Evropské zákony vyžadují, aby všechny online obchody, které podnikají v EU, zobrazovaly zásady ochrany osobních údajů. Stává se však, že maloobchodníci nevědí přesně, jaké podrobnosti mají takové zásady obsahovat. Tento článek vám řekne vše, co potřebujete vědět o vytvoření zásad ochrany osobních údajů. Také se podíváme na to, které pravidla ochrany soukromí z GDPR mohou být důležitá pro maloobchodníky v e-commerce, jako jste vy.
Vytváření zásad ochrany osobních údajů: Jak zajistit, aby byl váš online obchod v souladu s GDPR
27. 7. 2021
Nick Knuppe
Vedoucí produktového marketingu
Co je to privacy policy pro online obchod?
Každá webová stránka, která shromažďuje osobní údaje, musí obsahovat zásady ochrany osobních údajů. Tyto zásady informují návštěvníky vašeho obchodu o typu, rozsahu a účelu zpracování jejich údajů. Také vysvětlují možnosti uživatelů, jak odvolat souhlas s uchováváním jejich osobních údajů.
Pokud váš online obchod neobsahuje zásady ochrany osobních údajů nebo pokud jsou vaše zásady neúplné, můžete být penalizováni úřady pro bezpečnost dat ve vaší zemi. Právním základem pro to v Evropské unii je Obecné nařízení o ochraně osobních údajů (GDPR).
Co je to GDPR?
V roce 2016 přijal Evropský parlament Obecné nařízení o ochraně osobních údajů v EU. Podle tohoto nového zákona byli všichni maloobchodníci s e-commerce, kteří prodávají v zemích EU, povinni provést různé změny ve svém online obchodě nejpozději do 25. května 2018. Tyto změny se týkaly zejména následujících oblastí:
Sběr dat
Povinnosti informovat
Odesílání newsletterů
Zpracování objednávek
Cílem GDPR bylo standardizovat ochranu online soukromí ve všech členských státech EU. To prospívá nejen spotřebitelům, ale i provozovatelům obchodů. Například princip jednotného kontaktního místa (OSS) zjednodušuje mezinárodní e-commerce. Nyní provozovatelé obchodů už nemusí koordinovat s více úřady na ochranu osobních údajů ohledně jednoho procesu; místo toho se mohou zabývat jen jedním centrálním úřadem.
Proč je zásady ochrany osobních údajů důležitá pro váš online obchod?
Každý online obchod sbírá data – a to nejen při zpracování objednávky. Vaše webová stránka obsahuje nástroje pro sledování, pluginy sociálních médií a cookies, které shromažďují informace o vašich návštěvnících. Vaše zásady ochrany osobních údajů, stejně jako kontaktní informace vaší společnosti, jsou klíčovým požadavkem, protože zajišťují, že zpracováváte data svých zákazníků zodpovědně a nezneužíváte proces sběru dat. Pokud nezveřejníte zásady ochrany osobních údajů, hrozí vám sankce a dokonce i vysoké pokuty.
Navíc jsou zásady ochrany osobních údajů nezbytné k získání důvěry vašich zákazníků. Nakupující chtějí vědět, jaké druhy dat váš online obchod shromažďuje a zda jsou jejich osobní údaje bezpečné. Většina nakupujících nikdy nenakoupí na stránkách, jejichž bezpečnosti dat nedůvěřují. Hlavní způsoby, jak budovat důvěru jako online prodejce, jsou zahrnout kompletní zásady ochrany osobních údajů, podrobné kontaktní informace a zabezpečené platební metody na vašich stránkách.
Co by mělo být součástí zásad ochrany osobních údajů u e-commerce?
