GDPR ve FAPI

GDPR nahání hrůzu nejednomu podnikateli. Je-li to i váš případ, věřím, že tento článek rozptýlí vaše obavy a pomůže vám projít úskalími GDPR s lehkostí a bez zbytečných komplikací.

Konkrétně a prakticky si ukážeme, jak funguje zpracování osobních údajů ve FAPI a jaké povinnosti vzhledem k GDPR z něj vyplývají.

Trocha nezbytné právní terminologie

Nebudu zde podrobně vysvětlovat význam všech základních pojmů, se kterými GDPR pracuje. Předpokládám, že jste se s nimi již seznámili z jiných veřejně dostupných zdrojů. Na druhou stranu považuji za důležité některé z těchto pojmů zmínit a zasadit je do kontextu FAPI.

Používáte-li FAPI k prodeji svých produktů či služeb, zpracováváte v něm osobní údaje svých klientů. Z pohledu GDPR tedy vystupujete vůči svým klientům jako správce osobních údajů. Provozovatel FAPI, firma SmartSelling a.s., vystupuje vůči vám jako zpracovatel osobních údajů. Vzájemný vztah správce a zpracovatele upravuje zpracovatelská smlouva, kterou již brzy budete moci potvrdit a stáhnout si ji ve svém uživatelském účtu.

Jako zpracovatel za vás vyřešíme některé z povinností, které GDPR ukládá (např. technické zabezpečení osobních údajů vašich klientů). Jiné povinnosti, jako jsou např. právo subjektu údajů na poskytnutí informací a dodržování obecných zásad zpracování osobních údajů, zůstanou však primárně na vašich bedrech.

Pro realizaci některých práv subjektů údajů, jako je např. právo na přístup, opravu, přenositelnost a výmaz, vám poskytneme nezbytné nástroje nebo přímou součinnost.

Každopádně ale budeme dbát na to, aby vám FAPI umožnilo vše, co od vás GDPR vyžaduje. Jinými slovy, abyste s námi byli s GDPR v souladu.

Zpracování osobních údajů ve FAPI

Zpracování osobních údajů je možné provádět pouze za konkrétním a jasně specifikovaným účelem. S ním je spojen i tzv. právní důvod (titul) zpracování.

Právní důvody

Při zpracování osobních údajů ve FAPI přicházejí do úvahy prakticky pouze tyto právní důvody:

  • zákonná povinnost,
  • plnění smlouvy,
  • oprávněný zájem.

Účel zpracování osobních údajů a s ním spojený právní důvod vychází ze způsobu používání FAPI. Dá se říci, že ve všech případech je část údajů vyplněných klientem v objednávce zpracovávána na základě právního důvodu zákonná povinnost (potřeba vystavení prodejního dokladu).

Ve většině případů FAPI zajišťuje i úkony spojené se zasíláním transakčních zpráv, prodejních dokladů nebo doručením produktu. Zde vstupuje do hry právní důvod plnění smlouvy.

Legislativa vám také umožňuje zpracovávat osobní údaje pro zajištění vašeho oprávněného zájmu. Příkladem může být použití údajů vyplněných v objednávce pro zaslání upomínky k nezaplacené faktuře. Pod stejný právní důvod spadá i zasílání obchodních sdělení (která souvisejí se zakoupeným produktem) stávajícím zákazníkům.

Jak jsme si ukázali, všechny tři výše uvedené právní důvody vyplývají přímo ze základní funkcionality FAPI. Tyto právní důvody jsou spojeny s informační povinností vůči subjektu osobních údajů.

Jinými slovy to znamená, že máte povinnost zákazníka vyplňujícího své osobní údaje do objednávkového formuláře vhodnou formou informovat o tom, kdo jste a jaké osobní údaje, jakým způsobem, za jakým účelem, na základě jakého právního důvodu a po jakou dobu zpracováváte. Pokud osobní údaje předáváte dalším subjektům (zpracovatelům), je třeba o tom zákazníka rovněž informovat. V neposlední řadě jste povinni zákazníka poučit o jeho právech, které ze zpracování jeho osobních údajů vyplývají.

K tomu všemu slouží podmínky zpracování osobních údajů, což je zpravidla samostatný dokument, který všechny uvedené informace obsahuje a na jehož plné znění byste měli v objednávce odkazovat.

A co souhlas?

Tím vaše možnosti coby správce osobních údajů však zdaleka nekončí. Chcete-li osobní údaje zpracovávat i za jiným účelem, který nelze opřít o některý ze tří výše uvedených právních důvodů, můžete svého zákazníka požádat, aby vám k tomu udělil souhlas.

