Personal data protection (GDPR)

Základné informácie o GDPR

• GDPR (angl. General Data Protection Regulation) alebo všeobecné nariadenie o ochrane osobných údajov
• platnosť od 25.5.2018 na území celej Európskej únie
• vzťahuje sa na všetky podniky a subjekty v EU, ktoré spracovávajú a uchovávajú osobné údaje

GDPR pozostáva z právomocí návštevníka/užívateľa/zákazníka (napr.: Vašich stránok) a verejne dostupných informácii, na aký účel a komu budú získané osobné údaje poskytnuté (spracovávatelia) ako aj vypracovanie jednotlivých spracovateľských zmlúv so zainteresovanými tretími stranami. Taktiež z adekvátnej technickej a organizačnej ochrany proti rizikám. Evidencia získaného súhlasu na spracovanie osobných údajov a možnosti zmazať možné osobné údaje (tzv. právo na zabudnutie).

Ako na GDPR?

1. Nastaviť systém WEXBO^® podľa smernice GDPR.
2. Podpísať/odsúhlasiť spracovateľské zmluvy.
3. Vypracovať podmienky na ochranu osobných údajov a zverejniť na stránkach.
4. Dodržiavať zásady GDPR.

1.) GDPR v systéme WEXBO^®

• Nastavenie systému WEXBO^® v súlade so smernicou GDPR

  Podľa pravidiel GDPR musí byť získanie každého osobného údaju podmienené súhlasom konkrétnej osoby. Nastavenie súhlasov so spracovaním osobných údajov nastavujete následovne:

  • Formuláre - V sekcii Add-ons / Plugins / Forms v úprave konkrétneho formulára, ktorý obsahuje polia pre zadanie citlivých alebo osobných údajov (napr. email), aktivujte položku "Consent to the processing of personal data". Súhlas sa bude zobrazovať nad tlačítkom potvrdenia formulára.
  • Komentáre - V sekcii Add-ons / Plugins / Comments aktivujte položku "Consent to the processing of personal data".
  • Registrácia - V sekcii Add-ons / Widgets / Login v položke "Structure of the registration form" aktivujte možnosť consent to the processing of personal data.
  • Newsletter - V sekcii Add-ons / Widgets / Newsletter po kliknutí na tlačítko   aktivujte položku "Consent to the processing of personal data".
  • Objednávka - V sekcii Settings / Eshop v položke "Structure of the cart" aktivujte možnosť consent to the processing of personal data, ktorá zobrazí súhlas v poslednom kroku košíku. Podrobné informácie nájdete v nápovede položky.
  • Meranie konverzii - V sekcii Settings / Eshop v položke "Structure of the cart" aktivujte možnosť consent to conversion measurement, ktorá v košíku zobrazí súhlas výhradne pre merania konverzií. Následne v sekcii Add-ons / Plugins / Conversions measuring v úprave požadovaných konverzií (nap. Heureka, Zboží, ...), ktoré môžu spracovávať osobné údaje aktivujte položku "Show only with the consent". Podrobné informácie nájdete v nápovede položky.

  Text podmienok nastavujete v sekcii Settings / Eshop v položke "Processing of personal data".

  Ak máte zamestnancov alebo administrátorov, s prístupom do administrácie je nutné im nastaviť prístup len do sekcii nevyhnutných pre ich činnosť. Nastavenie právomocí skupiny užívateľov (zamestnancov) - informácie o nastavení právomocí nájdete v nápovede Multiple administrators and powers. V prípade skupiny, ktorá nemusí mať prístup k žiadnym osobným údajom je možné ich nezobrazovať - nastavujete v sekcii Users / Groups v úprave konkrétnej skupiny v položke "Hidden personal information".

• Evidencia súhlasov pre podmienky na ochranu osobných údajov v systéme WEXBO^®

  Pre prípad kontroly je nutné viesť evidenciu súhlasov so spracovaním osobných údajov prípadne ich exportu. V administrácii je tak možné sledovať štatistiky následovne:

  • evidencia súhlasu so spracovaním osobných údajov sa zaznamenáva v sekcii Statistics / History pod filtrom confirmation of consent a cancellation of consent.
  • evidencia exportu položiek a databáz z administrácie sa zaznamenáva v sekcii Statistics / History pod filtrom export of items.