Podle GDPR musí všechny online obchody poskytnout zásady ochrany osobních údajů, které jsou:
přesné
transparentní
snadno srozumitelné
snadno přístupné
Prvním krokem je zajistit, aby vaše zásady ochrany osobních údajů byly jasně viditelné a přístupné z patičky na každé stránce vašeho webu. To umožňuje zákazníkům, aby si vždy mohli zásady ochrany osobních údajů prohlédnout, i když jsou uprostřed objednávky. Obsah musí být také psán jazykem, kterému každý rozumí. Obecně vzato, zásady ochrany osobních údajů vašeho webu musí pokrýt čtyři hlavní témata:
1. Správce údajů a kontakt
Většina online obchodů začíná zásady ochrany osobních údajů informacemi o tom, kdo je odpovědný za zpracování údajů. Podle článků 13.1.a–b GDPR mají provozovatelé obchodů povinnost informovat své zákazníky uvedením kontaktních údajů pro následující strany:
Správce údajů (subjekt zodpovědný za sběr dat, obvykle vaše společnost)
Právní zástupce správce (obvykle generální ředitel nebo řídící ředitel vaší společnosti, pokud je to použitelné)
Bezpečnostní úředník správce údajů (pokud je to použitelné)
2. Osobní údaje
Mnoho online obchodů také definuje „osobní údaje“ na začátku zásad ochrany osobních údajů. To není podle GDPR striktně vyžadováno, ale koncept to zákazníkům usnadňuje pochopit.
Po tom je třeba vysvětlit:
... jaké údaje váš obchod sbírá a zpracovává.
... ve kterém bodě/bodech dochází ke sběru dat.
... za jakým/jakými účelem/y se tak děje.
... kdo údaje obdrží.
... jak dlouho jsou údaje uchovávány.
3. Právní základ
Pro každý typ údajů, které sbíráte, musíte specifikovat právní základ. Většina online prodejců tak činí odkazem na konkrétní článek GDPR. Například běžným právním základem je článek 6.1.f GDPR: 'zpracování je nezbytné pro účely oprávněných zájmů správce [...]'. Musíte také specifikovat, jaké tyto oprávněné zájmy jsou. Pokud například sbíráte IP adresy vašich návštěvníků, použijte následující tabulku k určení právního základu a které oprávněné zájmy byste měli uvést:
4. Práva subjektů údajů
GDPR také vyžaduje, aby online obchody informovaly uživatele (subjekty údajů) o jejich právech podle zákona. Tato práva zahrnují následující:
Mohu použít šablonu pro vytvoření zásad ochrany soukromí pro můj online obchod?
Neexistuje obecná šablona, kterou by bylo možné použít pro zásady ochrany osobních údajů ve všech online obchodech. Protože GDPR přesně neurčuje, jak by online prodejci měli psát své zásady ochrany osobních údajů, takové zásady mohou mít mnoho podob. Některé vypadají trochu jako všeobecné obchodní podmínky. Jiné jsou strukturovány více jako stránka s častými dotazy, což je dělá jasné a snadno pochopitelné. Pokud se rozhodnete pro tento přístup, ujistěte se, že vaše zásady ochrany osobních údajů odpovídají na tyto otázky pro zákazníka:
Jak shromažďujeme vaše data?
K čemu používáme vaše data?
Jaká jsou vaše práva jako subjektu údajů?
Na internetu můžete najít šablony, které mohou sloužit jako příklady při psaní vašich zásad ochrany osobních údajů. Pamatujte však, že každý provozovatel obchodu zpracovává uživatelská data odlišně, takže musíte vždy přizpůsobit šablonu ke své skutečné situaci. Je vždy dobrý nápad najmout právníka k vytvoření zásad ochrany osobních údajů na míru, nebo alespoň požádat je, aby vaše zásady zkontrolovali. Tím zajistíte, že vaše zásady jsou přesné a úplné.
Existují další pravidla ochrany soukromí, která jsou v e-commerce důležitá?
