Zoner inShop a GDPR (4.7.10)
Co by měli řešit majitelé e-shopu v souvislosti s GDPR je uvedeno v obecnějším článku GDPR nejen pro eshop, který se věnuje spíše právní stránce věci.
Nyní jsme pro vás připravili více technicky orientovaný článek obsahující konkrétnější informace o tom, jak jsme implementovali GDPR do Zoner inShopu, jaká jsou příslušná nastavení a co znamenají.
Opatření na ochranu osobních údajů
Databáze
Osobní údaje jsou v databázi uloženy zašifrované, heslo potřebné k jejich dešifrování je uloženo odděleně od databáze. Pokud se někdo zmocní databáze, nemůže osobní údaje bez znalosti hesla přečíst.
Šifrovány jsou u zákaznických účtů: přihlašovací jména, adresy (kromě PSČ a města), emaily, telefonní čísla, poznámky, vlastní texty.
U objednávek: adresy (kromě PSČ a města)
U přihlášení k odběru novinek: emailové adresy
Webová aplikace s databázovým serverem komunikuje přes zabezpečený protokol TLS. Komunikace mezi aplikací a databází je tak šifrovaná a není možné ji odposlouchávat.
Data v databázi jsou chráněna před přímou modifikací. Bez znalosti hesla není možné osobní údaje modifikovat.
Pokud by útočník, který získal přístup k databázi (např. s pomocí SQL injection), podstrčil své heslo k účtu jiného zákazníka, mohl by se na jeho účet přihlásit a jeho údaje získat. Bez znalosti hesla není možné přímou úpravu v databázi provést.
Zvýšili jsme úroveň ochrany hesel zákazníků. Hesla k zákaznickým účtům jsou nyní zahashována algoritmem BCRYPT.
Komunikace mezi Managerem a serverem
měla by probíhat prostřednictvím zabezpečených protokolů HTTPS a FTPS, standardně zapnuto, signalizováno v Manageru na dashboardu zeleným zámkem. (Zabezpečená komunikace byla implementována již v předchozích verzích.)
Při komunikaci mezi Managerem a serverem jsou navíc v přenosových XML souborech osobní údaje zašifrované, aby je nebylo možné přečíst ani při jejich dočasném uložení do souboru na disk.
Komunikace s ekonomickými systémy
Při komunikaci s ES Pohoda a s Money S3 se data zákazníků a objednávek exportují do XML souborů.
V současné době v nich data nejsou nijak chráněna. Je proto zapotřebí je ochránit režimovými opatřeními, např. nastavit jako šifrovaný disk/složku, kde mají být tyto přenosové soubory umístěny.
Webová aplikace
Důrazně doporučujeme používat HTTPS na všech aliasech (doménových jménech), na nichž je prodejna dostupná.
Upgrade na 4.7.10
Po upgrade na verzi 4.7.10 se otevře průvodce Zabezpečení osobních údajů, který vás provede nezbytnými kroky.
Nejdříve si proveďte zálohu databáze a vygenerovaného klíče.
V dalším kroku se zašifrují osobní údaje v Zoner inShop Manageru, dále se zvýší úroveň zabezpečení hesel přehashováním algoritmem BCRYPT. V posledním kroku se zákaznickým účtům a objednávkám přiřadí počáteční dočasný důvod zpracování. Tyto úkony mohou být časově náročné v závislosti na množství zákaznických účtů a objednávek. V průběhu lze akce přerušit a dokončit je později, nicméně je zapotřebí dokončit průvodce co nejdříve.
Po dokončení průvodce přejděte do agendy Základní nastavení GDPR (popsané v následující kapitole), kde provedete potřebná nastavení.
Důvody zpracování osobních údajů a souhlasy zákazníků
Úvod
Zoner inShop, jako každý eshop, při své činnosti běžně zpracovává osobní údaje zákazníků. V zákaznických účtech, objednávkách, při přihlášení k oběru novinek se evidují osobní údaje. Oprávněnost jejich zpracování by měla být vždy podložena platným právním titulem. Je tedy zapotřebí znát důvod jejich zpracování – může jich být i vícero. Např. pro vyřízení objednávky je nezbytné znát adresu, kam zboží doručit, emailový či telefonní kontakt kvůli případné komunikaci při vyřizování či doručování zboží. K tomu není zapotřebí souhlas zákazníka, právním titulem je „plnění smlouvy“. Po doručení zboží však tento důvod zpracování pominul. Pokud není jiný oprávněný důvod zpracování, je zapotřebí osobní údaje odstranit.
