Souhlasy a informační povinnost
Co je informační povinnost
Dle GDPR nařízení musí být zákazník informován o způsobu, jakým zpracováváte jeho osobní údaje. (dále jen informační povinnost).
Může se jednat např. o dokument na webových stránkách (textová stránka, na kterou odkážete), jehož obsahem musí být zejména: vaše totožnost a kontaktní údaje, účel a právní základ zpracování, příjemce osobních údajů (nebo alespoň kategorie příjemců), zda předáváte informace mimo EU, dobu uložení osobních údajů, práva zákazníka (jehož osobní údaje budete zpracovávat), důvod poskytnutí údajů a tzv automatizované rozhodování (jaký je postup automatizovaného zpracovávání, jeho význam a důsledky)
Co je souhlas
Exituje 6 prvních titulů, na základě kterých můžete zpracovávat osobní údaje zákazníka (oprávněný zájem, plnění právní povinnosti, plnění smlouvy nebo jednání o jejím uzavření, souhlas se zpracováním osobních údajů, veřejný zájem a životně důležitý zájem).
V případě, že nemůžete na zpracování osobních údajů použít žádný jiný právní titul, musíte od uživatel zákazníka získat souhlas. Bez tohoto souhlasu nesmíte jeho údaje zpracovávat.
Nezapomeňte, že souhlas nesmí být součástí obchodních podmínek, ani podmínkou pro poskytnutí služby (nemůžete např. zákazníkovi říct, že pokud Vám souhlas nedá, neprodáte mu zboží a nemůže udělat objednávku)
Získání souhlasu
Souhlas musí být udělen aktivním jednáním (nikoli předem zaškrknuté políčko apod.)
Zákazník musí mít možnost souhlasit pouze s některými operacemi.
Oprávněnost a minimalizace údajů
Pokud budete od zákazníka zpracovávat jakékoli osobní údaje, můžete zpracovávat pouze ty údaje, které jsou nezbytně nutné pro účel zpracování, nebo ty, ke kterým Vám zákazník dal souhlas. Nemůžete např. na základě zpracování objednávky (ke kterému potřebujete jméno a adresu zákazníka, ukládat zároveň pohlaví, věk a podobně)
Jak funguje modul souhlasů
Modul souhlasů (který najdete v horní menu - nastavení - souhlasy) umožňuje nadefinovat:
- Jaké informace a souhlasy se mají zákazníkovi zobrazit (a kde)
- Jaké souhlasy a kým byly v minulosti uděleny
Jak založit nový souhlas
Nový souhlas vytvoříte v horní menu - nstavení - souhlasy, kliknutím na tlačítko Založit nový. Na stránce, která se Vám otevře můžete zadat:
-
Interní název
název, který uvidí pouze administrátoři, nikdy ne zákazník -
Typ souhlasu
- Informace
- Nepovinné zaškrtávátko (opt-in)
- Nepovinné zaškrtávátko (opt-out)
-
Text souhlasu
Zde napíšete samotné znění souhlasu, tedy text, který chcete po zákazníkovi odsouhlasit. -
Kde se má souhlas zobrazit
Pro každý souhlas můžete nadefinovat několik míst, na kterých chcete, aby se konkrétní souhlas zobrazil
- V liště
Pokud vyberete volbu "v liště", bude na spodním okraji obrazovky zobrazena lišta. Tímto způsobem můžete zobrazit např. informaci o zpracování cookies a osobních údajů, popř. souhlasy, které chcete, aby byly viditelné na více stránkách webu. Zobrazení v liště podporují jak demošalony zdarma, tak všechny šablony zhotovené na míru. - Ve standardizovaných formulářích
Pokud nemáte šablonu na míru (využíváte některou z našich demošablon zdarma), můžete nadefinovat, že chcete, aby se daný souhlas zobrazoval např. u formuláře "více informací obratem". - Ve formulářích na míru (v šablonách na míru)
Pokud máte šablonu zhotovenou na míru, můžete si dotazem na technickou podporu nechat implementovat souhlasy do libovolného místa vaší šablony. Tento úkol je zpoplatněn (cenu vám sdělí technická podpora na základě náročnosti vaší šablony) a bude proveden na základě vašeho požadavku zaslaného do systému technické podpory.
