Skočit na obsah
🕽 607 044 670 (-) , FAQ
cz en

GDPR: o čem všem informovat zákazníka?

Ochrana osobních údajů #3

GDPR: o čem všem informovat zákazníka?

Velmi často nám kladete otázku: O čem všem mám informovat při zpracovávání osobních údajů podle GDPR? Jaké informace o zákazníkovi mu mám na požádání ve smyslu GDPR ukázat? Na tyto otázky se blíže podíváme v třetím článku ze série GDPR. Tak pojďme na věc!

Typy osobních údajů o zákazníkovi podle GDPR

Náš strašák GDPR při právu na informace o zpracovávaných údajích rozlišuje dvě skupiny údajů:

  • Osobní údaje, které jste získali od zákazníka
  • Osobní údaje, které nebyly získané od zákazníka – např. vznikly činností správce, nebo jsou z jiných zdrojů

Např.
Máme na stránce e-shopu objednávkový formulář:

Formulář objednávky

1. Objednávkový formulář názorně ukazuje údaje, které vám zadává zákazník. Ve vztahu k právu na informaci o zpracování této první skupiny osobních údajů máte povinnost uvést na stránce:

  • info o správci (kdo je správce jsme si vysvětlili v první části série o GDPR) + kontaktní údaje;
  • účel, na který dané údaje potřebujete + právní základ jejich zpracování (víc o právním základu v druhé časti série o GDPR) – pokud je právním základem váš oprávněný zájem, musí být výslovně uvedený;
  • příjemci příp. kategorie příjemců osobních údajů – pokud se kromě vás dostávají osobní údaje i k dalším osobám;
  • info o tom, zda u vás nastane i přenos údajů do třetí země = země mimo EU;
  • dobu uchovávaní údajů – např. marketing od 3 – 5 let;
  • info, zda u vás existuje profilovaní příp. automatizované rozhodování – pokud používáte automatické zasílání reklamních kampaní na základe zájmů a chování zákazníka, tak odpovědí je ano;
  • a info o právech dotyčné osoby, ze kterých dnes rozebereme právo na přístup k údajům.

Informace mají být srozumitelné a lehko přístupné ještě před zadáním údajů do vašeho systému.

2.Osobní údaje, jako jsou IP adresa, logy, chování na webu, sledování cookies jsou příklady z druhé skupiny osobních údajů – tedy jde o údaje, které nebyly získané přímo zadáním do systému od dotyčné osoby, ale vyplynuli např. z technického fungování správce na webu.

Ve vztahu k uvedené skupině osobních údajů máte povinnost informovat zákazníka o tom, že tyto kategorie osobních údajů zpracováváte – např. IP adresy (statické i dynamické).

V informacích pro zákazníka na vaší webové stránce musí být ve vztahu k uvedené skupině osobních údajů uvedené informace jako při první skupině osobních údajů s dvěma rozdíly:

  • tyto informace se neposkytují před samotným poskytnutím osobních údajů, protože to povaha věci vylučuje – a tedy informační povinnost se plní linkem na zásady zpracování osobních údajů;
  • a protože vám tyto údaje nezadal zákazník, je potřebné uvést, z jakého zdroje uvedené osobní údaje pocházejí.

Právo na přístup k údajům

Dobře, máme tedy zveřejněné základní informace k oběma skupinám osobních údajů na webu. Co když mě zákazník požádá o přístup k osobním údajům?

Osobní údaje, které zpracujete, máte zpřístupnit bezplatně a v každém případě do jednoho měsíce od doručení žádosti zákazníka.

Pokud je žádost komplikovaná a zákazník žádá přesné info například i o IP adresách, což samozřejmě běžně fungujícího podnikatele nadměrně zatěžuje, můžete si lhůtu prodloužit na tři měsíce od doručení žádosti, jako požadovat i přiměřený poplatek zohledňující administrativní náklady; zároveň i vydání opakovaných kopií osobních údajů může být zpoplatněné.

Navíc můžete takovou žádost odmítnou vyřídit. Podle mého názoru byste mohli odmítnout vybavit žádost při opakování od jednoho uživatele a žádosti, které by například narušovali technické fungování vašeho e-shopu.

Zároveň GDPR od vás vyžaduje, abyste identifikovali osobu, která žádost na přístup k osobním údajům podala. Pokud máte oprávněné pochybnosti v souvislosti s identitou žadatele, nemůžete jej logicky zpřístupnit info, protože by mohlo jít o narušení bezpečnosti osobních údajů a můžete požádat o poskytnutí dodatečných info k žádosti na potvrzení identity žadatele

…nebo flexibilnějším a přijatelným řešením této situace se v některých případech jeví vytvoření zabezpečené členské zóny na vaší webové stránce, kde je zákazníkova identita ověřená zadáním přihlašovacího jména a hesla.

Příště si posvítíme na GDPR: Právo na výmaz (být zapomenout)

Všechny díly seriálu o GDPR:

  1. GDPR 2018: strašák nebo pomocník?
  2. GDPR a zpracování osobních údajů: stačí souhlas?
  3. GDPR: o čem všem informovat zákazníka? (právě čtete)
  4. GDPR: právo na zapomnění a další práva I.
  5. GDPR: právo na zapomnění a další práva II.
  6. GDPR a analýza chování zákazníků

Vyzkoušejte na 30 dni ZDARMA

 

Přihlaste se k odběru novinek z blogu

Odhlásit se můžete kdykoli prostřednictvím odkazu v emailu.

Související články

Přidat komentář

Faktura vytvořená

Vaše faktura je hotová, můžete si ji uložit ve formátu PDF. Až z této stránky odejdete, my na ni hned zapomeneme. Nebudete ji už moct potom opravit.Pokud byste si ji přeci jen chtěli odložit, a fakturu najdete ve svém účtu.

Založte si účet na SuperFaktuře a během 30 dní bezplatně a nezávazně vyzkoušejte, co všechno s fakturami dokážeme. I s cenovými nabídkami, objednávkami, dodacími listy, úhradami bankovními pohyby, náklady, automatickými upomínkami, přehledy fakturace a cashflow, knihou jízd, exporty do účetnictví, exporty pro kurýry…

30 dní zdarma
Stáhnout fakturu

Vystavujte faktury robotickou rychlostí!

Bohužel, došly zásoby doplňovaných položek. Zkuste to znovu za chvilku nebo vyplňte údaje ručně.

Už jen krůček

Jsme si téměř na 111% jistí, že

Vašim požadavkům vyhovuje ten správný balík

Vyzkoušejte ho na 30 dní zadarma


Už jen krůček