Nejčastější GDPR chyby na webových stránkách podnikatelů

Kdo není na webu jakoby ani nebyl. Tak praví marketingová poučka už někdy z roku 2000. Dvacet let poté má své webovky téměř každý podnikatel. A k tomu se do e-commerce vydá každý rok stále více odvážlivců. Nicméně i přes 3 roky od účinnosti GDPR ještě velká část podnikatelů neví, jak si svou on-line prezentaci dát do souladu s GDPR (a přitom dozorový úřad nespí). Pokud mezi ně patříte, je tento článek přesně pro vás. Pojďme se podívat na nejčastější chyby a jak se jim vyvarovat. Žádné složitosti, začneme se základními pravidly. Protože e-shopy jsou trochu vyšší level, nebudeme se jimi dnes zabývat. Pro začátek nám bude stačit klasický jednoduchý web určený k prezentaci firmy. Takový běžný web má (a co nás z pohledu GDPR zajímá):
  • poptávkový / kontaktní formulář
  • náborový formulář (pro zájemce o pracovní místo)
  • newsletter a rozesílání jiných obchodních sdělení
  • cookies

Souhlas se zpracováním údajů

Na začátku vám povím jedno tajemství: souhlasy se zpracováním jsou zlo. Jak tomu rozumět? Souhlasy se zpracováním údajů jsou často vyžadovány nadbytečně. To platí nejen při provozování webu, ale obecně při jakémkoli zapracování údajů. Správce údajů kolikrát souhlasy vyžaduje tam, kde je vůbec nepotřebuje (evergreenem je souhlas zaměstnance, že zaměstnavatel může využívat jeho RČ pro mzdovou agendu). „No a? Lepší chtít souhlas preventivně, než na něj zapomenout“, řeknete si. Jenže dozorový úřad upozorňuje, že takové nadbytečné vyžadování souhlasu, je porušením GDPR. A má to své opodstatnění. Tím se teď ale zdržovat nebudeme. Pro vás je důležité zapamatovat si, že se souhlasy se musí nakládat opatrně. Co to znamená? Ze zkušeností si troufám odhadnout, že v 80-90 % případů se bez souhlasu se zpracováním údajů obejdete. S osobními údaji totiž budete oprávněni nakládat na základě jiného právního důvodu (např. dochází-li k jednání o uzavření smlouvy). A dokážu vám to níže.
Nadbytečné vyžadování souhlasu porušuje GDPR. V 80-90% případů se bez něj obejdete.

Informační dokument

Informovat, informovat a informovat. Tohle rozhodně nepodceňovat. Každý, jehož údaje jsou zpracovávány, musí předem obdržet informace o zpracování takových údajů. Dotyčný musí být informován, že vůbec dochází ke zpracování osobních údajů, proč se tak děje (co se s jeho osobními údaji bude dělat) a co k tomu správce opravňuje. Informační povinnost správce splní dokumentem, který znáte pod různými názvy jako „zásady zpracování osobních údajů“ nebo „prohlášení o ochraně osobních údajů“ apod. Nezáleží, jak se dokument jmenuje. Důležité je, co obsahuje. A obsahovat musí všechny náležitosti uvedené v čl. 13 a 14 GDPR. Součástí informačního dokumentu je také poučení, jaká práva subjektu údajů náleží. Dokument bývá umístěn nejčastěji v patičce webu. Dohledatelný by měl být tzv. na tři kliknutí. Zašantročení kdesi na webu do 5. odkazu na 3. podstraně, je …(budete určitě překvapeni)… porušením GDPR. Nevěříte? Stáhněte si toto stanovisko dozorového úřadu.
Na webu by měl být dostupný informační dokument o zpracování osobních údajů.