Důvody zpracování mohou mít časově omezenou platnost. Např. po změně stavu objednávky na „Vyřízeno“ lze ponechat osobní údaje u objednávky ještě několik dní na doručení. Nebo po stornování objednávky je možné ponechat pár dní na případnou opravu, pokud bylo storno provedeno omylem. Na takový případ lze vztáhnout tzv. „oprávněný zájem správce“, ovšem smí se aplikovat pouze po nezbytně nutnou dobu.
Na kartě zákazníka a objednávky naleznete novou záložku Zpracování osobních údajů obsahující přiřazené důvody zpracování.
.png.aspx?width=700&height=501)
Souhlas uživatele
Některé důvody zpracování osobních údajů vyžadují souhlas uživatele. V některých případech je souhlas vyjádřen samotným faktem, že zákazník provedl určitou akci – např. se zaregistroval. Registraci provedl sám a dobrovolně a lze to brát jako souhlas. Říkáme, že souhlas se uděluje implicitně.
V jiných případech je zapotřebí souhlas ověřovat. Např. při přihlášení k odběru novinek je zapotřebí se ujistit, že zadaná emailová adresa patří jemu.
Zda se bude nebo nebude souhlas uživatele vyžadovat, se určí podle toho, jaký právní titul se použije u přiřazeného důvodu zpracování. U některých způsobů zpracování může být ještě nastavení právního titulu přebito a souhlas se může vyžadovat vždy. U některých způsobů zpracování je také nastaveno, že se má souhlas uživatele vždy ověřit emailem.
Pokud zákazníky importujete, ať už ze souboru, nebo z ekonomického systému, však u dříve existujících zákaznických účtů nemáte jistotu, že provedli registraci oni sami a dobrovolně, proto je zapotřebí jejich souhlas nyní získat dodatečně.
Souhlas uživatele se eviduje v databázi spolu s časem a IP adresou, odkud zákazník svůj souhlas případně i potvrzení souhlasu dal.
Přiřazování důvodů zpracování
Důvody zpracování se budou přiřazovat objednávkám i novým zákazníkům automaticky v souladu s nastavením, které naleznete v Manageru v nové agendě
Nastavení / Správa osobních údajů / Základní nastavení GDPR. Po instalaci nebo upgrade je modul vypnut,
měli byste nastavení zkontrolovat a modul zapnout.
.png.aspx?width=700&height=387)
Při kliknutí na symbol otazníku se v pravém informačním sloupci zobrazí více informací k vybrané sekci.
Objednávky
Jakmile zákazník vytvoří novou objednávku, je jí ihned přiřazen důvod zpracování „Vyřízení objednávky“ s právním titulem „Plnění smlouvy“ a s omezenou platností s přednastavenou dobou 3 měsíce.
Při změnách stavu objednávky na vyřízeno, doručeno a stornováno se automaticky doba platnosti tohoto důvodu zpracování zkrátí (podle nastavení). Rovněž se změní nastavený právní titul. Nastavení umožňuje podržet osobní údaje i po dobu záruky podle nejdelší záruční doby zboží v objednávce.
Dojde-li ke změně stavu z „Vyřízeno“ či „stornováno“ zpět na „vyřizuje se“ (či „přijatá“ apod.), resetuje se platnost zpět na 3 měsíce od přiřazení.
Volitelně lze přiřadit objednávkám i důvod zpracování „Archivace“ s delší dobou zpracování a právním titulem nevyžadujícím souhlas.
Existujícím objednávkám se po potvrzení nastavení pro dřívější objednávky přiřadí důvody zpracování podle stejného nastavení, jako pro nové objednávky, a zároveň se nastaví jejich platnost a právní titul podle jejich stavu.
.png.aspx?width=700&height=500)
Nové zákaznické účty
Při registraci zákazníka na webu se mu ihned přiřadí důvod zpracování „Registrace uživatelského účtu“ s právním titulem „Přání uživatele“, což je jinými slovy prakticky totéž jako „Souhlas uživatele“, vyžaduje tedy platný souhlas uživatele. Účelem takového zpracování je usnadnění budoucích nákupů zákazníka. Registrace může být časově neomezená nebo s přednastavenou dobou expirace.
Zatrhne-li si zákazník také volbu „Zasílat novinky“, přiřadí se mu další důvod zpracování „Zasílání novinek“ vyžadující ověřený souhlas – zákazníkovi se na uvedenou emailovou adresu pošle email s žádostí o potvrzení souhlasu. Při zrušení této volby je naopak příslušný důvod zpracování odstraněn, resp. souhlas odvolán a důvod zpracování zneplatněn.
Totéž platí i o zatržení volby „Zveřejnit adresu“ (někde také jako „Zasílat informace od partnerů“, v Manageru příznak označen jako „Používání adresy povoleno“).
Naimportujete-li nového zákazníka, budou mu přiřazeny důvody zpracování podle nastavení pro importované zákazníky. Ve výchozím nastavení od něj bude vyžádán souhlas s registrací.
