Návody

Jak připravit web na GDPR

14 minut

Co znamená GDPR pro váš web? Jasný a srozumitelný návod s praktickými ukázkami

Obsah článku

  1. Co je GDPR?
  2. Zpracování osobních údajů
  3. Jak zasahuje GDPR do tvorby webu?

Co je GDPR?

GDPR (General Data Protection Regulation) je obecné nařízení o ochraně osobních údajů. V platnost vstupuje 25. května 2018 a týká se nejen subjektů se sídlem na území Evropské unie, ale všech subjektů, které zpracovávají osobní údaje občanů EU. GDPR sjednocuje právní rámec pro ochranu osobních údajů (OÚ) v prostředí EU a rozšiřuje zásady a principy ochrany OÚ o nová práva a povinnosti.

Zpracování osobních údajů

Osobní údaje jsou z pohledu GDPR jakékoliv informace, které vedou k identifikaci konkrétní osoby. Kromě údajů jako jméno, pohlaví nebo email, jde i o informace jako například IP adresa, navštívené stránky či zboží nakoupené v eshopu.

Abyste mohli osobní údaje zpracovávat, je nutné naplnit alespoň jeden z právních titulů. Mezi nejčastěji využívané tituly patří:

  • oprávněný zájem, kdy zákon umožňuje v určité situaci (například po uzavření kupní smlouvy) předpokládat, že osoba souhlasí s využitím osobních údajů,
  • plnění smlouvy, kdy zpracování osobních údajů je nutné pro plnění smluvních závazků,
  • souhlas návštěvníka, jehož osobní údaje zpracováváte.

Pokud máte oprávnění zpracovávat osobní údaje na základě oprávněného zájmu nebo plnění smlouvy, je získávání souhlasu nadbytečné. Stačí návštěvníka informovat o zpracování osobních údajů. Požadovat byste měli pouze údaje, které potřebujete a to po dobu, která odpovídá účelu zpracování.

Jak zasahuje GDPR do tvorby webu?

Stránka Zásady ochrany osobních údajů

Pro každý web je nutné založit stránku, která bude návštěvníky informovat, jak pracujete s jejich osobními údaji. Stránka musí obsahovat všechny informace uvedené v článku 13 a 14 GDPR. Měla by popisovat všechny případy, ve kterých dochází ke zpracování osobních údajů, u webů jde například o využití cookies a zpracování dat z webových formulářů.

Informace o zpracování osobních údajů musí být psané jasným a srozumitelným jazykem bez právnických frází a zároveň být snadno dohledatelné. To znamená, že odkaz na Zásady ochrany osobních údajů musí být součastí cookie lišty a všech formulářů. Informace by návštěvník měl obdržet nejpozději v okamžiku, kdy jeho osobní údaje získáváte, proto je nutné odkazovat se na ně v případě:

  • sjednávání smlouvy nebo potvrzení objednávky,
  • udělování souhlasu se sběrem cookies,
  • udělování souhlasu se zpracováním osobních údajů,
  • v obchodních podmínkách (Zásady ochrany osobních údajů musí být mimo Obchodní podmínky, do Obchodních podmínek ale zahrňte ustanovení, že zpracování osobních údajů se řídí Zásadami ochrany osobních údajů).

Abyste byli schopní prokázat, s jakými informacemi měl návštěvník možnost se seznámit, je třeba uchovávat verzi souhlasu, kterou návštěvník odsouhlasil. Pokud například u kontaktního formuláře změníte dobu, po kterou uchováváte osobní údaje, musíte zaznamenat, s jakou lhůtou pro zpracování údajů konkrétní návštěvník souhlasil.

Cookie notifikace v režimu "opt-in"

Cookies jsou krátké textové soubory, které vypovídají o chování návštěvníků na webu. Server je odesílá do počítače uživatele při načtení webové stránky. Doposud stačilo, aby návštěvník dostal jasné a úplné informace o účelech zpracování a měl možnost odmítnout. GDPR vyžaduje přechod z režimu „opt-out“ na režim „opt-in“, to znamená, že uživatel musí nejdříve využívání cookies na webu odsouhlasit a až poté je možné cookies začít sbírat a využívat. Zároveň není možné předvyplnit checkboxy u žádostí o udělení souhlasu s využíváním cookies.

Bez uděleného souhlasu lze shromažďovat pouze funkční cookies, které jsou nutné pro základní funkce webu a ulehčují pohyb po stránkách. V tomto případě lze využití cookies řadit pod oprávněný zájem správce a souhlas proto není třeba. I o tomto užití je třeba informovat uživatele v Zásadách ochrany osobních údajů. Jako volitelné musí zůstat cookies pro analytické a marketingové účely a cookies pro propojení uživatele se sociálními sítěmi.