- V liště
-
Omezení systému
Pokud jste vybrali typ souhlasu Nepovinné zaškrtávátko, uvidíte v této sekci seznam funkcí, které má systém omezit, dokud zákazník neudělí souhlas s textem, který jste nadefinovali (např. dokud neodsouhlasí nahrávání jeho návštěvy, nebude aktivován script pro smartlook).
Pokud jste v typu souhlasu vybrali "opt-in", vyberete zde, jaké funkce má mít eshop vypnuté, dokud zákazník daný souhlas neodsouhlasí. (Např. script odesílající data reklamnímu systému AdWords a Sklik nebude v eshopu přítomen, dokud zákazník nezaškrtne souhlas "Souhlasím s cílením pomocí personalizované reklamy")
Pokud jste v typu souhlasu vybrali "opt-out", vyberete zde, jaké funkce má mít eshop zapnuté, dokud zákazník daný souhlas neudělí. (Např. script zasílající osobní údaje zákazníka bude aktivní, pokud zákazník nezaškrkne zaškrtávátko s textem "Nesouhlasím se zasláním dotazníku spokojenosti v rámci programu Ověřeno zákazníky, který pomáhá zlepšovat vaše služby.")
Historie udělených souhlasů - kdo a kdy jaký souhlas udělil
Jako správci jste povinni prokázat, jaké souhlasy zákazník odsouhlasil. Toto nově zjistíte na třech místech
-
V modulu souhlasů (horní menu - nastavení - souhlasy)
V tomto modulu najdete tabulku nazvanou "Historie souhlasů". V tabulce najdete datum a čas, znění uděleného nebo zrušeného souhlasu, IP adresu ze které k odsouhlasení došlo, URL adresu (na které byl souhlas udělen), uživatele, email, telefon a objednávku.
Uživatel - nemusí zde být vždy uveden, neboť uživatel nemusel být v době udělení souhlasu přihlášen.
Email a telefon - často se stává, že zákazník udělí souhlas např. ve formuláři "více informací obratem" a není u toho přihlášen. V tomto případě zde bude uveden email a telefon který zákazník uvedl právě ve formuláři, ve kterém souhlas udělil.
Objednávka - je zde uvedena pouze pokud zákazník, který souhlas udělil, zároveň provedl objednávku. Platí to i pro případ, kdy nepřihlášený zákazník udělil souhlas v liště a poté udělal objednávku. -
V detailu uživatele
V detailu uživatele, na záložce "souhlasy" uvidíte stejné informace jako v modulu souhlasů (viz předchozí bod), ale vyfiltrované pouze pro tohoto uživatele. - V detailu objednávky
V detailu objednávky (konkrétně v sekci historie) je při vytvoření objednávky zaznamenán seznam všech sohlasů, které zákazník odsouhlasil při vytvoření objednávky, nebo v liště. V případě, že k objednávce nebude vázán žádný uživatel (např. prote, že byl již smazán), můžete takto případné kontrole prokázat, jaké souhlasy byly v době přijetí objednávky odsouhlaseny.
Jak nepoužívat modul "nadbytečně"
Jeden z právních titulů (důvodů, proč můžete osobní údaje zpracovávat) je tzv. oprávněný zájem.
Jedná se o nejvolněji nadefinovaný pojem - je např. sledování zákazníků pomocí google analytics oprávněným zájmem? (jak jinak chcete vylepšovat eshop). A co předání emailu zákazníka službě Zboží.cz, aby mohl napsat recenzí eshopu? Co je pevně dané jsou definice, za jakých podmínek se o oprávněný zájem nejedná:
- Váš zájem nesmí převážit nad zájmy nebo základními právy subjektu údajů (zákazníka)
Je tedy na Vás a Vaší právní analýze, jaké služby a v jakém rozsahu můžete používat bez souhasu zákazníka
Posílání newsletterů nevyžaduje souhlas! pokud....
