GDPR pro e-shop: jak připravit zásady ochrany osobních údajů a splnit povinnosti vůči zákazníkům
GDPR pro e-shop je soubor pravidel, podle kterých internetový obchod zpracovává osobní údaje zákazníků, návštěvníků webu, registrovaných uživatelů, odběratelů newsletteru, dodavatelů nebo zaměstnanců. Každý e-shop běžně pracuje s údaji jako jméno, příjmení, e-mail, telefon, doručovací adresa, fakturační údaje, objednávky, platební údaje, IP adresa nebo cookies.
Dobře připravený dokument GDPR pro e-shop pomáhá zákazníkům srozumitelně vysvětlit, jaké údaje e-shop zpracovává, proč je potřebuje, jak dlouho je uchovává, komu je předává a jaká práva má zákazník podle pravidel ochrany osobních údajů.
Nejde jen o formální text v patičce webu. Zásady zpracování osobních údajů jsou důležité pro důvěru zákazníků, správné nastavení objednávkového procesu, newsletteru, cookies lišty, marketingu, fakturace, dopravy, platebních bran i spolupráce s externími službami.
Správně připravené GDPR pro e-shop by mělo obsahovat zejména identifikaci správce, účely zpracování, právní základy, kategorie osobních údajů, dobu uchování, příjemce údajů, zpracovatele, informace o cookies, práva zákazníků, kontakt pro uplatnění práv a způsob zabezpečení údajů.
K čemu slouží GDPR dokumentace pro e-shop?
GDPR dokumentace pro e-shop slouží k tomu, aby provozovatel internetového obchodu transparentně informoval zákazníky o zpracování jejich osobních údajů. Zákazník má vědět, co se s jeho údaji děje od okamžiku návštěvy webu až po dokončení objednávky, doručení zboží, reklamaci, účetnictví nebo marketingovou komunikaci.
Dokument zároveň pomáhá provozovateli e-shopu udržet přehled v tom, jaké údaje sbírá, proč je zpracovává, jaké nástroje používá a zda má správně nastavené smlouvy se zpracovateli.
GDPR dokument pomáhá zejména
- splnit informační povinnost vůči zákazníkům,
- popsat zpracování osobních údajů při objednávce,
- vysvětlit zpracování údajů při registraci uživatele,
- upravit zasílání newsletteru a obchodních sdělení,
- popsat používání cookies a marketingových nástrojů,
- vymezit předávání údajů dopravcům, platebním branám a účetním systémům,
- nastavit dobu uchování údajů,
- informovat zákazníka o jeho právech,
- zvýšit důvěryhodnost e-shopu,
- snížit riziko stížností a kontrolních problémů.
Kdy e-shop potřebuje GDPR dokument?
GDPR dokument potřebuje prakticky každý e-shop, který přijímá objednávky od fyzických osob nebo jinak zpracovává osobní údaje návštěvníků a zákazníků. Osobními údaji nejsou jen citlivé informace, ale i běžné kontaktní a objednávkové údaje.
E-shop zpracovává osobní údaje například při vytvoření objednávky, registraci zákaznického účtu, odeslání kontaktního formuláře, přihlášení k newsletteru, používání cookies, vyřizování reklamace, vedení účetnictví nebo komunikaci se zákazníkem.
GDPR se typicky týká
- objednávek zboží,
- digitálních produktů a dokumentů ke stažení,
- zákaznických účtů,
- kontaktních formulářů,
- newsletteru,
- slevových akcí a soutěží,
- reklamací a vrácení zboží,
- platebních bran,
- dopravy a doručování,
- analytických a reklamních nástrojů,
- cookies lišty,
- zákaznické podpory.
Jaké osobní údaje e-shop zpracovává?
Každý e-shop by měl mít jasno v tom, jaké údaje skutečně sbírá. Není vhodné kopírovat obecný text, který uvádí desítky údajů, které e-shop ve skutečnosti nezpracovává. Dokument má odpovídat realitě.