Souhlas k zapisování cookies musí být:

  • svobodně udělený: návštěvník nesmí být k souhlasu nucen a pole nesmí být předvyplněná,
  • jednoznačný a konkrétní: souhlas musí být udělený pro každý oddělitelný účel zvlášť,
  • informovaný: v okamžiku udělování souhlasu by měl mít návštěvník všechny relevantní informace v jasné a srozumitelné formě.

Nastavení cookies musí být možné kdykoliv změnit. Toho můžete docílit například odkazem v patičce, který znovu vyvolá cookie lištu.

Ukázka cookie lišty v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Tip: Doporučení k diskusi od Úřadu pro ochranu osobních údajů

V úterý 22. 5. 2018 vydal Úřad pro ochranu osobních údajů své doporučení. Ve svém benevoletním výkladu uvádí, že uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. 

Správce v takovém případě plní informační povinnost, tj. poskytne informaci o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje přímo zpřístupněny. Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele. Více najdete na stránkách ÚOOU.

Práce s formuláři v souladu s GDPR

U formulářů je třeba rozlišovat, k jakým účelům jsou data z formuláře využívaná.

Objednávkové formuláře

Osobní údaje v tomto případě využíváte k plnění smlouvy. Od návštěvníka potřebujete získat souhlas s obchodními podmínkami a informovat ho o zpracování osobních údajů s odkazem na stránku Zásady ochrany osobních údajů. Je ale nezákonné získávat souhlas, který nelze neudělit, proto není možné zahrnout Zásady ochrany osobních údajů do Obchodních podmínek.

Vytvořením objednávky zároveň vzniká oprávněný zájem. Díky tomu můžete využívat takto získané kontakty k posílání marketingových sdělení.

Ukázka objednávkového formuláře v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Kontaktní formulář

Osobní údaje u kontaktního formuláře potřebujete k vyřízení dotazu návštěvníka, proto není možné vyžadovat souhlas, ale je třeba informovat návštěvníka o zpracování osobních údajů a odkázat ho na Zásady ochrany osobních údajů. Pokud chcete kontakt poté využívat k zasílání marketingových sdělení, je třeba nejdříve získat souhlas.

Ukázka kontaktního formuláře v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Newsletter

Pokud je z kontextu jasné, že primárním účelem formuláře přihlášení k zasílání newsletteru, je možné za vyjádření souhlasu považovat vyplnění emailu. GDPR explicitně neurčuje, jakým způsobem návštěvník vyjadřuje svůj souhlas.

Dle GDPR má správce povinnost dostatečně ověřit totožnost návštěvníka. Vhodnou a doporučovanou formou je double opt-in potvrzení. Oproti jednoduchému opt-in potvrzení zahrnuje zaslání potvrzovacího emailu. Kontakt je přidaný do databáze až po odsouhlasení, kliknutím na odkaz v potvrzovacím emailu. Pokud se uživatel přihlásí k odběru, ale email nepotvrdí, měly by být jeho údaje z databáze v řádu hodin smazané. Služby jako MailChimp a Smart Emailing funkci dvojího potvrzení podporují a připravily pro tyto případy vlastní návody.
Ukázka přihlášení k newsletteru v souladu s GDPR. Nezapomeňte, že texty je třeba vždy upravit přesně pro vaše účely.

Ostatní formuláře

Webové formuláře, které sbírají osobní údaje o návštěvnících webu, musí obsahovat povinné potvrzení souhlasu se zpracováním osobních údajů. Stejně jako u newsletteru je třeba vždy jednoznačně vyjmenovat, za jakým účelem budou tyto informace zpracované a pro každý účel získat souhlas.

Stejně jako u cookies musí být souhlas se zpracováním údajů udělen svobodně, jednoznačně a konkrétně a musí být informovaný. Navíc je nutné zaznamenávat, kdy a jak byl souhlas udělen.

Databáze poskytnutých souhlasů a její správa

Správce musí být schopný doložit a prokázat souhlas subjektu se zpracováním jeho osobních údajů, a to kdykoliv po dobu, po kterou zpracování probíhá. Každý web, respektive jeho administrační systém by měl být vybavený databází a modulem, ve které jsou přehledně uchovávána data o uživatelích i s přesnou formulací souhlasu. Díky takovému modulu je možné při případné kontrole doložit poskytnuté souhlasy nebo naopak na přání uživatele osobní data vymazat a odvolat souhlas.

