Jak na GDPR (4): Řešíme formuláře, recenze a komentáře na webu a e-shopu

[SERIÁL] Chcete vědět, jak se na svém webu a v online marketingu vypořádat s obecným nařízením o ochraně osobních údajů (GDPR)? Ve 4. dílu se naučíte, co by měly splňovat formuláře, recenze a komentáře na webu a e-shopu.

ČTĚTE TAKÉ:

Jak na GDPR (1): Co musíte vědět a znát

Jak na GDPR (2): Právní tituly a účely zpracování a kdy nepotřebujete souhlas

Jak na GDPR (3): Jak vypadá souhlas, o čem informovat a jak na PDF knížky

Pokud jste pečlivě četli předchozí díly tohoto seriálu, tak už víte, jak naložit s formuláři na webu. Pojďme si to ale shrnout na praktických příkladech. Co do formulářů přidat a kdy je a kdy není třeba žádat souhlas se zpracováním osobních údajů?

Kontaktní formulář

Záleží na tom, k čemu formulář používáte. Z mého pohledu slouží kontaktní formulář na firemním webu ke komunikaci s budoucími klienty. Tedy ohledně budoucího smluvního plnění.

V takovém případě z mého pohledu sbíráte osobní údaje z právního titulu Plnění smlouvy (právním titulům podle GDPR se věnuji ve 2. dílu tohoto seriálu o GDPR). A souhlas se zpracováním údajů tedy žádat nemusíte.

Nicméně musíte návštěvníka webu upozornit na to, že odesláním poskytne osobní údaje ke zpracování. Stačit by měla například informace: Odesláním souhlasíte se zpracováním osobních údajů. A doplňte odkaz na stránku se zásadami ochrany osobních údajů (popisuji dále).

Poptávkový formulář

Záleží na tom, jakou podobu poptávkový formulář má. Pokud v něm sbíráte informace pro přípravu cenové nabídky a jednání o smlouvě (smluvním vztahu), pak použijete právní titul budoucí Plnění smlouvy (právním titulům podle GDPR se věnuji ve 2. dílu tohoto seriálu o GDPR).

Ani v tomto případě nepotřebujete souhlas se zpracováním osobních údajů. Musíte však o jejich zpracování před odesláním formuláře informovat. Stačit by měla například informace: Odesláním souhlasíte se zpracováním osobních údajů. A doplňte odkaz na stránku se zásadami ochrany osobních údajů (popisuji dále).

Objednávka v e-shopu

V případě objednávky v e-shopu jde vždy o právní titul Plnění smlouvy (právním titulům podle GDPR se věnuji ve 2. dílu tohoto seriálu o GDPR).

Souhlas se zpracováním osobních údajů nepotřebujete. Musíte však o jejich zpracování před odesláním objednávky informovat. Stačit by měla například informace: Odesláním souhlasíte se zpracováním osobních údajů. A doplňte odkaz na stránku se zásadami ochrany osobních údajů (popisuji dále).

Sběr e-mailu – zaslání PDF knížky, registrace k odběru newsletterů

V obou těchto případech potřebujete souhlas se zpracováním osobních údajů. Jak by měl vypadat, popisuji ve 3. dílu tohoto seriálu o GDPR.

Recenze v e-shopu

V případě recenzí zboží/služeb bude záležet na tom, jaký právní titul ke sběru a zpracování využijete.

Uveďme si příklady:

  • Chcete mít možnost odpovědět dotyčnému na negativní recenzi, případně mít možnost dotyčného vypátrat při řešení sporu pomluvy. Pak jde dle mého soudu o váš oprávněný zájem sbírat jméno, e-mail a případně třeba IP adresu. Pro sběr údajů pak souhlas nepotřebujete, ale je třeba o jejich zpracování informovat (viz příklady výše).
  • Na recenze neodpovídáte, ale například je schvalujete (čili nemusíte je publikovat). Pak sbírejte pouze jméno, které uvedete u recenze. V tomto případě nepůjde o osobní údaj (nelze identifikovat konkrétní osobu – viz 1. díl tohoto seriálu o GDPR) a souhlas tedy nepotřebujete.
  • Ve všech ostatních případech pravděpodobně potřebujete souhlas se zpracováním osobních údajů. Protože recenzi můžeme nechat napsat i bez osobních údajů – anonymně. Čili jejich zpracování není nutné.

Komentáře na webu

Jde o podobný příklad jako výše uvedené recenze. Záleží na použitém právním titulu.

Zde je několik příkladů:

  • Pokud vám nevadí, že budou komentáře anonymní, sbírejte opětovně například jen jméno, nebo přezdívku. Pak nesbíráte osobní údaje a souhlas nepotřebujete.
  • Pokud sbíráte jméno a e-mail, a třeba IP adresu (jde například o komentáře ve WordPressu), je třeba žádat souhlas se zpracováním osobních údajů. K publikování komentáře totiž tyto údaje nutně nepotřebujete.
  • Podobně jako u recenzí se můžete ohánět oprávněným zájmem. Například, pokud byste chtěli mít možnost dotyčného dohledat pro podezření z urážky na cti a podobně. V takovém případě souhlas nepotřebujete, ale o zpracování údajů musíte informovat (popisoval jsem výše).