Typické osobní údaje u e-shopu
| Kategorie údajů | Příklady | Kdy se používají |
|---|---|---|
| Identifikační údaje | jméno, příjmení, firma, IČO | objednávka, fakturace, zákaznický účet |
| Kontaktní údaje | e-mail, telefon, doručovací adresa | doručení zboží, komunikace, reklamace |
| Objednávkové údaje | číslo objednávky, zakoupené zboží, cena, stav objednávky | plnění kupní smlouvy a zákaznická podpora |
| Platební údaje | způsob platby, stav platby, platební identifikátor | úhrada objednávky a účetní evidence |
| Údaje o komunikaci | e-maily, zprávy, dotazy, reklamace | zákaznická podpora a řešení požadavků |
| Technické údaje | IP adresa, cookies, zařízení, prohlížeč | bezpečnost, analytika, marketing a fungování webu |
| Marketingové údaje | souhlas s newsletterem, preference, historie kampaní | zasílání obchodních sdělení a personalizace |
Právní základy zpracování osobních údajů
E-shop nemůže osobní údaje zpracovávat jen proto, že se mu to hodí. Pro každé zpracování musí existovat vhodný právní základ. V praxi se u e-shopů nejčastěji používá plnění smlouvy, právní povinnost, oprávněný zájem a souhlas.
Praktické rozdělení podle účelu
| Účel zpracování | Typický právní základ | Příklad |
|---|---|---|
| Vyřízení objednávky | plnění smlouvy | zákazník zadá objednávku a e-shop ji musí dodat |
| Fakturace a účetnictví | právní povinnost | uchování účetních a daňových dokladů |
| Reklamace a zákaznická podpora | plnění smlouvy / oprávněný zájem / právní povinnost | řešení vady zboží nebo dotazu zákazníka |
| Ochrana právních nároků | oprávněný zájem | evidence komunikace pro případ sporu |
| Newsletter | souhlas nebo jiný zákonný režim podle situace | zasílání obchodních sdělení zákazníkům |
| Marketingové cookies | souhlas | reklamní systémy, remarketing, personalizace reklamy |
| Analytické cookies | souhlas, pokud nejde o nezbytné technické cookies | měření návštěvnosti a chování uživatelů |
GDPR informace na webu e-shopu
E-shop by měl mít na webu samostatnou stránku nebo dokument, který zákazník snadno najde. Obvykle se používá název Zásady zpracování osobních údajů, Ochrana osobních údajů nebo GDPR.
Odkaz na tento dokument je vhodné umístit do patičky webu, objednávkového procesu, registračního formuláře, kontaktního formuláře a případně také k newsletteru nebo cookies liště.
Na stránce by mělo být jasně uvedeno
- kdo je správcem osobních údajů,
- jaké kontaktní údaje má správce,
- jaké osobní údaje e-shop zpracovává,
- pro jaké účely údaje používá,
- na jakém právním základě údaje zpracovává,
- jak dlouho údaje uchovává,
- komu údaje předává,
- jaké používá zpracovatele,
- jaká práva má zákazník,
- jak může zákazník svá práva uplatnit,
- jak e-shop používá cookies.
Správce a zpracovatel u e-shopu
Provozovatel e-shopu je obvykle správcem osobních údajů, protože rozhoduje o tom, proč a jak se budou osobní údaje zákazníků zpracovávat. Zpracovateli mohou být některé externí služby, které pro e-shop zpracovávají údaje podle jeho pokynů.
V praxi může jít například o e-shopovou platformu, hosting, cloudové úložiště, účetní systém, e-mailingový nástroj, zákaznickou podporu nebo některé marketingové služby. U každé služby je potřeba posoudit, zda vystupuje jako zpracovatel, samostatný správce nebo jiná role.
Typičtí partneři e-shopu
- provozovatel e-shopové platformy,
- hostingová společnost,
- platební brána,
- dopravce,
- účetní nebo daňový poradce,
- fakturační systém,
- e-mailingový nástroj,
- marketingová agentura,
- analytický nástroj,
- reklamní systém,
- nástroj zákaznické podpory.
Zpracovatelské smlouvy
Pokud externí služba zpracovává osobní údaje pro e-shop jako zpracovatel, je vhodné mít uzavřenou zpracovatelskou smlouvu nebo odpovídající smluvní ujednání. To se týká zejména služeb, které mají přístup k zákaznickým údajům a pracují s nimi podle pokynů e-shopu.
E-shop by měl mít přehled o tom, kdo má k osobním údajům přístup, za jakým účelem a jak jsou údaje zabezpečeny. Nestačí pouze používat nástroj bez znalosti jeho nastavení a smluvních podmínek.
GDPR a objednávkový proces
Objednávkový proces je hlavní místo, kde e-shop sbírá osobní údaje. Zákazník vyplňuje jméno, adresu, e-mail, telefon, dopravu, platbu a případně firemní údaje. Tyto údaje jsou nezbytné pro vyřízení objednávky.
V objednávce není vhodné vyžadovat souhlas se zpracováním údajů pro plnění smlouvy, pokud jsou údaje nezbytné k vyřízení objednávky. Místo toho má být zákazník jasně informován, že údaje jsou zpracovávány za účelem vyřízení objednávky a souvisejících povinností.
V objednávce je vhodné řešit
- odkaz na zásady zpracování osobních údajů,
- pouze nezbytné údaje pro vyřízení objednávky,
- oddělený souhlas s newsletterem, pokud se používá,
- oddělený souhlas s marketingovými cookies přes cookies lištu,
- jasné rozlišení obchodních podmínek a GDPR informací,
- bezpečné předávání údajů dopravci a platební bráně.
Newsletter a obchodní sdělení
Pokud e-shop posílá newsletter, musí mít jasně nastavený právní základ a způsob odhlášení. Uživatel by měl vědět, k čemu se přihlašuje, kdo mu bude e-maily posílat a jak se může z odběru odhlásit.
Souhlas s newsletterem by měl být oddělený od souhlasu s obchodními podmínkami. Zákazník by neměl být nucen souhlasit s marketingem jen proto, aby mohl dokončit objednávku.
U newsletteru je vhodné hlídat
- dobrovolnost přihlášení,
- jasné označení účelu,
- samostatný souhlas, pokud je potřeba,
- možnost jednoduchého odhlášení,
- evidenci uděleného souhlasu,
- datum a způsob přihlášení,
- nezasílání sdělení osobám, které se odhlásily,
- rozlišení zákaznické komunikace a marketingu.
Cookies lišta a souhlas s cookies
E-shop by měl mít správně nastavenou cookies lištu. Technické cookies, které jsou nezbytné pro fungování webu, košíku, objednávky nebo zabezpečení, se posuzují jinak než analytické, reklamní nebo personalizační cookies.
U netechnických cookies je potřeba řešit souhlas návštěvníka. Cookies lišta by měla být srozumitelná, neměla by návštěvníka mást a měla by umožnit informovanou volbu.
Cookies dokumentace by měla řešit
- jaké typy cookies e-shop používá,
- které cookies jsou nezbytné,
- které cookies jsou analytické,
- které cookies jsou marketingové,
- jak může uživatel souhlas udělit,
- jak může souhlas odvolat,
- jak dlouho jsou cookies uloženy,
- jaké nástroje třetích stran e-shop používá,
- zda dochází k profilování nebo personalizaci reklamy.
Doba uchování osobních údajů
E-shop by neměl uchovávat osobní údaje déle, než je potřeba. Doba uchování se liší podle účelu. Některé údaje jsou potřeba pro vyřízení objednávky, jiné pro účetnictví, reklamace, právní nároky nebo marketing.
Praktické rozdělení doby uchování
| Účel | Typická doba uchování | Poznámka |
|---|---|---|
| Vyřízení objednávky | po dobu potřebnou k plnění smlouvy | zahrnuje dodání, platbu a komunikaci |
| Účetnictví a daně | podle zákonných lhůt | faktury a účetní doklady se uchovávají déle |
| Reklamace | po dobu reklamačního řízení a navazujících nároků | důležité pro doložení průběhu reklamace |
| Ochrana právních nároků | po dobu možného uplatnění nároků | například při sporu o platbu nebo dodání |
| Newsletter | do odhlášení nebo odvolání souhlasu | podle zvoleného právního základu |
| Cookies | podle typu cookies a nastavení nástroje | nutné uvést v cookies informacích |
Práva zákazníka podle GDPR
Zákazník má podle GDPR několik práv, která by měla být v dokumentu vysvětlena srozumitelně. Nestačí pouze opsat názvy práv. Je vhodné uvést, jak může zákazník práva uplatnit a na jaký kontakt se má obrátit.
Zákazník má zejména právo
- získat informace o zpracování osobních údajů,
- požádat o přístup ke svým údajům,
- požádat o opravu nepřesných údajů,
- požádat o výmaz údajů, pokud jsou splněny podmínky,
- požádat o omezení zpracování,
- vznést námitku proti zpracování,
- požádat o přenositelnost údajů,
- odvolat souhlas, pokud je zpracování založeno na souhlasu,
- podat stížnost u dozorového úřadu.