• Odstránenie osobných údajov v systéme WEXBO^®

  Medzi práva návštevníka/užívateľa/zákazníka patrí aj právo na vymazanie jeho osobných údajov, ktoré zadal na Vašej stránke. V administrácii je tak možné osobné údaje vymazať následovne:

  • Odoslaný formulár odstránite v sekcii Add-ons / Plugins / Forms po kliknutí na tlačítko  .
  • Odoslaný komentár odstránite v sekcii Users / Comments
  • Registrovaný užívateľ odstránite v sekcii Users / Users. Prípadne v úprave užívateľa po kliknutí na tlačítko 1281 a vybraní možnosti Clear personal data je možné zmazať všetky osobné údaje užívateľa.
  • Prihlásený do newsletteru:
    • odstránite v sekcii Users / Newsletter pod filtrom newsletter.
    • odhlásenie priamo na stránkach v module newsletter, po zadaní emailu a kliknutí na tlačítko "Odhlásiť".
    • možnosť odhlásiť sa z newsletteru sa automaticky vkladá do emailovej správy každého newsletteru.
  • Odoslaná objednávka a súvisiace doklady je možné odstrániť v sekcii Eshop / Orders. A to jednotlivé objednávky v stave "canceled" (neobsahujúce žiadny daňový doklad, viac informácii v nápovede danej sekcie  ), prípadne je možné v úprave objednávky po kliknutí na tlačítko   a vybraní možnosti Clear personal data. Budú zmazané z objednávky a pripojených dokladov (aj PDF dokumenty pre tlač).
    
    Nie ste povinný zmazať osobné údaje potrebné na zákonne povinnosti (napr.: vedenie účtovníctva) a prípadné budúce spory.

2.) Spracovateľské zmluvy

Zmluvu uzatvárate písomne alebo elektronicky s treťou stranou (spracovávateľom), ktorá spracováva Vami získané osobné údaje. Zmluvou sa rozumie aj odsúhlasenie online formulára (napr.: tak ako v prípade odsúhlasenia všeobecných obchodných podmienok). Odporúčame si prípadné odsúhlasené podmienky od všetkých spracovávateľov vytlačiť a archivovať ako bežné zmluvy.

Nižšie uvádzame zoznam niektorých spracovateľských zmlúv firiem, služieb a subjektov, ktoré sú priamo alebo nepriamo prepojené so systémom WEXBO^®. Zoznam je uvedený ako príklad a môže sa časom meniť. Neručíme za jeho aktuálnosť.

• Zoznam spracovateľských zmlúv
  • WEXBO (Ochrana osobných údajov)
  • Google (Ads Data Processing Terms)
  • Google Analytics, Google AdWords (Data Processing Amendment)
  • Sklik (Smluvní podmínky pro inzerenty)
  • Facebook (Zásady využívania údajov)
  • Twitter (Privacy Policy)
  • Linkedin (Data Processing Agreement)
  • Instagram (Zásady používania údajov)
  • Pinterest (Pravidlá ochrany súkromia)
  • Disqus (Privacy Policy)
  • Livefyre (Terms of Use)
  • MailChimp (Privacy Policy)
  • Aukro (Pravidla ochrany osobních údajů)
  • Ďalšie, ktoré možno budete potrebovať...
    • Platobné brány
    • Zásielkové služby
    • Porovnávače cien produktov
    • Účtovné systémy
    • LiveChat systémy
    • Partnerské programy (affiliate)

3.) Podmienky ochrany osobných údajov

• Vzor: Podmienky na ochranu osobných údajov (GDPR) na stiahnutie

  Je nutné vytvoriť podmienky na ochranu osobných údajov a zverejniť ich na Vašich stránkach (podobne ako všeobecné obchodné podmienky). Text podmienok zobrazujúci sa pri súhlasoch nastavujete v sekcii Settings / Eshop v položke "Processing of personal data".