Právní důvod souhlas se při objednávce projeví jako zaškrtávátko (checkbox) v objednávkovém formuláři. U něj je uvedena stručná informace popisující, s čím zákazník jeho zaškrtnutím souhlasí, a to opět včetně odkazu na úplné znění podmínek zpracování osobních údajů.

Informace o udělení souhlasu (zaškrtnutí checkboxu) se uloží do FAPI spolu s provedenou objednávkou. Díky tomu je možné údaje, k jejichž zpracování zákazník udělil souhlas, přenést do jiného systému a využít oprávněným způsobem (např. pro zasílání obchodních nabídek třetích stran).

Úpravy ve FAPI související s GDPR

1) Informační povinnost a souhlas se zpracováním osobních údajů

Hlavní nastavení související s GDPR se týká informační povinnosti. Jde o text, který se zobrazuje v objednávkovém formuláři a ve kterém svým klientům sdělujete všechny podstatné informace o zpracování osobních údajů. Potřebná nastavení najdete v posledním kroku nastavení prodejního formuláře (záložka Vzhled).

Na stejném místě můžete nastavit také souhlas se zpracováním osobních údajů pro libovolný účel. Zadaný text se zobrazí v objednávkovém formuláři spolu s checkboxem pro jeho potvrzení.

Konkrétní znění textu informační povinnosti a souhlasu se zpracováním osobních údajů může vypadat třeba jako na tomto obrázku.

2) Účel zpracování a souhlas u akcí

Pokud potřebujete osobní údaje svých klientů zpracovávat i v jiném systému či aplikaci, můžete k přenosu dat využít akce v prodejním formuláři. V takovém případě je užitečné přenášet spolu s osobními údaji také informace o účelu zpracování, popř. o uděleném souhlasu. K tomu slouží rozšiřující volby v nastavení akce. Podrobnosti najdete v nápovědě.

3) Údaje GDPR v exportu

Pro účely evidence se všechny údaje týkající se GDPR ukládají přímo k jednotlivým objednávkám (resp. fakturám). Tyto údaje jsme přidali do exportu faktur do formátu CSV. Jde o následující sloupce:

  • GDPR text – text informační povinnosti (popř. souhlasu) uvedený v prodejním formuláři v okamžiku objednávky,
  • GDPR souhlas – názvy a stavy všech souhlasů nastavených v prodejním formuláři v okamžiku objednávky.

4) Odstranění e-mailové adresy z URL děkovací stránky

URL adresa vlastní děkovací stránky po odeslání objednávky z prodejního formuláře FAPI doposud obsahovala e-mailovou adresu klienta a VS vytvořené objednávky, mohla tedy vypadat např. takto:

http://www.firma.cz/podekovani/?email=test@seznam.cz&vs=20181028

 

Abychom předešli nevyžádanému předávání osobních údajů třetím stranám, umožňujeme odstranění e-mailové adresu z děkovací stránky pomocí nastavení v prodejním formuláři FAPI. Stačí zrušit zaškrtnutí parametru Vkládat e-mailovou adresu klienta do URL děkovací stránky v nastavení prodejního formuláře (záložka Děkovací stránka)

URL adresa stejné děkovací stránky bude po úpravě vypadat takto:

http://www.firma.cz/podekovani/?vs=20181028

 

P.S. Obsah tohoto článku průběžně doplňujeme, abyste zde našli vždy aktuální informace. Pokud máte jakýkoli konkrétní dotaz k GDPR ve FAPI, napište nám na adresu gdpr@fapi.cz.

Datum poslední aktualizace: 12. 7. 2018

Další zdroje: Informace o GDPR na stránkách Úřadu pro ochranu osobních údajů

5/5 - (1 vote)
Komentáře
  1. Dobrý den,
    co když klient check-box se souhlasem nezaškrtne? Souhlas by (co vím) neměl být důvodem k neprovedení akce, tudíž by měla být objedánávka dokončena, je to tak? Bude ale klient nějakým mezikrokem upozorněn, že zapomněl (?) zaškrtnout toto políčko?

    • Radim Topič napsal:

      Souhlas se zpracováním osobních údajů je vždy nepovinný. Objednávku tedy bude možné odeslat i bez souhlasu a jeho udělení nesmí být vynuceno. Nevím, jak by to interpretoval právník, ale upozornění, že klient „zapomněl“ zaškrtnout checkbox, bych zde chápal jako určitou formu nátlaku.

      • A co takhle znění: „Jsi si jistý/á, že nechceš, abychom Ti zasílali naši nabídku?“ Tím nikoho nenutíme, jen mu dáváme znovu prostor k tomu, aby se rozmyslel

        • Radim Topič napsal:

          K tomu se skutečně nedokáži fundovaně vyjádřit. Váš dotaz doporučuji vznést na právníka znalého problematiky GDPR.

