Co je nutné dělat?
Nyní se již dostáváme k tomu, co je potřeba konkrétně udělat, aby bylo vše v souladu s GDPR nařízením.
Obecně není nařízení pro malé podnikatele a běžné stránky nic nového - dosavadní úprava byla daná zákonem na ochranu osobních údajů. Různá upozornění, informační povinnost, apod. se dá podřadit pod oprávněný zájem a smluvní vztah, nebo se odvozuje z textů na stránce - tedy následující řádky jsou spíše pro ty, kdo tomu nevěří a chtějí provádět úpravy na stránce i přesto, že to není ve většině případů potřeba.
GDPR cílí hlavně na velké firmy, kde může dojít k masivnímu úniku osobních údajů, až soudy pak svými rozhodnutími řeknou, co je a není nutné dělat - také není nutné se obávat velkých postihů - nařízení se nebude vynucovat ze dne na den a pokud se náhodou nějaký úřad pustí do kontroly, dá vám dostatek času na zjednání nápravy.
Zabezpečte data
Ještě než začnete dělat cokoliv jiného, promyslete si, jak data vlastně uchováváte a kdo k nim má přístup. To je vlastně základní důvod, proč nařízení vzniklo.
Data uživatelů musí být zabezpečená - mluvíme zde o přiměřeném zabezpečení, které znemožní nepovolaným osobám se k datům dostat a nějak je použít - zde by měl převládnout zdravý rozum.
Dokumenty nebudete mít jen tak poházené po garáži, a např. heslo k počítači (ano, počítač bude zaheslovaný) nebudete mít napsané na monitoru.
Také byste přece nechtěli, aby byl váš telefon, PIN kód, číslo karty, apod. k nalezení např. v jídelně vaší firmy na stole jako noviny ke čtení.
Jaká data sbíráte?
Následně je nutné si uvědomit, jaká data sbíráte - nyní se již budeme bavit konkrétně o webových stránkách vytvořených v rámci Webnode.
Systém umožňuje tvorbu klasické webové prezentace, na které je pak možné umístit např. formuláře pro zaslání nabídky nebo různé kontaktní formuláře.
Dále je možné vytvořit eshop, který bude sbírat data v průběhu objednávky za účelem vyřízení dané objednávky.
Nehledě na typ stránky pak vždy bude web ukládat Cookies do prohlížeče a také je sbírat - min. pro statistické účely (Google Analytics, Webnode statistiky) a pro zlepšení pohodlí uživatelů (aby se celý obsah nenahrával pokaždé znovu, u eshopu se vytváří uživatelské účty, apod.).
Na stránce můžete mít také např. tlačítka pro sdílení obsahu na sociálních sítích, nebo podobné (FB like).
Také můžete sbírat údaje v rámci diskusí.
S různými službami třetích stran pak bude možné např. i vkládat fotografie a různé dokumenty.
Tímto výčet samozřejmě nekončí, sbírání dat může probíhat cíleně, na pozadí stránky i při používání služeb různých třetích stran.
Za jakým účelem data sbíráte?
Webnode systémy jsou určeny spíše pro začátečníky a středně pokročilé uživatele, kteří si tvoří stránky o jejich firmě, dělají si blog nebo prodávají ručně dělané výrobky.
Pro sběr údajů pro rozsáhlé marketingové kampaně je potřeba používat služby třetích stran, které pak soulad s GDPR řeší ze své strany.
Sběr dat je pak možný provádět za různými účely, v prostředí Webnode se setkáte se dvěma hlavními - oprávněný zájem a sběr dat na základě souhlasu uživatele.
Oprávněný zájem vyjadřuje, že data použijete na to, na co jsou primárně určená - nejčastější je stav, kdy eshop sbírá jméno, adresu, email a telefon, aby bylo následně možné vyřídit objednávku. Zde sbíráte údaje za účelem splnění smluvní povinnosti.