Zabezpečení osobních údajů
E-shop by měl zákazníkům stručně vysvětlit, že osobní údaje chrání pomocí organizačních a technických opatření. Zabezpečení není jen právní povinnost, ale také důležitý prvek důvěry.
Mezi praktická opatření patří
- zabezpečené připojení webu,
- omezení přístupů do administrace e-shopu,
- silná hesla a vícefaktorové ověření,
- pravidelné aktualizace systému,
- zálohování dat,
- přístup jen pro oprávněné osoby,
- smlouvy se zpracovateli,
- školení osob, které s údaji pracují,
- kontrola používaných nástrojů a pluginů,
- postup pro řešení bezpečnostního incidentu.
GDPR a registrace zákaznického účtu
Pokud e-shop umožňuje vytvořit zákaznický účet, měl by vysvětlit, jaké údaje jsou v účtu uloženy a k čemu slouží. Typicky jde o historii objednávek, doručovací adresy, fakturační údaje, oblíbené produkty nebo nastavení komunikace.
Registrace by měla být dobrovolná, pokud není nezbytná pro konkrétní službu. Zákazník by měl vědět, jak může účet upravit nebo požádat o jeho zrušení.
GDPR a kontaktní formulář
Kontaktní formulář je dalším místem, kde e-shop získává osobní údaje. Formulář by měl vyžadovat jen údaje, které jsou skutečně potřebné pro vyřízení dotazu. Typicky stačí jméno, e-mail a samotná zpráva.
U formuláře je vhodné uvést krátkou informaci o zpracování údajů a odkaz na úplné zásady ochrany osobních údajů.
GDPR a reklamace
Při reklamaci e-shop zpracovává údaje zákazníka, objednávkové údaje, popis vady, komunikaci, doklady, fotografie a případně servisní vyjádření. Tyto údaje jsou potřebné pro vyřízení reklamace a ochranu práv obou stran.
V dokumentu GDPR je vhodné uvést, že údaje z reklamace mohou být předány servisu, dopravci, právnímu poradci nebo jiným osobám, pokud je to nezbytné pro vyřízení reklamace nebo ochranu právních nároků.
GDPR a předávání údajů třetím stranám
E-shop běžně nepůsobí izolovaně. Při provozu využívá dopravce, platební brány, účetní systémy, hosting, e-mailingové nástroje, marketingové platformy a zákaznickou podporu. Zákazník by měl vědět, komu mohou být jeho údaje předány.
Údaje se mohou předávat například
- dopravcům pro doručení objednávky,
- platebním branám pro zpracování platby,
- účetnímu nebo daňovému poradci,
- poskytovateli e-shopové platformy,
- hostingu a IT správci,
- e-mailingové službě,
- marketingovým a analytickým nástrojům,
- servisu při reklamaci,
- orgánům veřejné moci, pokud to vyžaduje zákon.
Nejčastější chyby v GDPR pro e-shop
Nejčastější chybou je kopírování obecného textu, který neodpovídá skutečnému provozu e-shopu. Každý e-shop používá jiné nástroje, jiné dopravce, jiné marketingové služby a jiný způsob práce s daty.
- chybí stránka se zásadami ochrany osobních údajů,
- text neodpovídá skutečnému fungování e-shopu,
- e-shop uvádí nástroje, které nepoužívá,
- e-shop naopak neuvádí nástroje, které používá,
- newsletter je předem zaškrtnutý,
- souhlas s marketingem je spojený s objednávkou,
- cookies lišta neumožňuje skutečnou volbu,
- není jasně popsána doba uchování údajů,
- chybí seznam příjemců nebo kategorií příjemců,
- nejsou uzavřené zpracovatelské smlouvy,
- chybí kontakt pro uplatnění práv zákazníka,
- text je příliš právnický a nesrozumitelný.
Jak správně připravit GDPR pro e-shop?
Nejprve si projděte celý e-shop a určete, kde se sbírají osobní údaje. Poté vypište všechny účely zpracování, používané nástroje, dopravce, platební brány, marketingové služby a dobu uchování údajů. Až potom má smysl připravit samotný dokument.
Praktický postup krok za krokem
- Sepište, jaké osobní údaje e-shop zpracovává.
- Určete, kde se údaje sbírají.
- Rozdělte údaje podle účelu zpracování.
- Ke každému účelu přiřaďte právní základ.
- Sepište dopravce, platební brány a externí služby.
- Zkontrolujte zpracovatelské smlouvy.
- Nastavte dobu uchování údajů.
- Připravte zásady ochrany osobních údajů.
- Umístěte odkaz na GDPR dokument do patičky webu.
- Doplňte odkazy k objednávce, registraci, formulářům a newsletteru.
- Zkontrolujte cookies lištu a souhlasy.
- Nastavte postup pro vyřízení žádostí zákazníků.
- Pravidelně dokument aktualizujte při změně nástrojů nebo procesů.
Tabulka pro vyplnění GDPR dokumentu e-shopu
| Položka | Doplnit |
|---|---|
| Správce osobních údajů | [název, IČO, sídlo, kontakt] |
| Kontaktní e-mail pro GDPR | [doplnit] |
| Údaje z objednávky | [jméno, adresa, e-mail, telefon, objednávka] |
| Účel zpracování objednávky | [vyřízení objednávky, dodání zboží, platba] |
| Účetní a daňové doklady | [faktury, platby, zákonná archivace] |
| Newsletter | [ano / ne, právní základ, způsob odhlášení] |
| Cookies | [technické / analytické / marketingové] |
| Dopravci | [doplnit používané dopravce] |
| Platební brány | [doplnit používané platební služby] |
| Hosting a e-shopová platforma | [doplnit] |
| E-mailingový nástroj | [doplnit] |
| Analytické a reklamní nástroje | [doplnit] |
| Doba uchování údajů | [doplnit podle účelu] |
| Způsob uplatnění práv | [e-mail / formulář / adresa] |
Kontrolní seznam pro GDPR e-shopu
Před zveřejněním GDPR dokumentu si projděte kontrolní seznam. Pomůže ověřit, že text odpovídá skutečnému provozu e-shopu a že zákazník najde všechny důležité informace.
- Je uveden správce osobních údajů?
- Je uveden kontaktní e-mail pro GDPR požadavky?
- Jsou popsány všechny hlavní účely zpracování?
- Je ke každému účelu uveden právní základ?
- Jsou uvedeny kategorie zpracovávaných údajů?
- Je popsána doba uchování údajů?
- Jsou uvedeni dopravci, platební brány a další příjemci?
- Jsou zkontrolované zpracovatelské smlouvy?
- Je správně nastaven newsletter?
- Je správně nastavená cookies lišta?
- Jsou popsána práva zákazníků?
- Je uvedeno, jak zákazník uplatní svá práva?
- Je dokument dostupný z patičky webu?
- Je dokument napsaný srozumitelně?
- Odpovídá text skutečným nástrojům, které e-shop používá?
Výhody použití online vzoru GDPR pro e-shop
Online vzor GDPR pro e-shop pomáhá připravit přehledný dokument rychle a bez zbytečných chyb. Uživatel doplní provozovatele e-shopu, účely zpracování, osobní údaje, právní základy, dopravce, platební brány, marketingové nástroje, cookies a kontaktní údaje.
Výhodou je jasná struktura. Připravený vzor pomáhá nezapomenout na důležité části, jako jsou objednávky, fakturace, newsletter, cookies, reklamace, zákaznický účet, zpracovatelé, doba uchování údajů a práva zákazníka.
Vzor je vhodný pro malé e-shopy, prodej digitálních produktů, internetové obchody s fyzickým zbožím, dropshippingové projekty, lokální prodejce, začínající podnikatele i zavedené online obchody, které chtějí mít ochranu osobních údajů přehledně zpracovanou.
Proč použít aktuální vzor GDPR pro e-shop?
Použití aktuálního vzoru GDPR pro e-shop je důležité proto, že internetový obchod pracuje s osobními údaji každý den. Objednávky, platby, doprava, fakturace, newsletter, cookies a marketingové nástroje musí být popsány srozumitelně a podle skutečného nastavení e-shopu.
Profesionálně připravený GDPR dokument pomáhá zákazníkům pochopit, jak e-shop nakládá s jejich údaji, a provozovateli poskytuje jasný rámec pro práci s osobními údaji.
Pokud provozujete internetový obchod, vyplatí se mít přehledné GDPR pro e-shop, které odpovídá vašemu provozu, používaným nástrojům, objednávkovému procesu a marketingové komunikaci.