Neaktivní hodnoceníNeaktivní hodnoceníNeaktivní hodnoceníNeaktivní hodnoceníNeaktivní hodnocení
 

gdpr web eshop

Provozujete-li svůj internetový obchod na redakčním systému Joomla! s rozšířením Virtuemart, pak by vás mohlo zajímat pár bodů, které byste měli kromě vnitřních záležitostí typu nastavení politiky nakládání s osobními daty ve vaší firmě, řešit, pokud jde o váš web, chcete-li vyhovovat podmínkám GDPR.

Co je to GDPR a proč se vás týká

General Data Protection Regulation (GDPR) neboli Obecné nařízení na ochranu osobních údajů, které se týká mimo jiné i všech provozovatelů internetových obchodů (eshopů) a webových stránek, na kterých se zákazník registruje nebo jinak poskytuje své osobní údaje. Tento krok navazuje na nedávnou evropskou regulaci cookies, a jeho cílem je lépe ochránit spotřebitele a zamezit svévolnému nakládání s osobními a citlivými daty, které mohou při komunikaci s provozovateli webových stránek poskytovat - a to ať formou objednávky nebo třeba jen vyplněním kontaktního formuláře.

Souhlas se zpracováním osobních dat:

  • musí být požadován odděleně od ostatních podmínek,
    čili byste jej neměli zařazovat do obchodních podmínek, ale spíše pro tyto podmínky vytvořit vlastní stránku na webu
  • neměl by být podmínkou pro samotné využití služby,
    pokud to není zcela nezbytně nutné. Prakticky to bude nutné téměř vždy, protože bez adresy neodešlete objednávku, bez emailu nebo telefonu neodpovíte na poptávku.
  • zákazník může již poskytnutý souhlas kdykoli odvolat
    a provozovatel eshopu či webu mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést - např. uvést kontakt, na koho se se svou žádostí má obrátit.
  • evidovány přitom musí být jak poskytnuté souhlasy,
    tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů. Technicky vzato byste měli do databáze ukládat záznam o tom, že byl souhlas udělen, ale i že byl odstraněn.
  • data musí být zabezpečena proti odcizení a nedovolené manipulaci
    a správce musí ustanovit osobu, která bude za bezpečné uchování dat přímo odpovědná. Může jí ale být třeba i přímo provozovatel webu.

Co je považováno za osobní a citlivé údaje z hlediska GDPR?

Definici termínu „osobní údaj“ najdete jak v GDPR, tak v českém zákoně o ochraně osobních údajů.

Pro účely nařízení GDPR se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě.

Identifikovatelnou fyzickou osobou je taková fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Podle zákona o ochraně osobních údajů jsou pak za osobní údaje považovány jakékoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze tento subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Konkrétně tedy půjde zejména o:

  • jméno a příjmení
  • adresa (fakturační adresa, místo pobytu atd.)
  • telefonní číslo, rodné číslo, IČO, DIČ...
  • IP adresa
  • emailová adresa, adresa webu nebo např. Facebookového profilu

V souvislosti s GDPR byste si měli odpovědět na tyto otázky:

  • Jaká data o zákaznících/návštěvnících jsou v komunikace prostřednictvím webu/eshopu ukládána?
  • Jak je s těmito daty nakládáno – především kde se fyzicky nacházejí (vlastní server, webhosting) a kdo k nim má přístup?
  • Jak jsou osobní data zákazníků zabezpečena (fyzické zabezpečení, šifrování atd.)?
  • Jsou data sdílena s nějakými dalšími subjekty (dopravci, dodavatelé)?
  • Jaká data o našich zákaznících opravdu potřebujete a jaké souhlasy si budete muset vyžádat.

Jaké změny musíte provést na webových stránkách v souvislosti s GDPR?

Těch změn, které musíte provést, abyste vyhověli podmínkám GDPR bude více a možná jste už některé z nich provedli dávno, takže nyní si můžete jen odškrtávat, co máte hotové, a co  ještě potřebujete udělat.

1. HTTPS (SSL CERTIFIKÁT)

Pokud jste ještě nepřešli na https a váš web běží na http, tak vězte, že už není na co čekat. Bez SSL certifikátu není přenos osobních údajů, které lidi zadají na vašem webu do kontaktního formuláře nebo objednávky, šifrované - tedy máte problém, protože nezabezpečujete osobní údaje dostatečně.