  2. Cresta Norris napsal:

    Dobrý deň,
    právny dôvod SÚHLAS je podľa môjho názoru v kontexte s FAPI naprosto irelevantný a jeho použitie je neopodstatnené. FAPI je aplikácia, ktorá zabezpečuje vybavenie objednávky a procesy s tým súvisiace. Preto všetky osobné údaje ktoré k tomu potrebujete spadajú pod: plnění smlouvy, (pre vybavenie objednávky), postupne sa v čase pridáva dôvod: splnění zákonné povinnosti, (účtovníctvo) a nanajvýš môže v čase pribudnúť ak si to dokážete právne zdôvodniť: oprávněný zájem, (právna ochrana vašich záujmov…) Ale SÚHLAS pri vypĺňaní objednávky nepotrebujete s ničím (dokonca v SR je podľa stanoviska SOI protizákonné vyžadovať aj súhlas s obchodnými podmienkami a je to pokutované…) Checkbox so zaškrtávatkom by malo zmysel „pribaliť“ ku objednávke len ako pokus o získanie súhlasu pre marketingové účely. Táto okolnosť by však musela byť pri zaškrtávatku zreteľne uvedená a jeho nezaškrtnutím nesmie byť nič podmieňované…

    • Radim Topič napsal:

      Právní důvod „souhlas“ (např. se zasíláním obchodních sdělení) má při odeslání objednávky jednoznačně smysl. Umožňuje obchodníkovi získat od klienta souhlas ke zpracování osobních údajů již při objednání produktu či služby, aniž by o to musel žádat jiným a pravděpodobně mnohem složitějším způsobem. To, že FAPI technicky zajišťuje zpracování objednávky, s tím nijak nesouvisí. Pokud zákazník souhlas udělí, může FAPI předat osobní údaje vyplněné v objednávce do jiného systému, kde se použijí v souladu s účelem, ke kterému byl souhlas získán.

      Souhlas s obchodními podmínkami s GDPR a zpracováním osobních údajů nesouvisí. Právní výklad toho, zda je souhlas s OP v objednávce nutné projevit zaškrtnutím checkboxu nebo stačí pouhé stisknutí tlačítka pro odeslání objednávky, není jednotný. I proto je tato funkce ve FAPI volitelná – necháváme na uživateli, zda ji využije. U souhlasu se zpracováním osobních údajů samozřejmě bude možné uvést všechny zákonem požadované informace a odeslání objednávky nebude podmíněno jeho zaškrtnutím.

      • Cresta Norris napsal:

        Iste Radime, (v podstate s Vami nemožno nesúhlasiť); v zásade ste zopakovali to isté čo som uviedol. Ibaže z opačného konca. Vo svojej argumentácii kladiete na prvé miesto získanie súhlasu so zasielaním „obchodních zdělení“… kdežto ja ho formulujem len ako „možnosť pribaliť ho ku objednávke“- takže v zásade hovoríme o tom istom, len s dôrazom na niečo iné.

        Ešte poznámka k súhlasu s OP. Spomenul som to len na okraj ako príklad často nesprávne vnímaného postavenia predávajúceho voči kupujúcemu.

        Akokoľvek sa bude právny výklad ohľadom „SÚHLASU“ s OP rôzniť, faktom ostáva, že zákazník so znením OP nie je povinný súhlasiť.

        OP nie sú jednostranným dokumentom, kde si predávajúci môže nadiktovať čo chce a zákazník s tým musí súhlasiť a keď nesúhlasí predávajúci mu jednoducho môže odmietnuť umožniť nakupovať lebo neprejavil súhlas s jeho OP.

        Vôbec preto nie je rozhodujúci právny výklad toho: „zda je souhlas s OP v objednávce nutné projevit zaškrtnutím checkboxu nebo stačí pouhé stisknutí tlačítka pro odeslání objednávky“ (ako uvádzate)

        Pretože súhlas s OP jednoducho nikto nikomu nedáva, ani zaškrtnutím checkboxu, ani odoslaním objednávky.

        Preto formulácie v OP typu: odoslaním objednávky vyjadrujete súhlas s týmito OP – sú právnym nezmyslom a orgánmi obchodnej inšpekcie vyhodnotené ako protiprávne, nakoľko môžu kupujúceho uviesť do omylu.

        Dôvod je jednoduchý. OP sú len informatívnym dokumentom (ktorým si predávajúci plní zákonom uloženú povinnosť) v ktorom môže predávajúci použiť len formulácie, práv a povinností oboch strán, ktoré mu zákon/y dovoľujú. Uloženie práv alebo povinností mimo rámec zákona/ov je možné len ak je to v prospech kupujúceho (garancia vrátenia peňazí a pod.)

