáte:
- Kontaktní formulář
- Přihlášení k odběru newsletteru
- Objednávkový formulář
- Prodej přes eshop
- Registraci uživatelů
- Přihlašování uživatelů na akce
- Stažení čehokoli výměnou za získání kontaktních údajů (např. stažení e-booku výměnou za e-mail)
GDPR se vás ale týká také tehdy, když používáte:
- Google Analytics, nebo jinou webovou analytiku
- Mailchimp, nebo jiné služby pro rozesílání emailů
- Facebook prvky (sdílení, lajkování článků, eventů a podobně) a widgety jiných sociálních sítí
- Google AdWords, Sklik nebo RTB reklamu
Co kvůli GDPR potřebujete řešit
Klíčové z hlediska GDPR na vašem webu je:
- Informování uživatelů o tom, jak nakládáte s informacemi, které o nich získáváte.
- Získání souhlasu s použitím osobních údajů a to pro všechny účely použití zvlášť.
Typicky jde o to, abyste získali explicitní souhlas k tomu, že budete uživatelům zasílat obchodní sdělení, tj. nesmíte provádět tyto úkony automaticky, například když si u vás někdo stáhne e-book nebo si něco objedná či zakoupí. Pokud cílíte na uživatele přes remarketingovou kampaň, musí s tím předem souhlasit. Pokud vám uživatel poskytne svůj e-mail, telefon či adresu, musí vědět, k čemu tyto údaje potřebujete, jak dlouho je uchováváte a jak může požádat o jejich vymazání.
Uživatelé vašeho webu mají podle GDPR právo na:
- Úpravu svých osobních údajů
- Vymazání údajů, včetně toho, že musí vědět jak vás o to požádat
- Přenesení osobních údajů k jinému poskytovali služeb
- Omezení zpracování, například užití údajů ve sporných případech
- Námitky – například že nepotřebujete všechny údaje uživatele, které žádáte
- Vznesení námitky u Úřadu pro ochranu osobních údajů
První praktické kroky k implementaci GDPR na váš web
- U všech formulářů, registrací, přihlášek, kde oprávněně potřebujete získat informace o uživateli, ho musíte informovat o tom, co se získanými daty děláte. V tomto případě jde pouze o informování, nemusíte žádat o souhlas.
- „Informovat“ znamená odkázat (např. pomocí linku) na zvláštní dokument o ochraně osobních údajů, který možná ještě na webu nemáte a budete ho muset vypracovat. Nesmí být součástí obchodních podmínek, vytvořte ho zvlášť.
- Pokud jste dosud všechny získané kontakty z webu automaticky používali k zasílání obchodních sdělení, budete odteď muset získat souhlas formou opt-in. U různých formulářů tak možná budete mít jednak informaci o zpracování osobních údajů, jednak žádost o aktivní souhlas uživatele.
- Pokud využíváte webovou analytiku, potřebujete na webu zřídit nebo upravit cookie lištu. O některých cookies budete pouze informovat, s použitím jiných musíte získat souhlas (třeba v případě již zmiňovaného remarketingu).
- V případě, že je váš web propojen s dalšími poskytovateli služeb, musíte se podívat na to, jak se k GDPR postavily tyto třetí strany a podle toho se zařídit. Společnosti jako třeba Google nebo Mailchimp už mají své podmínky a smlouvy zveřejněné. Jaké změny chystá ohledně GDPR Facebook se pravděpodobně dozvíme až 25. května.
GDPR bude mít na vzhled a funkčnost webů nemalý vliv. I když se k požadavkům lze postavit různými kreativními způsoby, o kterých se právníci zatím dohadují, doporučujeme začít s implementací alespoň u těch kroků, které jsou zjevné. Nezapomeňte, že za web je odpovědný jeho majitel, ne ten, kdo ho vytvořil, ať už to bylo před rokem či dříve.