Pokud se vám nechce investovat do drahého SSL certifikátu jako je třeba Thawte a složitě jej instalovat na hostingu, můžete využít SSL certifikát Lets Encrypt, který je zdarma. Většina webhostingů, např. WEDOS, už jej umožňuje jednoduše vygenerovat přímo v administraci webhostingu a automaticky se obnovuje po 3 měsících. Konkrétně u WEDOSu si musíte kvůli SSL certifikátu aktivovat příplatkovou službu SNI, která vás vyjde na 10 Kč měsíčně. Proč přejít na https...

2. Podmínky zpracování osobních údajů

Je třeba, abyste na svých webových stránkách zveřejnili text podmínek, za jakých zpracováváte osobní údaje - uvést jaké osobní údaje ukládáte a případně poskytujete dále a komu, jakým způsobem se na vás mohou návštěvníci webu obrátit s požadavkem na zaslání přehledu, jaká data o nich shromažďujete, nebo o vymazání z vaší databáze. Tyto podmínky můžete vložit do článku v Joomla! a tento navázat do menu třeba v patičce. Posléze na něj musíte odkazovat všude, kde zákazníci/návštěvníci odesílají osobní údaje.

Samotný obsah podmínek je práce pro právníka, ale na internetu již najdete spoustu vzorových podmínek zpracování osobních údajů, které si můžete přizpůsobit svým potřebám. Chcete-li mít klid, spoleh

3. Formuláře

Formulářů, jejichž prostřednictvím odesílají návštěvníci své osobní údaje do vaší emailové schránky nebo databáze můžete mít na webu více - od základního kontaktního formuláře, přes registrační formulář, poptávkový formulář, formulář pro zasílání životopisů pro účely přijímacího řízení či nabídky práce až po objednávkový formulář eshopu (checkout).

Kontaktní formulář

Způsobů, jak přidat checkbox pro souhlas se zpracováním osobních údajů do kontaktního formuláře je více a bude se lišit podle použitého rozšíření. Já třeba používám Perfect Ajax Contact Form, a tam jsou na to připraveni, protože umožňují zobrazit podmínky v lightboxu. V reálu to vypadá nějak takto:

gdpr kontaktni formular

Objednávkové formuláře

U objednávek ve Virtuemartu máte více možností, jak přidat checkbox pro souhlas na objednávkový formulář. Pokud používáte komponentu One Page Checkout od Rupostel, můžete postupovat podle tohoto návodu. V případě, že máte standardní checkout Virtuemartu, je třeba vytvořit nové pole zákazníka a pro něj pak vytvořit sublayout v šabloně.

gdpr checkbox na košíku

Registrační formuláře

Na registračních formulářích shromažďujete poměrně velké množství osobních údajů včetně adresy, proto zde se bez checkboxu "Souhlasím se zpracováním osobních údajů" určitě neobejdete.

I zde je situace jednodušší, pokud používáte One Page Checkout, protože Stano Scholtz umožňuje v rámci jeho nastavení propojit registraci s formulářem košíku OPC a to konkrétně zde:

opc registrace

Ostatní formuláře

To samé je třeba aplikovat pro formuláře jako je např. hodnocení výrobků, doporučení výrobků, dotaz na výrobek... prakticky kdekoliv zákazník vyplní své jméno a příjmení. Aktuálně o těchto úpravách debatujeme na fóru Virtuemartu, ale u starších webů to určitě bude vyžadovat úpravu šablony, případně vlastní řešení, dokud tyto změny nebudou implementovány v rámci Virtuemartu.

4. Google analytics

Služba pro sledování návštěvnosti webu Google analytics umožňuje získávat o vašich návštěvnících poměrně dost údajů včetně IP adresy návštěvníka. Když přidáváte nyní sledovací kód do svých stránek, už odsouhlasujete podmínky ochrany osobních údajů Google, ale pořád můžete udělat ještě něco, aby Google anonymizoval např. výše zmiňovanou IP adresu a to tak, že do skriptu přidáte tento kód (Více o anonymizaci IP...):

{'anonymizeIp', true);}

google analytics anonymized script

Někteří doporučují přestat používat Google analytics úplně, což je otázka. Co si o tom myslíte vy?

Tento článek se bude zřejmě dále vyvíjet, jak budu pokračovat v diskuzi a hledání požadavků a řešení. Pokud máte k tématu co říci, podělte se o svůj názor v diskuzi pod článkem...

Mohlo by vás také zajímat...

 

 

 

 

Chcete se na něco zeptat?
1000 znaků zbývá