        Rozhodovať o právnej relevantnosti či správnosti formulácií v OP môžu (v prípade sporu) len oprávnené orgány, preto je vymáhanie či podmieňovanie súhlasu s OP v rozpore s legislatívou. Kupujúci jednoducho nevyjadruje svoj súhlas s OP predávajúceho ani zaškrtnutím checkboxu, ani stlačením tlačidla pre odoslanie objednávky.

  3. Jana Coufalová napsal:

    Dobrý den, v OP je nutné uvádět kdo spravuje získané osobní údaje. Osobně nemám žádné zaměstnance, takže si vše zpracovávám sama, ale s pomocí FAPI a Miowebu.
    Musí to být tedy uvedeno v OP?
    Popřípadě jak by mohla taková formulace vypadat?
    Moc děkuji

    • Radim Topič napsal:

      Aplikace FAPI a MioWeb jsou nástroje provozované naší společností SmartSelling a.s., která vůči Vám vystupuje jako zpracovatel osobních údajů. V rámci informací, které poskytujete subjektům osobních údajů (svým klientům) jste podle GDPR povinna informovat o dalších subjektech, kterým osobní údaje předáváte, což je typicky právě zpracovatel. Formu přitom zákon výslovně nestanovuje. V obchodních podmínkách, popř. v jiném dokumentu, který popisuje zpracování osobních údajů, stačí tedy uvést např. větu: „K vašim osobním údajům mají přístup zaměstnanci a spolupracovníci zpracovatele, firmy SmartSelling a.s., a to prostřednictvím aplikací FAPI a MioWeb.“

  4. monika napsal:

    Dobrý deň, môžete mi prosím objasniť nasledovné:
    1 ak pridám do predajného formulára súhlas s ochranou OÚ a klient ho nezaškrtne, formulár ho pustí ďalej alebo nie?

    • Radim Topič napsal:

      Souhlas klient neposkytuje s „ochranou osobních údajů“, ale se zpracováním osobních údajů za konkrétním účelem, který musí být v textu souhlasu jasně specifikován.

      Odeslání objednávky není vázáno na udělení souhlasu. Jinými slovy objednávku lze uskutečnit i bez zaškrtnutí souhlasu.

  5. Dana napsal:

    Dobrý den, pokud přidám do formuláře volitelný checkbox jako souhlas se zasíláním obchodních novinek (typický newsletter) kde zjistím zda ho klient zaškrtl nebo ne. Je možné si takto označené klienty vyexportovat?

    • Radim Topič napsal:

      Stav zaškrtnutí souhlasu v objednávce jsme přidali do exportu faktur. Najdete ho v exportu faktur do formátu CSV (sloupec „GDPR souhlas“).

  6. Elena Vargová napsal:

    Dobrý deň, chcem sa len uistiť – ak pridám do predajného formulára zaškrtávacie políčko pre súhlas (na marketing), súvisí jeho (ne)zaškrtnutie s určením pridania do zoznamu, prípadne zoznamov Smartemailingu v časti Akcie? Teda, ak ho nezaškrtne, daná akcie neprebehne? Chápem to správne?
    Druhá otázka – čo ak v niektorom objednávkovom formulári takéto políčko zaškrtne, no o nejaký čas neskôr ho v inom formulári (napr. pri sťahovaní ebooku) nezaškrtne – spôsobí to niečo s jeho kontaktom v SE?
    Vopred ďakujem za odpoveď.

    • Radim Topič napsal:

      1) Ano, chápete to správně.

      Souhlas se zpracováním osobních údajů definovaný na záložce Vzhled v nastavení prodejního formuláře, je vždy potřeba propojit s příslušnou akcí, která se souhlasem pracuje (např. zápis kontaktu do SmartEmailingu). Bez toho by neměl souhlas udělený v objednávce ve FAPI žádný funkční dopad.

      Je-li akce v prodejním formuláři podmíněna souhlasem (u akce je vybrán souhlas definovaný na záložce Vzhled), provede se pouze tehdy, když klient v objednávce souhlas udělí.

      2) Na druhou otázku nelze jednoznačně odpovědět. Záleží na konkrétním nastavení. Obecně lze ale říci, že akce na zápis kontaktu do SmartEmailingu (kromě samotného zápisu kontaktu) účely zpracování ke kontaktu pouze přidává.

      Pokud tedy klient v jedné objednávce souhlas udělil a v druhé objednávce ne, kontakt včetně souhlasu se zpracováním osobních údajů se do SmartEmailingu v případě první objednávky zapíše. Neudělení souhlasu u druhé objednávky se projeví tak, že se žádný další zápis kontaktu s účelem zpracování neuskuteční. To ale nijak neovlivní již jednou udělený souhlas.

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů