fb
IT Systems 11/2017 IT právo 18. 12. 2017 8:18

Je váš web připravený na GDPR?

Je váš web připravený na GDPR?Jak už jistě víte, GDPR je nové nařízení Evropské unie, které se zaměřuje na oblast ochrany osobních údajů. Vejde v platnost už příští rok v květnu. Pokud o svých zákaznících na webu shromažďujete data a využíváte je pro marketingové kampaně, týká se i vás. Co vše byste měli do května stihnout, aby byl váš web s novou normou v souladu a vy se tak mohli vyhnout zbytečné pokutě?

1. Zdokumentujte všechna data, která o svých zákaznících máte

Myslete na to, že GDPR za osobní data nepovažuje jen jméno, e-mail, věk, pohlaví či adresu zákazníka. Naopak mezi ně řadí i IP adresu a jeho chování na webu, tedy to, jaké produkty zakoupil, odkud na váš web přišel, kolik na něm strávil času, jaké formuláře vyplnil a odeslal (včetně zadaných informací) nebo jaký typ prohlížeče používá. GDPR se z tohoto pohledu netýká jen e-shopů, ale všech webových stránek, které využívají nějaký analytický nástroj pro vyhodnocování návštěvnosti, návštěvníky segmentují a následně je oslovují pomocí cíleného reklamního sdělení nebo personalizovaného obsahu.

2. Proveďte informační audit

Informační audit není přímým nařízením GDPR a neexistuje přesný návod, jak ho provést. Ale je to cesta, jak si ve firmě udělat jasno o tom, jakým způsobem data získáváte, s kým je sdílíte a jak je uchováváte. Pomocí auditu byste měli přijít na to, jaké třetí strany jsou do celého procesu zahrnuty, i to, s jakými zaměstnanci a na jakých pozicích jsou data sdílena. Audit by měl ukázat i na slabá místa, ve kterých by mohl mít k informacím přístup i někdo jiný, než bylo původně zamýšleno.

3. Slaďte své webové oznámení o ochraně osobních údajů s GDRP

Návštěvníkům webu musíte dát jasně najevo, jak budete s informacemi, které vám poskytnout, nakládat. Například to, že je chcete využívat k marketingovým účelům, prodat třetím stranám, posílat jim obchodní e-maily, sledovat a upravovat obsah podle jejich zákaznického profilu, použít číslo na posílání reklamních SMS apod. Strohý výčet ale nestačí. Je potřeba vysvětlit také to, proč potřebujete s daty nakládat tak, jak potřebujete. Dále musíte uvést, jak dlouho budete mít data uložená a kde si mohou návštěvníci webu stěžovat, pokud mají pocit, že s jejich daty nenakládáte správně. Vše musí být zároveň v co nejjednodušší a srozumitelné formě.

4. Zkontrolujte, jestli vaše postupy pokrývají všechna práva zákazníků

GDPR zahrnuje celkem osm práv návštěvníků webu. Nejčastěji diskutovanými jsou tyto tři:

  • Zákazník má právo na přístup k informacím, které o něm máte.
  • Dále má právo na poskytnutí těchto informací ve formě, kterou lze použít pro migraci dat (např. přesun informací k jinému správci dat/firmě).
  • V neposlední řadě má právo na smazání všech dat, které jste o něm nasbírali.

Mezi jeho práva patří i už dříve zmíněné právo být informován o tom, jakým způsobem bude s jeho daty nakládáno.

5. Připravte se na to, abyste mohli práva zákazníků dodržet

Bez aktualizace analytického nástroje nebo CMS, na kterém váš web, běží, se v tomto případě pravděpodobně neobejdete. Jde o to všechna získaná data ukládat v takové formě, abyste je mohli zákazníkovi do 30 dnů jednoduše poskytnout, vyexportovat a přesunout k jinému správci dat, nebo je na jeho žádost smazat.

6. Upravte i procesy ve firmě

Jen aktualizovat samotné nástroje ale nestačí. Přenastavit musíte i firemní procesy a na správu, export nebo mazání dat vyčlenit dostatek času pověřených zaměstnanců. Jen tak budete mít jistotu, že vše zvládnete v době, kterou vám GDPR určuje.

7. Nastavte nejen získávání, ale i ukládání souhlasu

Podle GDPR není povinné jen souhlas návštěvníků webu získat, ale také ho uložit a udržovat si přehled o tom, kdo a kdy ho udělil. Musíte být schopní kdykoli dohledat záznam o tom, že vám v konkrétní den a čas konkrétní návštěvník webu poskytnul souhlas se zpracováním dat. A to včetně plného a přesného znění daného souhlasu.

8. Ujistěte se, jestli jsou doposud získané souhlasy v souladu s GDPR

Pokud do té doby získané souhlasy v souladu s požadavky normy nebudou, je třeba zákazníky znovu oslovit a požádat je o udělení nového souhlasu. Jinak reálně hrozí, že dosud nashromážděná data nebudete v marketingu moci dále používat.

9. Dejte pozor, jestli je na GDPR připraveno i vaše CMS

CMS s nástrojem, který vám umožní nastavit a spravovat získávání souhlasu a ukládat nashromážděná data v požadované formě, vám ušetří polovinu práce. Na co se při jeho výběru zaměřit?

  • CMS by mělo být schopné zajistit přehled o tom, jaké souhlasy byly kým a kdy uděleny (včetně jejich přesného znění).
  • Mělo by ukládat veškeré informace o návštěvníkovi webu až tehdy, kdy k tomu od něj dostanete souhlas.
  • Dále byste díky němu měli mít možnost snadno tyto souhlasy vytvořit, archivovat, evidovat a integrovat je napříč webovou stránkou.
  • CMS by vám mělo umožnit efektivní a rychlý přístup ke všem informacím o daném zákazníkovi a jednoduše mu je předat v přehledné formě.
  • Data by mělo jít lehce migrovat. Měla by být tedy ve formátu lehce importovatelném do jiných systémů.
  • V neposlední řadě by mělo být možné data o konkrétním návštěvníkovi webu jednoduše smazat, pokud o to požádá.
Článek byl připraven na základě materiálů firmy Kentico Software. Všechna data a informace v tomto článku jsou pouze informativního charakteru. Právní otázky související s GDPR doporučujeme vždy konzultovat s právníkem.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1