Přístup k osobním údajům musí být omezen tak, aby každý zaměstnanec měl přístup pouze k OÚ, které potřebuje ke své činnosti. Například editor článků nebo překladatel by do databáze osobních údajů neměl mít přístup. Proto musí systém disponovat uživatelskými právy, které umožní nastavit různé úrovně přístupů pro jednotlivé role.

Doba pro uchování osobních údajů

Pro všechny případy zpracování OÚ je nutné stanovit lhůtu, po kterou budete OÚ uchovávat a pracovat s nimi. Údaje nesmí být zpracovávány po neomezenou dobu. Doba uložení je daná svým účelem, pokud není možné ji konkrétně určit, je nutné specifikovat, podle jakých faktorů ji budete určovat. Pro zodpovězení dotazu stačí týden, u objednávky potřebujete osobní údaje uchovávat pro případné reklamace či soudní spory až po dobu několika let.

Současná databáze kontaktů

Pokud zpracováváte osobní údaje na základě souhlasu, který nesplňuje popsané podmínky GDPR, je nutné získat souhlas znovu. Pokud se jej nepodaří získat, je nutné všechny OÚ smazat. Rozesílání newsletteru současným zákazníkům lze zařadit pod oprávněný zájem, v tomto případě proto není nutné získávat souhlas, ale je nutné zákazníkovi například v záhlaví emailu umožnit odhlášení z newsletteru a přidat odkaz na Zásady ochrany osobních údajů.

Zabezpečení dat

Kromě povinností, které GDPR explicitně specifikuje, zároveň GDPR požaduje uplatňování obecných zásad ochrany dat. Data by měla být chráněná adekvátními prostředky s přihlédnutím ke konkrétnímu kontextu zpracování dat tak, aby rizika úniku dat byla minimální. Vhodnými způsoby zabezpečení je například šifrování, pseudonymizace nebo použití SSL certifikátů.

Kontrola služeb třetích stran

Pokud vámi sesbíraná data zpracovává třetí strana, tzv zpracovatel, jste zodpovědní i za to, že pokyny GDPR dodržuje váš zpracovatel. Jde například o exporty do nástrojů třetích stran jako jsou Google Analytics, Mailchimp nebo Raynet. Každý případ zpracování osobních dat je nutné pokrýt písemnou smlouvou případně aktualizovat současné zpracovatelské smlouvy podle nových podmínek. Většina těchto nástrojů své obchodní podmínky upraví a bude vás o tom informovat.

TIP: Administrace solidpixels je na GDPR technologicky plně připravená

Návod, jak připravit web tak, aby splňoval všechny požadavky GDPR naleznete v tomto článku.

Upozornění 
Checklist je orientační a jeho cílem je ukázat vám přehled věcí, které je v souvislosti s GDPR třeba na webu zohlednit. Pokud chcete mít jistotu, že je váš web 100% připravený, vždy doporučujeme konzultaci s právníkem.

Rádi byste se s námi pustili do svého vlastního projektu? Se solidpixels může mít vlastní web dříve, než si myslíte.

Zkusit solidpixels zdarma
Chci web na míru

Další inspirace pro lepší web

Mít web jako prezident aneb jak jsme dělali stránky pro Petra Pavla

Případové studie, Inspirace

Když se hledá prezident, je to náročný proces, který obnáší obrovské množství práce, neustálých změn, ale taky improvizace v nečekaných situacích. Když jsme kývli na vytvoření stránek pro prezidentského kandidáta, věděli jsme, co nás vlastně čeká? Jaký nápor musel web vydržet? Jak jsme řešili téma bezpečnosti? A jak se nám podařilo před druhým kolem voleb sestřelit falešný web s poplašnou informací?

10 tipů pro rychlejší práci v solidpixels

Inspirace

Znáte ten pocit, když objevíte nějakou skvělou vychytávku, která vám ušetří spoustu práce a bez které si už za měsíc nedovedete svůj život představit? Tak přesně takových vám dneska ukážeme rovnou deset. Co si počnete s takovým množstvím volného času??

Proč nás tolik zajímá, co si ostatní myslí? O trendech v oblasti social proof s Pavlínou Louženskou z podcastu Trendspotting

Rozhovory

Z průzkumů vyplývá, že sdílení uživatelských zkušeností nepřestává nabývat na důležitosti. 89 % zákazníků po celém světě si aktivně čte recenze předtím, než si zakoupí nový produkt. Jak se stát důvěryhodnou značkou díky magii zvané social proof, jak ji začít využívat ve svůj prospěch a připravit se na budoucnost uživatelských recenzí?