V minulém článku o GDPR jsme se podívali na obecné informace ohledně tohoto nejvíce diskutovaného nařízení Evropské unie v posledních měsících. Nyní přicházíme s konkrétními dopady předpisu na Shockworks a systém našich e-shopů Alfax. Ve spolupráci se Zemanovou advokátní kanceláří, jsme připravili souhrn všech interních procesů pro zpracování dat, potřebných technických úprav a jejich harmonogram.
Interní procesy pro práci s daty
V první polovině května začneme distribuovat zpracovatelské smlouvy našim klientům. Zpracovatelské smlouvy budeme k podpisu rozesílat e-mailem. Současně vydáme nové obchodní podmínky, ve kterých bude upravena sekce o ochraně osobních údajů a bude zde přidáno poučení o právech subjektů údajů.
GDPR definuje tyto práva subjektů údajů na zacházení s jejich osobními daty:
- právo na přístup k osobním údajům,
- právo na jejich opravu a výmaz,
- právo na omezení jejich zpracování,
- právo na jejich přenositelnost či
- právo podat námitku.
Z uvedeného výčtu spadají pod naši správu právo na výmaz, přístup a přenositelnost dat. Po konzultaci se Zemanovou advokátní kanceláří jsme si definovali způsoby, jak budeme tato práva implementovat. Pokud subjekt údajů uplatní právo na přístup a přenositelnost, bude mu dodán export dat v definované CSV struktuře z objednávek vedených v našem systému, včetně dat navíc (např. produktových). V případě práva na výmaz, existuje definice, která osobní data budou po požadavku na jich výmaz odstraněna. Jedná se o uživatelské údaje. Data z objednávek a fakturací je nutné v systému ponechat z důvodu oprávněného zájmu správce.
Technické úpravy Alfaxu
Z analýzy frontendů našich projektů a administračního rozhraní vzešly některé technické úpravy, které budou v Alfaxu nezbytné. Jde především o úpravy sběru dat a přidání logování akcí uživatelů v systému.
Sběr dat
V projektech vyvineme novou komponentu pro doplnění souhlasů se zpracováním osobních údajů. Komponenta bude přes administrační rozhraní umožňovat doplnit libovolné množství souhlasů v jakémkoli znění (text bude možné upravovat přes editor) k níže sepsaným místům sběru informací. Bude možné také volit, zda je souhlas povinný. Místa, kde bude možné nové souhlasy zobrazit:
- formulář objednávky – souhlasy se zpracováním osobních údajů budou přesunuty do 3. kroku košíku, tedy k formuláři, kde k zadání osobních údajů dochází,
- formulář registrace uživatele – zobrazený mimo objednávkový proces,
- kontaktní formuláře – pokud jsou na projektu nějaké
- widget newsletter – jednoduchá formulářová komponenta pro sběr e-mailů,
- mailchimp sběr e-mailů – složitější formulářová komponenta pro sběr e-mailů.
Nová komponenta bude vytvořena pro všechny projekty společně, bude ale nutné zkontrolovat a zapracovat její výsledek na frontendu projektů. Dokončení plánujeme v první polovině května, v druhé polovině bychom pracovali na eventuálních úpravách frontendů projektů podle jejich konfigurace.
Logování
Administrace systému Alfax je plná osobních údajů. Abyste věděli, se kterými daty se pracovalo, kdo a jak s nimi nakládal, vyvineme systém logování událostí práce přihlášených uživatelů s daty. Prvním krokem bude tedy logování, jaký uživatelský účet se přihlásil, kdy a odkud. Dále budeme logovat provádění hromadných operací s uživatelskými údaji – tedy např. exporty dat. Toto logování se bude týkat veškerých míst Alfaxu, kde se vyskytují hromadné operace s osobními údaji. Popisovanou funkcionalitu plánujeme vyvinout v druhé polovině měsíce května.
V rámci GDPR je nutné provést mnoho úprav, tím spíš ve světě e-commerce. Je potřeba se na to však dívat pozitivně, alespoň si všichni uděláme pořádek v datech. Pokud máte jakékoli dotazy ohledně dané problematiky, neváhejte nás kontaktovat prostřednictvím e- mailu podpora@shockworks.cz.
