Vyriešte navždy GDPR pre eshop či webové stránky
- Datum: 11.06.2018
- Autor: František Nonnemann
GDPR poradňa na tému internetových prezentácií a elektronických obchodov.
GDPR v praxi pre eshop a web - základné povinnosti
Ak prevádzkujete webové stránky alebo eshop a ponúkate služby, bez ohľadu na to, či za úhradu alebo bezplatne, obyvateľom Európskej únie, z podstaty veci spracovávate ich osobné údaje.
Preto sa aj pri tejto činnosti musíte riadiť všeobecným nariadením o ochrane osobných údajov (GDPR) a byť schopní doložiť svoj súlad s jeho pravidlami.
Pritom nie je rozhodujúce, či vediete evidenciu plne identifikovaných zákazníkov, alebo využívate IP adresy či iné sieťové identifikátory pre ochranu funkčnosti a bezpečnosti svojej webovej stránky alebo pre meranie návštevnosti.
Pre doloženie súladu webových stránok s GDPR je nevyhnutné posúdiť predovšetkým nasledujúce:
Účely spracovania
To znamená doložiť, na aké účely prevádzkovateľ webu spracováva osobné údaje návštevníkov.
Typickými účelmi môže byť evidencia používateľov, resp. zákazníkov, kontakty na webe, poskytovanie personalizovaných služieb, priamy marketing, remarketing, newsleter, formuláre pre zber dát, ochrana práv prevádzkovateľa v prípade sporu s užívateľom, meranie návštevnosti a využívania jednotlivých prvkov na danej stránke, zaistenie informačnej bezpečnosti a ďalšie.
Zákonnosť spracovania
Pre každé spracovanie osobných údajov musí prevádzkovateľ webu disponovať dostatočným právnym titulom.
Tými najčastejšími budú plnenia zmluvy s klientom, ochrana oprávnených záujmov prevádzkovateľa webu a v niektorých prípadoch, typicky pri profilovaní alebo pokročilom marketingu, potom súhlas.
GDPR kladie na niektoré právne tituly zvýšené nároky. Pri využití oprávneného záujmu, napr. pri spracovaní dát pre zaistenie informačnej bezpečnosti a funkčnosti webu, musí správca posúdiť vzťah svojho oprávneného záujmu a jeho váhu s prihliadnutím na súvisiaci zásah do práv dotknutých osôb, teda vykonať a najlepšie dokumentovať výsledok tzv. balančného testu.
Súhlas so spracovaním údajov potom už nemôže byť skrytý v obchodných podmienkach, ani získavaný pomocou vopred zaškrtnutých checkboxov.
Informačná povinnosť
Jedna z noviniek, ktorá čaká nielen na prevádzkovateľa webových stránok
Rovnako ako ďalší prevádzkovatelia údajov, musí plniť informačnú povinnosť o tom, aké údaje zhromažďuje, za akým účelom, na základe akého titulu, aké sú práva dotknutých osôb atď.
Cookies
Dôležitou témou v súvislosti s webovými stránkami je otázka cookies.
Pomocou týchto nástrojov prevádzkovateľ webu môže získavať aj údaje týkajúce sa konkrétnych či identifikovateľných fyzických osôb, inak povedané osobné údaje, a to či už vo vzťahu k danému webu, alebo aj informácie o chovaní užívateľov inde na internete.
Podľa zákona je nutné užívateľa o všetkých používaných cookies informovať, pričom o u tých, ktoré nie sú nutné pre funkčnosť webových stránok či poskytnutie služby vyžiadané užívateľom, platí tzv. režim opt-out. Ak používateľ vyjadrí svoj nesúhlas, prevádzkovateľ webu nemôže tieto cookies v jeho prípade využívať.
Priebežne dokumentujte súlad činnosti s GDPR
Jednou zo zásadných noviniek, ktorú GDPR prináša, je ďaleko väčší dôraz na povinnosť prevádzkovateľa údajov, v tomto prípade prevádzkovateľa webu, aby priebežne dokumentoval súlad svojej činnosti s právnym rámcom.
