GDPR ve FAPI

Od 25. 5. 2018 je v EU v účinnosti obecné nařízení o ochraně osobních údajů - General Data Protection Regulation (GDPR). Tato legislativní úprava má pochopitelně dopad také na zpracování osobních údajů ve FAPI.

V následujícím textu si popíšeme, jakým způsobem se GDPR dotýká FAPI a co je v něm potřeba nastavit, abyste byli s GDPR v souladu.

Se základní terminologií týkající se ochrany osobních údajů se můžete seznámit např. v tomto slovníčku GDPR.

Účel a právní důvod zpracování osobních údajů

Každé zpracování osobních údajů se musí dít za jasně specifikovaným účelem. S tímto účelem je vždy spojen právní důvod (titul) zpracování. Zákon výslovně uvádí několik právních důvodů, na základě kterých je možné osobní údaje zpracovávat.

Při zpracování osobních údajů za účelem prodeje prostřednictvím FAPI přicházejí v úvahu prakticky pouze tyto 3 právní důvody:

  • plnění smlouvy (např. použití jména, příjmení, e-mailové a korespondenční adresy, popř. telefonního čísla pro informování o stavu objednávky a doručení produktu)
  • zákonná povinnost (např. vystavení faktury s osobními údaji klienta)
  • oprávněný zájem (např. zasílání upomínek na e-mailovou adresu vyplněnou v objednávce)

Informační povinnost

U všech výše uvedených právních důvodů není zapotřebí souhlas klienta se zpracováním osobních údajů. Na druhou stranu je třeba klienta před uskutečněním objednávky informovat o všech zákonných náležitostech zpracování osobních údajů, a to zejména o tom:

  • jaké osobní údaje jsou zpracovávány,
  • kdo je správce osobních údajů, popř. jaký další subjekt údaje zpracovává,
  • za jakým účelem a s jakým právním důvodem jsou údaje zpracovávány,
  • po jakou dobu jsou údaje zpracovávány,
  • jaká jsou práva klienta vzhledem ke zpracování osobních údajů.

Pro zadání textu informační povinnosti, včetně volitelného odkazu na plné znění podmínek zpracování osobních údajů, slouží pole TEXT INFORMAČNÍ POVINNOSTI, TEXT URL a URL na záložce Vzhled v nastavení prodejního formuláře.

Text vyplněný v poli TEXT URL se v prodejním formuláři zobrazí na konci textu informační povinnosti jako odkaz (s adresou zadanou v poli URL).

Souhlas se zpracováním osobních údajů

Kromě tří výše uvedených právních důvodů je možné v objednávce získat od klienta rovněž souhlas se zpracováním jeho osobních údajů pro libovolný účel, který nepokrývá jiný právní důvod.

Typicky může jít např. o zasílání nabídek, které nesouvisí se zakoupeným produktem nebo poskytnutou službou, nebo o zasílání obchodních sdělení třetích stran (affiliate spolupráce).

Pro nastavení souhlasu se zpracováním osobních údajů klienta slouží sekce SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ na záložce Vzhled v nastavení prodejního formuláře.

Nový souhlas vytvoříte pomocí tlačítka Přidat souhlas. Již existující souhlas naopak odstraníte stiskem tlačítka Smazat.

Je-li souhlas se zpracováním osobních údajů použitý u akce (na záložce Akce v nastavení prodejního formuláře), nelze jej z nastavení smazat.

Nastavení souhlasu má obdobnou strukturu jako nastavení informační povinnosti (pole TEXT SOUHLASU, TEXT URL, URL). Na konci textu souhlasu může být připojen odkaz na plné znění podmínek zpracování osobních údajů.

Zpracování osobních údajů v objednávce

Výše popsané nastavení informační povinnosti a souhlasu se zpracováním osobních údajů se v objednávkovém formuláři zobrazí jako text, resp. text s checkboxem v samostatné sekci Zpracování osobních údajů.

Příklad použití zachycuje následující obrázek.

Souhlas se v objednávkovém formuláři zobrazuje jako nezaškrtnutý checkbox. Objednávku je možné odeslat i bez udělení souhlasu (souhlas ze zpracováním osobních údajů je vždy dobrovolný).

Předávání osobních údajů do externích systémů

Chcete-li s osobními údaji uloženými ve FAPI pracovat i jiným způsobem, nad rámec funkcionality FAPI, je potřeba data přenést do externího systému. Příkladem může být zápis kontaktu do aplikace SmartEmailing pro zasílání e-mailů klientům.

V takovém případě je vhodné spolu s přenášenými údaji předat také informaci o účelu a právním důvodu zpracování. K tomu slouží doplňující nastavení u akcí prodejního formuláře (záložka Akce v nastavení prodejního formuláře).

Zápis osobních údajů do SmartEmailingu

U akce přidat kontakt do SmartEmailingu je možné vybrat účel zpracování z účelů, které jsou definovány v propojeném účtu SmartEmailingu.

Po tomto nastavení se při zápisu kontaktu do SmartEmailingu přiřadí k danému kontaktu zvolený účel zpracování (včetně právního důvodu, který je u účelu uveden).

Potřebujete-li kontakt do SmartEmailingu zapsat s více účely zpracování, je nutné vytvořit více akcí "přidat kontakt do SmartEmailingu" - pro každý účel zpracování jednu. Kontakt se pak do seznamu zapíše pouze jednou, ale přiřadí se k němu všechny nastavené účely zpracování.

Je-li u nastaveného účelu zpracování uveden právní důvod "souhlas", je potřeba u akce vybrat také souhlas (definovaný v prodejním formuláři na záložce Vzhled), na základě kterého se budou údaje zpracovávat.

Pokud klient při objednávce souhlas neudělí (nezaškrtne checkbox pro udělení souhlasu), akce podmíněná souhlasem se neprovede.

Zápis osobních údajů do jiných systémů

Pro přenos osobních dat z FAPI do jiného externího systému lze v prodejním formuláři použít akci spustit programový skript. V takovém případě je třeba účel zpracování a právní důvod evidovat na straně cílového systému.

Má-li být provedení akce podmíněno souhlasem klienta, je potřeba v nastavení akce zvolit, na základě jakého souhlasu se má akce provést.

Pokud klient při objednávce souhlas neudělí (nezaškrtne checkbox pro udělení souhlasu), akce podmíněná souhlasem se neprovede.

Nenastavíte-li u akce žádný souhlas (tedy ponecháte v poli pro výběr souhlasu text - souhlas se zpracováním osobních údajů -), provede se akce vždy, tj. její provedení nebude podmíněno udělením souhlasu klienta.

Údaje GDPR v exportu

Pro účely evidence se všechny údaje týkající se GDPR ukládají přímo k jednotlivým objednávkám (resp. fakturám). Tyto údaje najdete v exportu faktur do formátu CSV v následujících sloupcích:

  • GDPR text - text informační povinnosti (popř. souhlasů) uvedený v prodejním formuláři v okamžiku objednávky,
  • GDPR souhlas - názvy a stavy všech souhlasů nastavených v prodejním formuláři v okamžiku objednávky.