Jedná se však např. i o kontaktní formuláře - tím, že uživatel své data zadá a odešle, vyjadřuje svůj souhlas k jejich využití za účelem kontaktu - jinak by to ani nešlo a nebylo by logické po něm chtít ještě souhlas s využitím těchto údajů - pokud nesouhlasí, prostě údaje nepošle a vy jej nebudete kontaktovat. To samé platí pro formuláře na odběr newsletterů, poptávkové formuláře, přihlášky, apod.
Souhlas uživatele se pak vyžaduje tam, kde není jednoznačně jasné, k čemu budou data využita - např. pokud budete přeprodávat data z kontaktního formuláře třetím osobám nebo je využívat jiným způsobem, než za účelem kontaktování uživatele (např. profilování osob), bude souhlas již nutný.
Pro udělení souhlasu se používá nejčastěji zaškrtávací políčko nebo výběr ze dvou možností - tento souhlas se dá také kdykoliv dodatečně odvolat.
Zároveň nesmí být souhlas vynucován, musí být dobrovolný - hlavně u eshopů jím nesmíte podmínit dokončení objednávky.
Využíváte služeb zpracovatelů dat?
Pokud nějakým způsobem sbíráte a zpracováváte data, stává se z Vás automaticky Správce údajů. Není nutné se nikde speciálně nahlašovat (tedy v běžných případech stránek na Webnode), je však potřeba zajistit soulad s GDPR.
Pak také můžete využívat služeb Zpracovatele údajů - to jsou osoby, které zpracovávají data za Vás - s takovými osobami musíte mít ve většině případů uzavřenou i Zpracovatelskou smlouvu. Tuto smlouvu zde rozebírat nebudeme, zpracovatelé by ji pro Vás měli mít vždy připravenou - jedná se např. o účetní, marketingové agentury, apod. - je ovšem nutné o tom případně informovat uživatele.
Webnode vaše data a data uživatelů také určitým způsobem zpracovává, bližší info a zpracovatelskou smlouvu naleznete v Pravidlech ochrany soukromí na Webnode.
Máte splněnou informační povinnost?
Zde se již dostáváme na to hlavní, co vlastně musíte ve většině případů udělat, tedy fyzicky přidat na Vaši stránku. Podle GDPR je potřeba uživatele informovat, jaká data o nich sbíráte a k jakému účelu je využíváte. Používají se zde Pravidla pro ochranu soukromí, která musí být umístěné přímo na daném webu.
Tato informační povinnost není v nařízení explicitně vyjádřená, nařízení nepoužívá konkrétní pojmy, ovšem pro klid duše by bylo vhodné uživatele informovat o všem, co se na webu děje a jaká data sbíráte.
Návrh pravidel použitelných pro Webnode najdete zde.
Nejde pak jen o případy, kdy si vyžadujete souhlas se zpracováním os. údajů - uživatele je vhodné informovat, že jejich údaje sbíráte např. za účelem, který je stanovený ve formulářích. Také budete sbírat jejich Cookies, posílat Soubory logu a v některých případech budete předávat jejich údaje i třetím stranám.
Pravidla pro ochranu soukromí pak není možné přidat mezi obchodní podmínky eshopu, musí být na samostatné stránce nebo dokumentu.
Zde je vhodné použít i vyskakovací okno, které uživatele upozorní na Cookies a vlastně při pohybu na dané stránce vyjadřuje souhlas s Podmínkami zpracování osobních údajů - daný prvek je možné najít ve Webnode v sekci Nastavení a Nastavení webu.
Uchováváte jen potřebná data?
Už tedy víte, kde data máte a kdo k nim má přístup. Rozumným způsobem máte data zabezpečená.
Také víte, jaký typ dat sbíráte a řádně o tom uživatele informujete.
Tím to však nekončí - vždy je potřeba i myslet na to, že pokud již data nepotřebujete, je potřeba je smazat, i to je účel a základní princip GDPR nařízení.