  Môžete si stiahnuť vzorový dokument, ktorý po úprave vložíte na svoje stránky (podobne ako všeobecné obchodné podmienky.)

  • SK zdroj: banos.sk
  • SK zdroj: povinnostieshopu.sk (pripravuje sa...)
  • CZ zdroj: zoou.cz
  • CZ zdroj: e-legal.cz

  Jedná sa o vzorový dokument a neručíme za jeho aktuálnosť. Podmienky sa môžu pre rôzne subjekty líšiť.

4.) Dodržiavanie zásad v súlade so smernicou GDPR

Znamená, že v adekvátnej miere technicky aj organizačne zabezpečíte ochranu získaných osobných údajov pred odcudzením alebo jeho zneužitím, a to online ale aj fyzicky napríklad v kancelárii. To okrem iného znamená, zabezpečiť adekvátnou ochranou zariadenia (PC, mobil, tablet,...), kancelárie pred vstupom neoprávnených osôb, uzamknutie dokumentov a podobne. Minimalizáciou rozsahu získaných osobných údajov, ktoré sú potrebné pre daný účel. Uchovanie získaných údajov len na stanovenú dobu.

Časté otázky na GDPR

• Užitočné zdroje informácii o GDPR
  • SK Úrad na ochranu osobných údajov (ÚOOÚ)
  • CZ Úrad na ochranu osobných údajov (ÚOOÚ)
  • CZ ÚOOÚ v skratke
  • EU Všeobecné nariadenie GDPR
  • SK Facebook skupina
  • CZ Facebook skupina
  • CZ Facebook skupina
  • Twitter o GDPR
  • GDPR.cz
  • CZ Právny špecialista na GDPR
  • SK/CZ/EU Právny špecialista na GDPR
  • SK VISIBILITY GDPR
  • CZ MASTER GDPR
  • VIDEO: GDPR selským rozumem
• Čo je osobný údaj?

  Akákoľvek informácia, ktorá sa vzťahuje na identifikáciu konkrétnej fyzickej osoby. Dáta sa osobnými údajmi stávajú len vtedy, ak je možné ich priradiť ku konkrétnej osobe. Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

  • Ak je možné údaj priradiť konkrétnej osobe tak za osobný údaj sa môže považovať napr.: meno, priezvisko, adresa, email, tel. číslo, IP adresa, zdroj návštevy, genetické a biometrické údaje, cookie a iné...
• Štruktúra správy GDPR
  • návštevník/užívateľ/zákazník - fyzická osoba, ktorej sú spracovávané a ukladané osobné údaje
  • správca - vy, Váš web alebo eshop
  • spracovávateľ - všetky tretie strany, ktorým poskytujete získané osobné údaje návštevníka/užívateľa/zákazníka (napr.: sociálne site, dopravca, platobné brány, externé služby na účtovníctvo, marketing a analytické nástroje, ale aj naša spoločnosť WEXBO s.r.o.).
  • DPO - poverená osoba pre ochranu osobných údajov. Vy alebo Váš zamestnanec, ktorého hlavnou úlohou je monitorovanie v súlade so spracovaním osobných údajov s povinnosťami vyplývajúcimi z nariadenia, vykonávanie interných auditov, školenia pracovníkov a celkové riadenie agendy internej ochrany dát.

  Práva návštevníka/užívateľa/zákazníka

  • právo na informácie o používaní GDPR na stránkach správcu
  • právo na výmaz osobných údajov (napr.: registrácia, košík, nevybavená objednávka, newsletter, kontaktný formulár, komentár, strážny pes, ...)
    • neplatí v prípade, že sú nevyhnutné (napr.: vystavenie príslušného dokladu,...)
  • právo podať sťažnosť u dozorného úradu, pokiaľ sa domnieva, že spracovaním jeho osobných údajov je porušené nariadenie GDPR.