Dle vyjádření Úřadu pro ochranu osobních údajů můžete zákazníkovi (po tom, co u vás nakoupí) zasílat newslettery a obchodní nabídky! V pokladně tak vlastně nemusí být vůbec zaškrtávátko "souhlasím se zasíláním newsletterů" ani žádný jiný souhlas. Musíte však dodržet tyto podmínky:
- V newsletteru musí být možnost odhlášení
- Reklama nesmí být cílená na základě profilování (profilování je způsob, kdy nějakým automatickým algoritmem ziskáváte z dat která máte, jiná data). Nemůžete tak například cílit newsletter podle pohlaví tím, že budete z příjmení zákazníka zjišťovat, zda končí na "ová".
Počet souhlasů
Myslete na to, že na zákazníka nesmí při vstupu na stránku vyskočit 20 různých souhlasů a informací, které po něm chcete odsouhlasit.
- Žádný zákazník se nebude tolika texty probírat
- Na display mobilního zařízení zabere velké množství souhlasů celou obrazovku.
- Zákazník bude zmaten a půjde pryč!
Aktivní jednání
Nezapomeňte, že pokud v textu neuvedete přesnou akci, ale jen obecný souhlas, musí se jednat o aktivní souhlas pomocí nepovinného zaškrtávátka.
příklad 1: Kliknutím na "Rozumím" souhlasíte se zpracováním osobních údajů - v tomto případě nepotřebujete zaškrtávátko.
příklad 2: Souhlasím se zpracováním osobních údajů kvůli cílení reklamy - v tomto případě musí být před textem zaškrtávátko. (není uvedeno, jakou akcí by zákazník souhlas odsouhlasil)
Srozumitelnost
Nepište dlouhá "právní souvětí". Dle nařízení musí být text souhlasu (či informace) srozumitelný. Zákazník nebude klikat na nic, čemu nerozumí.
Dobře:
Měříme, analyzujeme a vylepšujeme náš eshop. K tomu potřebujeme ukládat a zpacovávat cookies a vaše další údaje. Jak přesně a proč to děláme najdete zde.
[x] Zaškrknutím tohoto pole nám dáte souhlas i k používání cílené reklamy
Špatně:
Na základě zákona 101/2000 sb. o ochraně osobních údajů a na základě některých změn zákonů v platném znění jsme povinni vás informovat o tom, že dle zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů budeme ukládat Vaše osobní údaje. K tomu používáme cookies. Pokud souhlasíte s tím, abychom vám posílali reklamní sdělení a cílili na vás další reklamy, odouhlasne prosím tento text zaškrknutím pole vlevo.
Zpracovatelé
Jeden z hlavních důvodů, proč musíte od uživatele vyžadovat aktivní souhlas je předávání osobních údajů zákazníka třetím stranám (Google, Heureka, Zboží, Facebook....). Podle některých služeb však není souhlas zákazníka potřeba, pokud s danou službou uzavřete zpracovatelskou smlouvu. Pro ověření, zda potřebujete aktivní souhlas kontaktujte konkrétní službu.
Závěr
Znova připomínáme, že výklad mnohých částí GDPR (např. přesná specifikace oprávněného zájmu) není zcela jasný a závisí na konkrétní situaci, na Vašem způsobu zpracování údajů a dalších faktorech Tento článek je tedy pouze naším pohledem na problematiku GDPR souhlasů a v žádném případě neslouží jako právní výklad nebo záruka správného postupu. O přesném postupu se poraďte se s vým GDPR konzultantem nebo právníkem.
Jaká verze eshopu podporuje modul souhlasů?
Funkce popsané v tomto dokumentu jsou k dispozici od verze 3.18.06
Další zdroje
Zboží.cz od ledna 2021 doporučuje používat souhlas typu opt-out. Více v článku Získejte více hodnocení vašeho eshopu.