Solidpixels Academy vám přináší jednoduchý návod, aby váš web byl v souladu s GDPR.

Co musí web splňovat, aby byl v souladu s GDPR?

• Cookie notifikace v režimu „opt-in“

• Souhlas se zpracováním osobních údajů u webových formulářů

• Databáze poskytnutých souhlasů a její správa

• Existence stránky "Zásady ochrany osobních údajů"

• Udělení souhlasu "Double opt-in" u přihlášení k newsletteru

• SSL certifikát pro šifrování dat

Cookie notifikace v režimu "opt-in"

Cookies jsou krátké textové soubory, které server umisťuje do počítače uživatele při načtení webové stránky. Směrnice GDPR vyžaduje směrem k souborům cookies přechod z režimu „opt-out“ na režim „opt-in“, neboli ukládání osobních dat do cookies musí být ve výchozím stavu vypnuté. Zapnout ukládání je možné až po odsouhlasení samotným návštěvníkem.

Je třeba zdůraznit, že ne všechny soubory cookies ukládají osobní údaje. Bez souhlasu je možné zapisovat anonymizovaná data, data umožňující uživateli snadnější orientaci na webu (například ty, které rozpoznávají jazyk nebo jsou používané pro přizpůsobení uživatelského rozhraní) a data pro analytiku (například Google Analytics).

Bez souhlasu ale není možné zapisovat ostatní soubory jako reklamní nebo remarketingové soubory používané například sociálními sítěmi (označované jako cookies třetích stran). Tato úprava byla zohledněna novelou zákona o elektronických komunikacích ve znění zákona č. 468/2011 Sb.

Souhlas musí být informovaný. To znamená, že uživateli musí být poskytnuta jasná, srozumitelná a úplná informace o zpracování údajů. Tato informace musí být poskytnuta přímo uživateli a rozhodně nepostačuje, pokud je informace uživatelům dostupná někde na internetových stránkách, kde by ji museli sami vyhledat. Souhlas také musí být odvolatelný. 

Souhlas se zpracováním osobních údajů u webových formulářů

Webové formuláře, které sbírají osobní údaje o návštěvnících webu, musí nově obsahovat povinné potvrzení souhlasu se zpracováním osobních údajů. Je třeba vždy jednoznačně vyjmenovat, za jakým účelem budou tyto informace zpracovávané. Bez jeho zaškrtnutí není možné daný formulář odeslat. 

Souhlasem se dle textu nařízení rozumí jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů, který dává prohlášením či jiným zjevným potvrzením svolení ke zpracování svých osobních údajů. Každý z výše vyjmenovaných přívlastků bude při posuzování zákonnosti získání souhlasu hrát podstatnou roli a lze očekávat, že se na ně zaměří i kontroly, které budou zjišťovat, jestli není souhlas zneužíván či nadužíván a zda ho firma získala v souladu s nařízením.

Databáze poskytnutých souhlasů a její správa

Správce musí být schopen doložit a prokázat souhlas subjektu se zpracováním jeho osobních údajů, a to kdykoliv po dobu, po kterou zpracování probíhá. Každý web, respektive jeho administrační systém by měl být vybavený databází a modulem, ve které jsou uchovávány data o uživatelích s jejich souhlasy se zásadami zpracování osobních údajů, včetně odsouhlasených verzí zásad. Díky takovému modulu je možné při případné kontrole doložit poskytnuté souhlasy nebo naopak na přání užívatele osobní data vymazat a odvolat souhlas.

Do databáze kontaktů i evidovaných souhlasů musí existovat omezený přístup jen pro ty osoby, které potřebují osobní informace uživatelů pro dodání samostatné služby, či vykonání pracovní náplně. Proto musí systém disponovat uživatelskými právy, které umožní nastavit různé úrovně přístupů pro jednotlivé role.

Existence stránky "Zásady ochrany osobních údajů"

Jde o speciální stránku na webu, ve které je transparentně a lidskou řečí vysvětleno: 

• Kdo je správcem a zpracovatelem vašich osobních údajů?

• Jaké vaše osobní údaje zpracovává?

• Proč vaše osobní údaje zpracovává a za jakým účelem?

• Kdo všechno bude mít k vašim údajům přístup?

• Jakým způsobem jsou využívány soubory cookies?

• Jak dlouho vaše údaje zpracovává?

• Jak jsou vaše osobní údaje zabezpečeny?

• Jak lze udelěný souhlas odvolat?

Udělení souhlasu "Double opt-in" u přihlášení k odběru newsletteru

Formuláře, které slouží k odběru newsletteru, musí nově fungovat na základě principu dvojího potvrzení - tzv. "Doube opt-in". S takovým nastavením bude vašemu zákazníkovi vzápětí po registraci poslán e-mail na zadanou e-mailovou adresu, kde musí potvrdit existenci a funkčnost tohoto e-mailu. Výhody použití tvz. dvojitého potvrzení jsou tvorba správné databáze bez překlepů, zabránění falešným registracím, obrana proti nařknutí z posílání SPAMu a v neposlední řadě navýšení počtu doručených e-mailů.

Služby jako Mailchimp a Smart Emailing umožňují zapnutí dvojitého potvrzení a také pro tyto účely připravily návody, jak nastavení zapnout ve vaší administraci. 

SSL Certifikát

Certifikát SSL zaručuje uživatelům webu, že veškerá data vyměněná mezi ním a konkrétní webovou stránkou jsou zabezpečena proti odposlechu. To zajišťuje protokol SSL, který chrání uživatele hned dvěma způsoby: Zaprvé identifikuje web, tj. u webů zabezpečených protokolem SSL máte jistotu, že komunikujete s tím, s kým jste opravdu komunikovat chtěli. A za druhé šifruje komunikaci - všechna data, která si s webem vyměníte, zůstávají chráněna vůči útokům zvenčí. 

Šifrovanou komunikaci zaručí zkratka https:// před každou URL adresou.