Skočit na obsah
🕽 607 044 670 (-) , FAQ

GDPR: o čem všem informovat zákazníka?

Velmi často nám kladete otázku: O čem všem mám informovat při zpracovávání osobních údajů podle GDPR? Jaké informace o zákazníkovi mu mám na požádání ve smyslu GDPR ukázat? Na tyto otázky se blíže podíváme v třetím článku ze série GDPR. Tak pojďme na věc!

Typy osobních údajů o zákazníkovi podle GDPR

Náš strašák GDPR při právu na informace o zpracovávaných údajích rozlišuje dvě skupiny údajů:

  • Osobní údaje, které jste získali od zákazníka
  • Osobní údaje, které nebyly získané od zákazníka – např. vznikly činností správce, nebo jsou z jiných zdrojů

Např.
Máme na stránce e-shopu objednávkový formulář:

1. Objednávkový formulář názorně ukazuje údaje, které vám zadává zákazník. Ve vztahu k právu na informaci o zpracování této první skupiny osobních údajů máte povinnost uvést na stránce:

  • info o správci (kdo je správce jsme si vysvětlili v první části série o GDPR) + kontaktní údaje;
  • účel, na který dané údaje potřebujete + právní základ jejich zpracování (víc o právním základu v druhé časti série o GDPR) – pokud je právním základem váš oprávněný zájem, musí být výslovně uvedený;
  • příjemci příp. kategorie příjemců osobních údajů – pokud se kromě vás dostávají osobní údaje i k dalším osobám;
  • info o tom, zda u vás nastane i přenos údajů do třetí země = země mimo EU;
  • dobu uchovávaní údajů – např. marketing od 3 – 5 let;
  • info, zda u vás existuje profilovaní příp. automatizované rozhodování – pokud používáte automatické zasílání reklamních kampaní na základe zájmů a chování zákazníka, tak odpovědí je ano;
  • a info o právech dotyčné osoby, ze kterých dnes rozebereme právo na přístup k údajům.

Informace mají být srozumitelné a lehko přístupné ještě před zadáním údajů do vašeho systému.

2.Osobní údaje, jako jsou IP adresa, logy, chování na webu, sledování cookies jsou příklady z druhé skupiny osobních údajů – tedy jde o údaje, které nebyly získané přímo zadáním do systému od dotyčné osoby, ale vyplynuli např. z technického fungování správce na webu.

Ve vztahu k uvedené skupině osobních údajů máte povinnost informovat zákazníka o tom, že tyto kategorie osobních údajů zpracováváte – např. IP adresy (statické i dynamické).

V informacích pro zákazníka na vaší webové stránce musí být ve vztahu k uvedené skupině osobních údajů uvedené informace jako při první skupině osobních údajů s dvěma rozdíly:

  • tyto informace se neposkytují před samotným poskytnutím osobních údajů, protože to povaha věci vylučuje – a tedy informační povinnost se plní linkem na zásady zpracování osobních údajů;
  • a protože vám tyto údaje nezadal zákazník, je potřebné uvést, z jakého zdroje uvedené osobní údaje pocházejí.

Právo na přístup k údajům

Dobře, máme tedy zveřejněné základní informace k oběma skupinám osobních údajů na webu. Co když mě zákazník požádá o přístup k osobním údajům?

Osobní údaje, které zpracujete, máte zpřístupnit bezplatně a v každém případě do jednoho měsíce od doručení žádosti zákazníka.

Pokud je žádost komplikovaná a zákazník žádá přesné info například i o IP adresách, což samozřejmě běžně fungujícího podnikatele nadměrně zatěžuje, můžete si lhůtu prodloužit na tři měsíce od doručení žádosti, jako požadovat i přiměřený poplatek zohledňující administrativní náklady; zároveň i vydání opakovaných kopií osobních údajů může být zpoplatněné.

Navíc můžete takovou žádost odmítnou vyřídit. Podle mého názoru byste mohli odmítnout vybavit žádost při opakování od jednoho uživatele a žádosti, které by například narušovali technické fungování vašeho e-shopu.

Zároveň GDPR od vás vyžaduje, abyste identifikovali osobu, která žádost na přístup k osobním údajům podala. Pokud máte oprávněné pochybnosti v souvislosti s identitou žadatele, nemůžete jej logicky zpřístupnit info, protože by mohlo jít o narušení bezpečnosti osobních údajů a můžete požádat o poskytnutí dodatečných info k žádosti na potvrzení identity žadatele

…nebo flexibilnějším a přijatelným řešením této situace se v některých případech jeví vytvoření zabezpečené členské zóny na vaší webové stránce, kde je zákazníkova identita ověřená zadáním přihlašovacího jména a hesla.

Příště si posvítíme na GDPR: Právo na výmaz (být zapomenout)

Všechny díly seriálu o GDPR:

  1. GDPR 2018: strašák nebo pomocník?
  2. GDPR a zpracování osobních údajů: stačí souhlas?
  3. GDPR: o čem všem informovat zákazníka? (právě čtete)
  4. GDPR: právo na zapomnění a další práva I.
  5. GDPR: právo na zapomnění a další práva II.
  6. GDPR a analýza chování zákazníků

 

Přidat komentář