GDPR preto prináša niekoľko nových nástrojov, ako napríklad povinnosť viesť záznamy o činnostiach spracovania, pri príprave nových spracovaní osobných údajov alebo významnej zmene tých existujúcich povinnosť vykonať posúdenie vplyvu na ochranu osobných údajov, riadiť bezpečnostné incidenty a v niektorých prípadoch porušenia bezpečnosti osobných údajov oznamovať Úradu na ochranu osobných údajov, či užívateľom ako takým.
Vymenujte Zodpovednú osobu na ochranu osobných údajov
Najmä vtedy, ak sú osobné údaje užívateľov webu spracovávané intenzívnym spôsobom či vo veľkom rozsahu, môže byť prevádzkovateľ webu povinný vymenovať poverenca pre ochranu osobných údajov, aj v prípade menej invazívneho spracovania to potom môže byť pre prevádzkovateľa užitočné. O tom, prečo nie je dobré ignorovať pozíciu GDPR zodpovednej osoby sme písali tu
Najtransparentnejší spôsobom, ako preukázať kvalifikáciu je kurz, ktorý spĺňa európske kritériá pre výkon tejto funkcie, napr .: podľa e-CF (European Competence Framework).
Zodpovednou osobou (z originálneho názvu Data Protection Officer, resp. DPO) môže byť vymenovaná len taká osoba, ktorá má dostatočné znalosti práva i praxe spracovanie osobných údajov a vhodná je aj znalosť aspoň základov informačnej bezpečnosti a moderných nástrojov na spracovanie osobných údajov.
Odporúčanie vzišlo oi. aj z Európskeho výboru pre ochranu osobných údajov (predtým Pracovná skupina WP29) Viac nájdete v článk: Akú kvalifikáciu by mala mať zodpovedná osoba
Všeobecnou pomôckou nielen pre zodpovednú osobu, ale pre každého, kto má v organizácii na starosti agendu spracovania osobných údajov, potom je potom GDPR kniha: Praktická príručka Zodpovednej osoby pre ochranu osobných údajov.
GDPR Audit Tool: Posúdenie súladu aktivít s GDPR
GDPR Audit Tool možno použiť aj pre prevádzkovateľov webových stránok, pretože sledované oblasti sú pri každom spracovaní v zásade rovnaké a líšia sa len technické aspekty spracovania.
Pri posudzovaní súladu činnosti organizácie s GDPR a identifikácii slabých miest možno využiť audit nástroj, ktorý vám ukáže kritické miesta, mieru závažnosti a odporúčania pre implementáciu.
Implementácia GDPR opatrení
Po nájdení slabých miest je ako ďalší krok nevyhnutné vykonať detailnú analýzu informačných tokov, pokryť procesy spracovania aspoň základných vnútorným predpisom.
Ďalej revidovať používané súhlasy, pripraviť sa na uplatnenie práv užívateľov a posúdiť zmluvy s dodávateľmi, ktorí pre správcu časť spracovania osobných údajov zabezpečujú, ako je napr. externý prevádzkovateľ webových stránok či poskytovateľ online reklamného systému.
Je to rad povinností, ktoré si však zvládnete osvojiť v implementačnom workshope, ktorý je vedený GDPR Lead Audítorom a súdnym znalcom v odbore.
Pre uľahčenie všetkých týchto krokov, od zmapovania datasetov a analýzy rizík, až po vydanie vnútorných predpisov, úpravu zmlúv s dodávateľmi či prípravu šablón pre komunikáciu s dotknutými osobami, môžete využiť GDPR Dokumentáciu. Sada týchto šablón, vzorových formulárov, interných smerníc a zmlúv je z 80% predvyplnená.
Na výber sú dve verzie: Professional a Business. Prvý z nich postačí pre organizácie, ktoré vykonávajú spracovanie osobných údajov len v menšom rozsahu, nie ako hlavná súčasť svojej činnosti. Variant Business potom pomôže vyriešiť požiadavky aj u organizácií, pre ktoré je spracovanie osobných údajov hlavnou činnosťou.