.png.aspx?width=700&height=507)
Existující zákaznické účty
Existujícím zákazníkům se automaticky přiřadí nejdříve dočasný důvod zpracování, aby nedošlo k jejich odstranění, než se rozhodnete, jak s nimi naložit.
Volba, zda je zapotřebí od existujících registrovaných zákazníků získat dodatečný souhlas s registrací, je na vás. Dá se očekávat, že na dodatečné výzvy k potvrzení souhlasu se zpracováním osobních údajů mnoho zákazníků nezareaguje, a souhlas tak od mnohých nezískáte.
Zoner inShop proto umožňuje omezit okruh zákazníků, od nichž je zapotřebí souhlas vyžádat. Např. je-li zákazník označen jako „dealer“, lze předpokládat, že s ním máte uzavřenou smlouvu a není tedy nutný souhlas. Pokud máte mezi zákazníky mnoho firemních účtů, v nichž nejsou osobní údaje, asi nebude nutné je žádat o souhlas s registrací. Avšak pozor, i v nich se mohou nacházet osobní údaje. Nebo – pokud registrovaný zákazník provedl objednávku – je možné předpokládat, že si je registrace vědom a souhlasí s jejím účelem. Pamatujte však, že nemůžete-li souhlas doložit, budete si případně muset zpracování těchto osobních údajů obhájit před Úřadem na ochranu osobních údajů.
.png.aspx?width=700&height=379)
Jakmile provedete příslušná nastavení v agendě Základní nastavení GDPR a potvrdíte je pro dřívější zákazníky, bude dočasný důvod zpracování nahrazen jiným z číselníku Způsoby zpracování odpovídajícím vašim nastavením.
Abyste měli čas na rozmyšlenou a na případné změny nastavení, komu se má posílat žádost o souhlas, je možné na první záložce Hlavní odložit rozesílání žádosti o souhlas se zpracováním osobních údajů, a také odložit mazání osobních údajů.
Jak bude vypadat email se žádostí o dodatečný souhlas nebo o potvrzení souhlasu lze vyzkoušet manuálním odesláním žádosti z karty zákazníka, záložka Zpracování osobních údajů. Žádost se odešle, i když je rozesílání žádostí jinak vypnuto.
Jak to funguje
Nastavení provedená v agendě Základní nastavení GDPR se promítnou do agendy Způsoby zpracování osobních údajů, což je číselník předem připravených případů užití obecných důvodů zpracování s nastavením, pro které případy se mají použít – zda jen pro dealery, nebo pro firemní účty, či jen pro objednávky registrovaných zákazníků atd., s nastavením, zda se má či nemá vyžadovat souhlas, zda se má souhlas považovat implicitně za udělený při jejich přiřazení apod. U každého způsobu zpracování je také nastaveno, jaký právní titul se má přiřadit spolu s tímto způsobem zpracování (dále může být změněn při změně stavu objednávky). Některé způsoby zpracování jsou připraveny pouze pro dříve existující zákazníky a přihlášení k newsletterům.
Vaše nastavení v agendě Základní nastavení zapnout či vypnou některé z nich, případně upraví některá jejich nastavení.
Při vytvoření objednávky, při registraci zákazníka a při registraci k odběru newsletterů se projdou příslušné způsoby zpracování a nejvýše jeden z nich se pro každý obecný důvod zpracování vybere a přiřadí k objednávce (nebo zákaznickému účtu či registraci k odběru novinek).
To znamená, že k objednávce může být přiřazeno 1 a více obecných důvodů zpracování s nastavením určeným ve způsobu zpracování, který se pro ni vybral. Totéž platí i pro zákaznický účet.
Na serveru se denně kontroluje platnost důvodů zpracování u každé objednávky a zákaznického účtu. Těm, u nichž chybí souhlas či je vyžadováno ověření, se pošle žádost o souhlas/ověření souhlasu. Pokud platnost důvodu zpracování skončila či projde lhůta čekání na souhlas, označí se přiřazený důvod zpracování jako ukončený. Jsou-li ukončeny všechny důvody zpracování u objednávky/zákaznického účtu, označí se objednávka/zákaznický účet pro smazání údajů, následně (po několika dnech) dojde k výmazu osobních údajů.
Propojení s ekonomickými systémy
V době implementace jsme neměli žádné informace o tom, jak budou s důvody zpracování osobních údajů ekonomické systémy pracovat. V posledních pár dnech byla vydána verze ES Pohoda umožňující exporty a importy důvodů zpracování, zapracujeme je do propojení v blízké budoucnosti.
Nyní se importovaným zákazníkům přiřadí důvody zpracování stejně, jako by se importovaly ze souboru.