Ak prevádzkujete e-shop alebo máte na webe kontaktný formulár, pracujete s osobnými údajmi. V praxi ide najmä o bežné veci ako meno, e-mail a adresa doručenia. GDPR od Vás nechce „zastaviť biznis“ — chce, aby ste mali poriadok: zbierali len potrebné údaje, bezpečne ich ukladali, vedeli ich dohľadať, nezdieľali ich zbytočne a po čase ich vedeli aj vymazať alebo minimalizovať.
Čím menej údajov zbierate a čím menej kópií po systémoch vytvárate, tým menšie riziko a tým ľahšie sa Vám plní GDPR.
1) Začnite „mapou dát“: čo zbierate, prečo a kde to končí
GDPR sa Vám bude plniť ľahko, keď si odpoviete na 6 otázok. Stačí si to napísať do poznámok (aj ručne):
- Aké údaje zbierate? (meno, e-mail, adresa…)
- Na aký účel? (doručenie, odpoveď na otázku, fakturácia…)
- Kde sa ukladajú? (databáza e-shopu, e-mail, CRM, účtovníctvo…)
- Kto k nim má prístup? (Vy, podpora, sklad, účtovník…)
- S kým ich zdieľate? (kuriér, platobná brána, newsletter nástroj…)
- Ako dlho ich držíte? (retencia — kedy mažte/minimalizujete)
Táto „mapa“ je základ poriadku. Bez nej sa údaje zvyknú rozliezť po e-mailoch, exportoch a chatoch a potom sa ťažko dohľadávajú aj mažú.
2) Kontaktný formulár: zbierajte len minimum potrebné na odpoveď
Odporúčané minimum
- Meno (alebo prezývka) — aby ste vedeli, ako človeka osloviť
- E-mail — aby ste vedeli odpovedať
- Správa — text otázky
Čo radšej nepýtajte, ak to nepotrebujete
- telefón (iba ak je to naozaj nutné),
- adresa (pri kontaktnom formulári zvyčajne netreba),
- dátum narodenia, rodné číslo, číslo dokladov — takmer nikdy.
Ak Vám na odpoveď stačí e-mail, nepýtajte si ešte aj adresu a telefón „pre istotu“. Je to ako pýtať si od niekoho kľúč od bytu, keď Vám chce len poslať pohľadnicu.
Kde kontakty ukladať, aby sa nestrácali a neboli „všade“
- Najlepšie: ticket systém alebo CRM (máte históriu, prístupy, mazanie).
- V poriadku: e-mailová schránka, ak máte pravidlá (kto má prístup, ako dlho držíte, ako mažte).
- Neodporúčané: kopírovanie správ do Excelu a preposielanie medzi ľuďmi. Vznikajú kópie, ktoré sa potom ťažko kontrolujú.
Ako dlho to držať (praktický príklad)
Kontaktné dopyty zvyčajne postačí držať 3–12 mesiacov (podľa toho, ako dlho sa k nim reálne vraciate). Potom ich vymažte alebo aspoň anonymizujte (napríklad ponechajte len typ dopytu bez e-mailu).
3) E-shop: aké údaje sú bežné a kam s nimi
Pri objednávke spracúvate údaje najmä preto, aby ste vedeli splniť objednávku (doručiť, vyfakturovať, riešiť reklamácie). Dôležité je, aby ste mali jasno, čo patrí do e-shopu, čo do účtovníctva a čo radšej vôbec neukladať.
| Situácia | Minimálne údaje | Kde ich uložte | Ako dlho (príklad) |
|---|---|---|---|
| Objednávka (doručenie) | Meno, adresa, e-mail; telefón len ak je potrebný pre doručenie | E-shop (objednávky) + účtovníctvo (doklady) | Podľa zákonných povinností a potrieb reklamácií |
| Platba | Ideálne len ID transakcie + stav platby | Platobná brána (čísla kariet si neukladajte) | Podľa potrieb účtovníctva a reklamácií |
| Zákaznícky účet | E-mail + heslo (uložené bezpečne), voliteľne meno | V e-shope (s obmedzeným prístupom) | Kým účet existuje; po zrušení minimalizujte |
| Podpora / reklamácie | Kontakt + obsah komunikácie + číslo objednávky | Ticket/CRM (ideálne) alebo e-mail so zásadami | Napr. 2 roky (podľa typu tovaru a sporov) |
| Newsletter | E-mail + dôkaz súhlasu (kedy, ako, odkiaľ) | Newsletter nástroj (oddeliť od objednávok) | Kým trvá súhlas; po odhlásení minimalizujte |
Niektoré údaje na dokladoch (faktúry, účtovné záznamy) musíte uchovávať podľa zákona určitý čas. Preto je dobré si retencie nastaviť tak, aby ste vedeli vysvetliť, čo držíte kvôli zákonu a čo držíte zbytočne (to potom mažte/minimalizujte).