Poptávkový / kontaktní formulář

Jeho účelem je umožnění rychlé komunikace s potenciálními klienty. Pokud formulář slouží čistě k navázání kontaktu a vyřešení požadavku návštěvníka webu (dotaz na dostupnost, jak objednat zboží atp.), žádný souhlas k tomu nepotřebujete. Cože? Že ale na webu vídáte formuláře, kde souhlas chtějí? To má jednoduché vysvětlení. Buď takový správce s údaji dělá něco navíc, k čemu už souhlas opravdu potřebuje (např. různé marketingové činnosti) a to by měl správce také uvést v informačním dokumentu, nebo se správce jen řídí už výše naznačeným neduhem „Když nevíte, jaký důvod použít, tak tam dejte souhlas“. Jenže dobrá víra nadbytečnost souhlasu neomlouvá. Nezapomeňte na základní pravidlo – informovat! Na webu by měla být informace, co budete dělat s osobními údaji, které vám návštěvník skrze formulář předá, jak dlouho je budete uchovávat atd. (viz zmiňovaný čl. 13 a 14 GDPR). Ideální je, pokud jako podmínku odeslání zprávy nastavíte zaškrtnutí check-boxu, že se návštěvník seznámil/a s informacemi o zpracování osobních údajů a k tomu přiložíte hypertextový odkaz se všemi informacemi.

Náborový formulář

Hodně se podobá kontaktnímu formuláři. Ze své podstaty má ovšem jiný účel. A to se může odrazit také v GDPR dokumentaci. Pokud formulář slouží ke komunikaci s potenciálním zaměstnancem za účelem provedení přijímacího pohovoru a pouze po tuto dobu, opět se bez souhlasu obejdete a postačí odkaz na informační dokument. Jestliže si ale plánujete uchovávat životopisy uchazečů do budoucna a vytvořit si databázi potenciálních zaměstnanců k oslovení, pak už budete souhlas potřebovat. Více se o tomto rozepisuji na str. 76 v naší odborné publikaci věnované GDPR.

Newsletter a obchodní sdělení

Dáváte návštěvníkům nebo zákazníkům vědět o tom, co se u vás aktuálně děje? Bez povinné GDPR dokumentace se to ale zase neobejde. Ani tady to ale není žádná věda. Máte-li na webu modul umožňující návštěvníkům registraci k newsletteru, nezapomeňte k přihlášení dát check-box pro souhlas se zpracováním údajů. Tady ho musíte mít. Jsou ale situace, kdy k rozesílání newsletteru souhlas nepotřebujete. Věděli jste o tom? Je to v případě, kdy od vás už zákazník nakoupil (službu / zboží) nebo se na vašem webu zaregistroval k nákupu. Na tohle dopadá zákon o některých službách informační společnosti, který ve zkratce říká, že pokud někdo u vás nakoupil (nebo projevil zájem o vaše služby / zboží), můžete mu obchodní sdělení posílat bez souhlasu. Nezapomeňte ale opět na řádné informování! Stejně tak musí být umožněno každému příjemci sdělení, aby se mohl jednoduše z odběru takových zpráv odhlásit – typicky přes odkaz umístěný v patičce zprávy.

Cookies

Jó sušenky. Moderní weby se bez nich už ani neobejdou. Pokud je používáte, pak zbystřete. Od 1. 1. 2022 nás čekají velké změny. Krom toho, že o cookies musíte pochopitelně na webu informovat návštěvníky, tak nově bude potřeba získat také jejich aktivní souhlas k ukládání do zařízení návštěvníka webu. A to i v těch případech, kdy to doteďka potřeba nebylo. Výjimkou zůstávají technické cookies nezbytně nutné k provozu webu. U těchto není třeba souhlas získat. Doporučuji provést spolu s webmasterem analýzu, jaké druhy cookies na webu používáte, a poté tomu přizpůsobit GDPR dokumentaci.

A co dál?

Tak to máme v rychlosti za sebou. Na jednoduchý web je to poměrně dost administrativy, viďte? To kdejakého majitele webu odradí, a tak zariskuje web provozovat i za cenu porušení GDPR. Pokud je to i Váš případ nebo jste zjistili, že zdaleka ne všechno máte správně, tak pro Vás máme řešení. Mrkneme se Vám na webové stránky a dáme je do souladu s GDPR.

Cena této služby je 4 500 Kč + DPH


Co za takovou cenu dostanete?
  • Jistotu, že Váš web je GDPR ready
  • Zrevidované informační dokumenty
  • Zrevidované znění souhlasů se zpracováním údajů
  • Zkontrolujeme všechny stránky a funkcionality webu
  • Zkontrolujeme všechny formuláře
  • Zkontrolujeme newsletter a cookies
  • Doporučení pro nastavení webu z hlediska ochrany soukromí