Aby se ujistili, že váš obchod je v souladu s GDPR, je nezbytné mít zásady ochrany soukromí. Existují však další pravidla, která byste měli zvážit. Tato pravidla se týkají:
Webové formuláře
Šifrování webových stránek
Emailový marketing
Cookies
Sociální sítě pluginy
Webové formuláře
Když chce zákazník zadat své osobní údaje na vašem webu (například během checkoutu nebo při přihlášení k odběru newsletteru), musí vyplnit webový formulář. Aby webové formuláře na vašem webu splňovaly požadavky GDPR, musí splnit dvě důležité podmínky:
Minimalizace dat: Jako provozovatel obchodu můžete požadovat pouze minimální množství údajů potřebných k plnění vaší smluvní povinnosti (například k vyřízení objednávky). Během checkoutu stačí požádat o jméno a adresu zákazníka. Pokud zákazník chce jen odebírat váš emailový newsletter, nemůžete po něm požadovat také poštovní adresu a telefonní číslo.
Důvěrnost: Jako online prodejce jste povinni zajistit, aby všechna osobní data vašich zákazníků byla chráněna před neoprávněným nebo nezákonným zpracováním. To znamená, že jakýkoliv přenos dat musí být šifrován.
Šifrování webových stránek
Článek 32.1.a GDPR požaduje, aby provozovatelé obchodů zajistili, že jejich přenos dat je šifrován. Je dobrý nápad použít protokol HTTPS k zabezpečení komunikace na vaší webové stránce. Můžete také použít SSL certifikát k zajištění, že…
… komunikační partneři jsou autorizováni pomocí asymetrického šifrovacího procesu.
… přenos dat je zabezpečen koncově pomocí symetrického šifrovacího procesu.
… integrita přepravovaných dat není ohrožena.
Chcete-li se dozvědět více o tom, jak získat SSL certifikát a jaká další bezpečnostní opatření můžete přijmout, podívejte se na náš článek o eCommerce bezpečnosti.
Emailový marketing
Od té doby, co vstoupilo v platnost GDPR, jsou online obchody povinny používat dvojí opt-in proces k získání zákazníkova souhlasu se zpracováním jejich údajů (například když se zákazník přihlašuje k odběru newsletteru). To znamená, že zákazník, který má zájem obdržet od vás informace nebo reklamu, musí souhlasit s tím, když vám poskytne své kontaktní údaje (například zaškrtnutím políčka, že si přeje dostávat reklamní e-maily od vás). Poté mu musíte také zaslat potvrzovací odkaz emailem, který musí kliknout, aby dokončil proces přihlášení. To znamená, že dvakrát dávají svůj souhlas k přijímání budoucích informací/nabídek od vás. Pokud tento dvojí souhlas nezískáte, není vám dovoleno zasílat reklamní nebo marketingová sdělení na zákazníkovu emailovou adresu. Pokud zákazník neklikne na potvrzovací odkaz, není vám dovoleno používat nebo ukládat jeho emailovou adresu pro marketingové účely.
Cookies
Cookies jsou dalším důležitým tématem, pokud jde o bezpečnost dat. Mnoho online obchodů používá cookies k vytvoření více uživatelský přívětivé zkušenosti. Například cookies mohou uchovávat informace, takže uživatelé nemusí pokaždé vyplňovat své údaje, kdykoli navštíví web. Tyto informace zahrnují například:
Jazykové nastavení
Položky v nákupním košíku
Přihlašovací údaje
Směrnice EU o cookies (2009/136/EC) je dalším právním předpisem, který úzce souvisí s GDPR. Podle této směrnice může vlastník obchodu používat cookies bez souhlasu návštěvníka pouze tehdy, pokud jsou z technického hlediska nezbytně potřebné. Navíc, vaše webová stránka musí vždy zahrnovat banner, který informuje návštěvníky, že používá cookies. A vždy musíte předem požádat o souhlas návštěvníka s použitím cookies, které nejsou nezbytné pro správnou funkci vašeho webu.