  Povinnosti správcu

  • vypracovanie informácii o používaní GDPR a zverejnenie na stránkach správcu (správca) - verejne
  • podpísanie/odsúhlasenie spracovateľských zmlúv (správca v súčinnosti so spracovateľmi, WEXBO^®) - interne
  • evidencia súhlasu na spracovanie osobných údajov (správca, WEXBO^®) - interne a na vyžiadanie konkrétneho návštevníka/užívateľa/zákazníka
  • adekvátna ochrana osobných údajov prostriedkami, ktoré sú aktuálne dostupné k danej dobe (zamestnanci správcu, správca, spracovatelia, WEXBO^®) - interne

  Povinnosti spracovávateľa

  • totožné vo vzťahu návštevník/užívateľ/zákazník a správca

• Príklad eshopu vytvoreného v systéme WEXBO^® v súlade so smernicou GDPR

  Príklad je len modelová situácia pre lepšie pochopenie fungovania GDPR v praxi.

  Majiteľ eshopu

  Monika si chce založiť eshop v systéme WEXBO® s oblečením. Aby splnila GDPR vytvorí si zoznam firiem a subjektov, s ktorými bude vo svojom podnikaní spolupracovať. Vie, že eshop vytvorí v systéme spoločnosti WEXBO s.r.o., dodávateľa oblečenia bude mať VEĽKOOBCHOD s.r.o., balíky bude zákazníkom doručovať cez dopravcu KURIÉR s.r.o., platby bude prijímať cez platobnú bránu ONLINEPLATBA s.r.o., účtovníctvo bude riešiť cez externú spoločnosť ÚČTO s.r.o. Monika má aj jedného zamestnanca, ktorý sa bude starať len o objednávky. Z tohoto zoznamu Monika vyberie všetkých, ktorý budú mať prístup k osobným údajom zákazníkov pre správne fungovanie jej eshopu. Z vyššie uvedeného vyplýva, že Monika:

  • nastaví časti eshopu podľa smernice GDPR (bod 1. I.)
  • so zamestnancom uzavrie pracovnú zmluvu, kde napríklad okrem mlčanlivosti ohľadne osobných údajov, s ktorými sa zamestnanec v rámci svojej činnosti stretne, zakomponuje aj informácie o spracovaní osobných údajov samotných zamestnancov, ktorých sama zamestnáva ako zamestnávateľ. Rovnako v systéme obmedzí jeho právomoci v administrácii len do nevyhnutných sekcii (bod 1. I.)
  • spracovateľské zmluvy uzavrie so všetkými vyššie spomenutými firmami (bod 2.) okrem VEĽKOOBCHOD s.r.o., o ktorej vie, že nikdy nebude mať prístup k osobným údajom jej zákazníkov.
  • na stránke zverejní informácie o GDPR (bod 3.)
  • technicky a organizačne zabezpečí získané údaje proti rizikám úniku a maximálne obmedzí ich možné zneužitie (bod 4.). Okrem iného dá v administrácii zamestnancovi prístup len do sekcie objednávok o ktoré sa stará. No sekcie komentárov, či prihlásených užívateľov do newslettera uzamkne len pre svoj prístup.

  Zákazník

  Peter, je zákazník, ktorý chce nakúpiť na eshope Moniky. Vybraný tovar teda vloží do košíka. Na základe nastavení v eshope musí Peter súhlasiť so spracovaním osobných údajov ak chce dokončiť objednávku. V odkaze má informácie o GDPR, kde vidí, ako a prípadne kam budú jeho osobné údaje poskytnuté pre vybavenie jeho objednávky. Peter súhlasí a dokončí objednávku. Peter chce byť informovaný o novinkách eshopu a tak sa prihlási do newsletteru a kontaktuje eshop aj cez kontaktný formulár. Peter má tovar na druhý deň doma. Peter teraz chce využiť právo na zabudnutie a požiada podporu eshopu aby odstránili všetky jeho osobné údaje. Monika tak v administrácii eshopu odstráni Petra z newsletteru a údaje z kontaktného formulára, ktoré sa priamo netýkali jeho objednávky (bod 1. III.). V systéme však stále figurujú Petrove osobné údaje na vystavenej faktúre. Monika však tieto údaje potrebuje pre vedenie účtovníctva a tieto údaje tak nemusí odstrániť.