Pozor, co sbíráte a jak dlouho

V potaz je třeba vzít ještě dvě hlediska:

  • Jsou všechny osobní údaje sbírané v rámci právního titulu a účelu zpracování nutné?
  • Uchováváte tyto údaje vzhledem k právnímu titulu a účelu zpracování jen po dobu nezbytně nutnou?

Jaké údaje sbíráte

Například u kontaktního formuláře nemusí být nezbytný telefon, pokud je na webu uvedený jinde. Můžeme očekávat, že dotyčný chce dostat zpět e-mail. Stačit by vám tak mělo jméno a e-mail. Pokud by chtěl zavolat, zavolal by.

Něco jiného ale může být případ formuláře, v němž si dotyčný žádá, abyste mu zavolali. Je v takovém případě nezbytný e-mail? Podle mě stačí jméno a telefonní číslo.

Podle GDPR byste měli sbírat jen ty údaje, které jsou nezbytně nutné. Udělejte si proto audit na svém webu.

Jak dlouho údaje zpracováváte

GDPR říká, že údaje byste měli uchovávat, respektive zpracovávat, jen po dobu nezbytně nutnou. Uvedu několik příkladů:

Je nutné uchovávat údaje z kontaktního formuláře déle, než například do doby vaší odpovědi? Pravděpodobně ne. Doba zpracování by mohla být například 1 týden.

U poptávky produktů, nebo služeb pravděpodobně není nutné, abyste údaje uchovávali třeba rok, pokud většinu poptávek vyřídíte do týdne. Stanovte si tedy dobu přiměřenou – například 1 měsíc.

Pokud sbíráte e-mail pro zaslání PDF knížky, potřebujete ho v podstatě jen pár minut, případně pár dní pro vyhodnocení statistik. Stanovte si dobu pro uchování údaje třeba na 1 týden.

Jiná situace je u newsletterů. Pokud se na to podívám očima člověka, který se k odběru registruje, tak chci e-maily dostávat do doby, než se z odběru odhlásím. Osobně tedy vidím možnost uchovávat údaje do doby, než se dotyčný z odběru odhlásí. Což může učinit v každém e-mailu jediným kliknutím.

K newsletterům však můžete přistoupit i jinak a stanovit si dobu zaslání třeba na 1 rok. A před uplynutím této lhůty si vyžádat nový souhlas. Z hlediska GDPR jste sice splnili jednu ze zásad, ale dotyčného pravděpodobně další e-mail vyžadující souhlas bude obtěžovat, nebo ho případně přejde. Bude si totiž myslet, že přese souhlas máte, tak proč by ho měl dávat znovu.

Stránka Zásady ochrany osobních údajů

Ve formuláři na webu byste měli vždy informovat o zpracování osobních údajů:

  • Pokud máte tu možnost, uveďte alespoň, jaké údaje sbíráte a za jakým účelem.
  • Vždy doplňte odkaz na stránky se zásadami ochrany osobních údajů, kde budete mít vše stručně, přehledně a srozumitelně zpracované.

Co taková stránka má obsahovat?

  • Jaké osobní údaje zpracováváte – například e-mail a jméno.
  • Podle jakého právního titulu je zpracováváte – například souhlas se zpracováním.
  • Jaký je účel jejich zpracování – například k zasílání newsletterů.
  • Po jakou dobu údaje uchováváte – například po dobu 1 roku.
  • Kdo má k údajům přístup (kdo je zpracovává) – například vy a firma poskytující aplikaci pro hromadnou poštu.
  • Na co má poskytovatel osobních údajů právo – oprava údajů, odvolání souhlasu, právo být zapomenut, možnost podat stížnost na Úřad pro ochranu osobních údajů.

Odkaz na tuto stránku umístěte například do zápatí webu, nebo k odkazům na další informace – obchodní podmínky, informace o nákupu a podobně. A dále pak před odesílací tlačítko v každém formuláři – ať už jde pouze o informování o zpracování, nebo o zaškrtávací políčko souhlasu.

TIP: Podívejte se pro inspiraci na stránku informující o ochraně osobních údajů na webu MD webdesign.

Závěrem

Přístup k formulářům z hlediska GDPR by měl být individuální.

  1. Začněte tím, že omezíte sběr osobních údajů na minimum – sbírejte jen to, co využijete a potřebujete.
  2. Uvědomte si, jaký právní důvod a účel ke zpracování máte.
  3. Podle toho se rozhodněte, zda budete o zpracování údajů pouze informovat, nebo zda si vyžádáte souhlas.

V dalším dílu se podíváme na problematiku souborů cookie, měření Google Analytics a remarketing Googlu, potažmo retargeting Seznamu.

Upozornění na nové články do e-mailu?

Registrací dáváte souhlas se zpracováním vaší e-mailové adresy pro zasílání upozornění na nové články a termíny školení po dobu max. 5 let. Odhlásit se můžete kdykoliv jediným kliknutím v každém e-mailu.

Zpracovávám vaše osobní údaje. Jak údaje chráním »

Komentáře

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

© Martin Domes | ochrana osobních údajů | cookies
Google+ | Facebook

Vytvořil MD webdesign - tvoříme obchodně úspěšné weby

Top