Tabulka níže ukazuje příklady toho, které druhy cookies jsou považovány za technicky nezbytné a které nikoliv:
Sociální sítě pluginy
V minulosti mohly pluginy pro sociální sítě začít shromažďovat údaje uživatelů ve chvíli, kdy návštěvník přišel na váš web. GDPR to všechno změnilo. Podle nových pravidel musí být pluginy pro sociální sítě vždy neaktivní ve výchozím nastavení, když uživatel přijde na web. Když je plugin správně vložen na vaší stránce, je to pasivní tlačítko, které se aktivuje pouze, když na něj uživatel klikne. Kliknutím na tlačítko uživatel vyjadřuje svůj souhlas s tím, aby jeho údaje byly přeneseny na platformu sociálních sítí, pro kterou je plugin určen. Pokud uživatel klikne na tlačítko, je logické předpokládat, že ho hodlá použít (například k sdílení obsahu z vašeho webu prostřednictvím sociálních sítí).
Pluginy pro sociální sítě jsou velmi běžné v e-commerce a obvykle se objevují ve formě tlačítek Shariff. Kromě toho můžete použit dvojklikový princip souhlasu pro sociální sítě na vašem webu (podobně jako princip dvojího opt-in u newsletterů). V rámci systému dvojitého kliknutí uživatel nejprve klikne na tlačítko sociální sítě, které chce použít. Poté váš obchod konkrétně požádá, zda souhlasí s přenosem svých údajů na platformu sociálních sítí.
Zpracování objednávek
Jako provozovatel obchodu pravděpodobně spolupracujete s mnoha poskytovateli služeb, jako jsou:
Poskytovatelé platebních služeb
Dodavatelé SaaS
Cloudové služby
Tito poskytovatelé služeb také zpracovávají osobní údaje týkající se vašich zákazníků, takže GDPR vyžaduje, abyste uzavřeli dohodu o zpracování dat (DPA) s každým partnerem. Bez DPA nemáte žádný právní základ pro přenos zákazníkových dat třetí straně. I když vytváření DPA vyžaduje trochu více úsilí, nabízí větší bezpečnost než dříve. Například, DPA jasně definuje, kdo je odpovědný v případě úniku dat.
Ochrana soukromí ve vašem online obchodě: stručný přehled věcí, na které dávat pozor
Každý internetový obchod shromažďuje osobní údaje o svých návštěvnících. GDPR je navrženo tak, aby tyto údaje ochránilo. Poskytuje soubor standardních postupů pro všechny provozovatele webových stránek v Evropské unii. Také stanovuje specifická pravidla pro e-commerce prodejce, zejména pokud jde o zpravodaje, tlačítka sociálních médií a webové formuláře. Vyžaduje, abyste informovali zákazníky o vašich praktikách zpracování dat a vaší zásadě ochrany soukromí. Použijte níže uvedenou tabulku, abyste si vytvořili plně GDPR-kompatibilní zásady ochrany soukromí pro váš elektronický obchod.
Více novinek
Největší trendy v ecommerce v roce 2025
Buďte napřed s nejnovějšími trendy v oblasti ecommerce pro rok 2025. Prozkoumejte, jak umělá inteligence, sociální obchodování a personalizace formují online nakupování.
Proč by růst měl začít s omnichannel platbami
Spojte svůj zákaznický zážitek tím, že začnete s platbami. Zjistěte, co jsou omnichannel platby, jaké jsou jejich výhody a jak si vybrat správného partnera v Evropě.
What is agentic commerce? A guide for European businesses
Learn how AI assistants like ChatGPT are changing how people buy, what it means for your business, and how Mollie is preparing European businesses for the future of payments.
How to prepare your checkout for peak season: 6 tips for merchants
The most important sales period of the year is approaching. Black Friday, Cyber Monday, and the Christmas season are real revenue drivers. We show you how to be prepared.
Buďte v obraze
Nikdy nezmeškejte žádnou novinku. Dostávejte produktové novinky, zprávy a příběhy zákazníků přímo do své schránky.