GDPR ve FAPI

Od 25. 5. 2018 je v EU v účinnosti obecné nařízení o ochraně osobních údajů - General Data Protection Regulation (GDPR). Tato legislativní úprava má pochopitelně dopad také na zpracování osobních údajů ve FAPI.

V následujícím textu si popíšeme, jakým způsobem se GDPR dotýká FAPI a co je v něm potřeba nastavit, abyste byli s GDPR v souladu.

Se základní terminologií týkající se ochrany osobních údajů se můžete seznámit např. v tomto slovníčku GDPR.

Pokud hledáte informace o používání cookies ve FAPI, mrkněte sem.

Účel a právní důvod zpracování osobních údajů

Každé zpracování osobních údajů zákazníka se musí dít za jasně specifikovaným účelem. S tímto účelem je vždy spojen právní důvod (titul) zpracování. Zákon výslovně uvádí několik právních důvodů, na základě kterých je možné osobní údaje zpracovávat.

Při zpracování osobních údajů za účelem prodeje prostřednictvím FAPI přicházejí v úvahu prakticky pouze tyto 3 právní důvody:

  1. plnění smlouvy (např. použití jména, příjmení, adresy a kontaktních údajů pro informování o stavu objednávky a doručení),
  2. zákonná povinnost (např. vystavení daňových dokladů s osobními údaji klienta),
  3. oprávněný zájem (např. zasílání upomínek na e-mailovou adresu vyplněnou v objednávce).
U všech výše uvedených právních důvodů není zapotřebí výslovný souhlas klienta se zpracováním osobních údajů.

Informační povinnost

 Zároveň však platí, že je třeba klienta před uskutečněním objednávky informovat o všech zákonných náležitostech zpracování osobních údajů, které zpracováváte. Zejména máte povinnost informovat o:

  • rozsahu zpracování – jaké osobní údaje jsou zpracovávány,
  • kdo je správce osobních údajů, popř. jaký další subjekt, odlišný od vás, osobní údaje zpracovává,
  • za jakým účelem a s jakým právním důvodem jsou údaje zpracovávány,
  • po jakou dobu jsou údaje zpracovávány a uchovávány,
  • jaká jsou práva klienta vzhledem ke zpracování osobních údajů.

Pro splnění této informační povinnosti, včetně volitelného odkazu na plné znění podmínek zpracování osobních údajů, ve FAPI slouží sekce SOUHLASY. Tu najdete v nastavení Prodejních formulářů v kroku 6 Vzhled.

Zaškrtnutím políčka u obchodník podmínek umožníte odeslání objednávky jen tehdy, když zákazník sám aktivně klikně na zatržítko SOUHLASÍM S OBCHODNÍMI PODMÍNKAMI.

URL adresa obchodních podmínek zpřístupní zadanou adresu jako proklik při povolování souhlasu s obch. podmínkami.

Text vyplněný v poli TEXT INFORMAČNÍ POVINNOSTI se v prodejním formuláři zobrazí na konci formuláře i s případnými URL odkazy.

Rozšířený souhlas se zpracováním osobních údajů

Kromě tří výše uvedených právních důvodů, ke kterým není třeba souhlas zákazníka, lze při objednávce získat od klienta rovněž rozšířený souhlas se zpracováním jeho osobních údajů pro libovolný účel, který nepokrývá jiný právní důvod.

Typicky může jít o tyto činnosti:

  • zasílání nabídek a obchodních sdělení, které nesouvisí se zakoupeným produktem nebo poskytnutou službou,
  • zasílání obchodních sdělení třetích stran (affiliate spolupráce).

Nastavení rozšířeného souhlasu pak může vypadat například takto:

Nový souhlas vytvoříte pomocí tlačítka Přidat souhlas. Již existující souhlas naopak odstraníte stiskem tlačítka Smazat.

Nastavení souhlasu má obdobnou strukturu jako nastavení informační povinnosti. Do textu může být připojen odkaz na plné znění podmínek zpracování osobních údajů.

Zobrazení ve formuláři tak, jak jej vidí zákazník, pak může mít tuto podobu:

První souhlas je povinný a bez jeho udělení nejde odeslat objednávku. Druhý (rozšířený) souhlas je dobrovolný a lze jej neudělit.

Je-li jakýkoliv souhlas se zpracováním osobních údajů použitý u akce (na záložce Akce v nastavení prodejního formuláře), nelze jej z nastavení smazat.

Předávání osobních údajů do externích systémů

Chcete-li s osobními údaji uloženými ve FAPI pracovat i jiným způsobem, nad rámec funkcionality FAPI, je potřeba data přenést do externího systému. Příkladem může být zápis kontaktu do aplikace SmartEmailing pro zasílání e-mailů klientům.

V takovém případě je vhodné spolu s přenášenými údaji předat také informaci o účelu a právním důvodu zpracování. K tomu slouží doplňující nastavení u akcí prodejního formuláře (záložka Akce v nastavení prodejního formuláře).

Zápis osobních údajů do SmartEmailingu

U akce přidat kontakt do SmartEmailingu je možné vybrat účel zpracování z účelů, které jsou definovány v propojeném účtu SmartEmailingu.

Po tomto nastavení se při zápisu kontaktu do SmartEmailingu přiřadí k danému kontaktu zvolený účel zpracování (včetně právního důvodu, který je u účelu uveden).

Potřebujete-li kontakt do SmartEmailingu zapsat s více účely zpracování, je nutné vytvořit více akcí "přidat kontakt do SmartEmailingu" - pro každý účel zpracování jednu. Kontakt se pak do seznamu zapíše pouze jednou, ale přiřadí se k němu všechny nastavené účely zpracování.

Je-li u nastaveného účelu zpracování uveden právní důvod "souhlas", je potřeba u akce vybrat také souhlas (definovaný v prodejním formuláři na záložce Vzhled), na základě kterého se budou údaje zpracovávat.

Pokud klient při objednávce souhlas neudělí (nezaškrtne checkbox pro udělení souhlasu), akce podmíněná souhlasem se neprovede.

Zápis osobních údajů do jiných systémů

Pro přenos osobních dat z FAPI do jiného externího systému lze v prodejním formuláři použít akci spustit programový skript. V takovém případě je třeba účel zpracování a právní důvod evidovat na straně cílového systému.

Má-li být provedení akce podmíněno souhlasem klienta, je potřeba v nastavení akce zvolit, na základě jakého souhlasu se má akce provést.

Pokud klient při objednávce souhlas neudělí (nezaškrtne checkbox pro udělení souhlasu), akce podmíněná souhlasem se neprovede.

Nenastavíte-li u akce žádný souhlas (tedy ponecháte v poli pro výběr souhlasu text - souhlas se zpracováním osobních údajů -), provede se akce vždy, tj. její provedení nebude podmíněno udělením souhlasu klienta.

Údaje GDPR v exportu

Pro účely evidence se všechny údaje týkající se GDPR ukládají přímo k jednotlivým objednávkám (resp. fakturám). Tyto údaje najdete v exportu faktur do formátu CSV v následujících sloupcích:

  • GDPR text - text informační povinnosti (popř. souhlasů) uvedený v prodejním formuláři v okamžiku objednávky,
  • GDPR souhlas - názvy a stavy všech souhlasů nastavených v prodejním formuláři v okamžiku objednávky.