Nařízení o ochraně osobních údajů neboli GDPR sice vstoupí v platnost až 25. 5., v Shoptetu ale nezahálíme a připravujeme se na něj už teď. Co všechno už jsme udělali a co nás ještě čeká? A hlavně – co čeká vás, majitele e-shopů?
V Shoptetu jsme v první řadě důkladně zmapovali osobní údaje, které zpracováváme, i samotné procesy, při kterých ke zpracování dochází. Shoptet všechny osobní údaje zpracovává pro jasně stanovený účel při dodržení zásady zákonnosti, tj. každý osobní údaj se zpracovává z důvodu, který je stanoven v GDPR.
Provedli jsme jak analýzu osobních údajů, které máme uložené na svých serverech a v papírových dokumentech, tak i těch, které pro nás zpracovávají třetí osoby, nebo je mají uložené v cloudu.
Připravujeme změny ve své informační politice vůči subjektům osobních údajů v souladu s GDPR. Zavádíme postupy pro výkon nových práv jako je právo na výmaz nebo právo na přenositelnost. A pracujeme i na zavedení technických a organizačních opatření tak, aby byla v souladu s GDPR. Konkrétně jde například o revize interních směrnic, školení, jak nakládat s osobními údaji nebo například bezpečnostní opatření na ochranu IT systémů.
Jak už jsme několikrát psali, naše systémy Shoptet budou na GDPR připravené. Není to ale tak snadné jako například u EET, kde byly úpravy hlavně na nás. Tentokrát je potřeba se připravit na to, že většinu povinností týkajících se GDPR musejí obstarat samotní eshopaři.
Provozovatelé e-shopů musí evidovat smlouvy se zákazníky, aby byli schopni doložit zákonný titul zpracování osobních údajů svých zákazníků. Musí taky vypracovat a evidovat jejich souhlasy, pokud budou zpracovávat osobní údaje na základě tohoto právního titulu.
Eshopaři budou muset zákazníky informovat mimo jiné o účelech zpracování a právních důvodech zpracovávání, o případných příjemcích údajů nebo aspoň jejich kategorií, době uchovávání a o právech, které subjekt údajů podle GDPR má. Budou taky muset přijmout technická a organizační opatření k zabezpečení osobních údajů svých zákazníků a nastavit proces hlášení porušení zabezpečení Úřadu pro ochranu osobních údajů.
Pokud osobní údaje zákazníků e-shopů zpracovávají třetí osoby, musí eshopaři s těmito zpracovateli uzavřít zpracovatelskou smlouvu. Zmapování zpracovávaných osobních údajů nebudou muset eshopaři provést jenom v případě osobních údajů svých zákazníků, ale i osobních údajů zaměstnanců a dodavatelů.
GDPR je pro spoustu majitelů e-shopů velkým strašákem. Koluje o něm totiž spousta dezinformací. I proto pro vás připravujeme články i šikovný checklist, který vám s ním pomůže. A pokud se na něj chcete připravit opravdu od podlahy, můžete vyrazit na workshop GDPR pro e-shopy.
Tak úplně mi v tom popisu chybí příslib, že shoptet nabídne smlouvy, kde bude vůči provozovatelům eshopů vystupovat jako zpracovatel, což je úplný základ
No vidite a misto toho uz tu smlouvu rovnou pripravili :) https://www.shoptet.cz/podminky-ochrany-osobnich-udaju/
Dobrý den, takže si to můžu okopírovat na svoje stránky??? A chtěla jsem se zeptat na níže okopírovaný odstavec :
Subdodavatelé jsou prověřeni z hlediska bezpečného zpracování osobních údajů. Poskytovatel a subdodavatel webhostingu uzavřeli smlouvu o zpracování osobních údajů, dle které subdodavatel odpovídá za řádně zabezpečení fyzického, hardwarového i softwarového perimetru, a tedy nese vůči uživateli přímou odpovědnost za jakýkoli únik či narušení osobních údajů.
Mám od Vás pronajatý e-shop a webhosting web4you – ještě to není spuštěný. Budu muset v rámci tohoto s Vámi uzavírat smlouvu o zpracování údajů, nebo je to v rámci obchodních podmínek????
Děkuji
Tak já to asi pochopila špatně. První část je o zákazníkovi a mě (mém e-shopu) a druhá část je rovnou smlouva mezi mnou jako správcem a Vámi jako zpracovatelem??? A pokud ano, tak tuto smlouvu musím uzavřít ještě s Web4you – poskytovatelem domény??? Děkuji
Dobrý den Lenko, musíte uzavřít smlouvu s každým, komu dáváte údaje svých klientů. Tj. s webhostingem i s námi. My už jsme zpracovatelskou smlouvu udělali, takže stačí, když si ji vytisknete a uložíte do šanonu :-) Najdete ji tady: https://www.shoptet.cz/podminky-ochrany-osobnich-udaju/ Hezký den!
Dobrý den,
prosím, proč je ve Vaší zpracovatelské smlouvě lhůta archivace údajů 15 let? Pokud se nepletu, na úč. doklady je zákonná lhůta 5 let.
Kdy prosím plánujete aplikovat GDPR do frontendů eshopu? Tedy do procesu registrace zákazníka + zpětný souhlas s registrací a emailingem?
Děkuji za odpoveď,
Jiří
Dobrý den Jiří,
co se týká archivace údajů, data musí být uchovávána nejen po dobu existence smlouvy, ale i po jejím ukončení. A to až na dobu dalších 15 let, což je doba opřená o zákonnou promlčecí lhůtu pro náhradu škody.
Co se týká GDPR a zpětného souhlasu s registací a emailingem, tedy double-opt in souhlasem. Není na to jednotný názor. Někteří právnici ho doporučují, podle jiných je to zbytečné. My jsme to konzultovali s našimi právníky, se kterými řešíme celé GDPR, a ti nám potvrdili, že to opravdu není potřeba, takže zatím nic takového neplánujeme.
Mějte se hezky,
Iva