4) „Kam to ukladať?“ — jedno hlavné miesto je lepšie než päť kópií
Najčastejší problém nie je, že údaje nemáte. Problém je, že ich máte na piatich miestach:
- v e-shope,
- v e-mailoch,
- v exportoch (Excel),
- u účtovníka v ďalšom systéme,
- v chate (Messenger, WhatsApp…), kde sa to potom „stratí“.
Odporúčanie: Určte si jedno „hlavné miesto pravdy“ (napr. e-shop alebo CRM). Všetko ostatné nech je iba nevyhnutný doplnok. Menej kópií znamená jednoduchšie mazanie, menšie riziko a rýchlejšie dohľadanie, keď zákazník požiada o informáciu.
5) Zdieľanie údajov s dodávateľmi: posielajte len to, čo potrebujú
Ak posielate údaje kuriérovi, účtovníkovi alebo do newsletter systému, GDPR sa Vás nepýta „prečo máte dodávateľov“, ale či im posielate primerané minimum:
- Kuriér: meno + adresa + (ak treba) telefón pre doručenie.
- Účtovníctvo: údaje potrebné na doklady, nie celé poznámky zo zákazníckej podpory.
- Newsletter: e-mail + dôkaz súhlasu, nie kompletné objednávky.
Zároveň si ustrážte, aby ste vedeli povedať, kto je Váš sprostredkovateľ a že s ním máte nastavené podmienky spracúvania (často je to v zmluve alebo v GDPR dodatku).
6) Marketing a súhlasy: objednávka nie je automaticky newsletter
Veľmi praktické pravidlo: to, čo je potrebné na objednávku, nepodmieňujte marketingom. Marketing (newsletter) riešte zvlášť:
- checkbox pre newsletter nech je nezapnutý (človek si ho zvolí sám),
- text nech je jednoduchý a jasný,
- uložte si dôkaz súhlasu (dátum, formulár/stránka, IP alebo iný záznam podľa nástroja).
7) Retencia: nastavte si „kedy mažte“ — jednoduchý plán na 1 stranu
Nemusíte mať 30-stranovú smernicu. Stačí jednoduchý plán, ktorý viete aj dodržiavať:
- Kontaktné dopyty: napr. 6 mesiacov (ak sa z nich nestane objednávka).
- Objednávky / doklady: podľa zákonných povinností a reklamácií.
- Newsletter: kým trvá súhlas; po odhlásení minimalizujte.
- Bezpečnostné logy: čo najkratšie (napr. 7–30 dní), ak Vám to stačí na riešenie incidentov.
Keď neviete, ako dlho niečo držať, položte si otázku: „Na čo mi to bude o 12 mesiacov?“ Ak je odpoveď „na nič“, nastavte mazanie/anonymizáciu.
8) Čo presne zálohovať, aby sa údaje „nestratili“ (a zároveň to nebola bezpečnostná bomba)
Zálohy sú skvelé, ale aj záloha je kópia osobných údajov. Preto odporúčame zálohovať rozumne:
- Databázu e-shopu (objednávky, zákaznícke účty, nastavenia).
- Súbory webu (téma, pluginy, nahrané súbory).
- Konfigurácie (napr. export nastavení, ak to systém umožňuje).
Dobrá prax: Zálohy majte automatické, prístup k nim obmedzený a nastavte si aj pre zálohy retenciu (napr. denné zálohy 14 dní, týždenné 2 mesiace, mesačné 6–12 mesiacov — podľa potrieb). Cieľ je, aby ste web vedeli obnoviť, ale zároveň ste neskladovali historické osobné údaje „navždy“.
Rýchly checklist (uložte si)
- Viete, aké údaje zbierate, prečo a kde sa ukladajú.
- Kontaktný formulár pýta len minimum (meno/e-mail/správa).
- V objednávke pýtate len to, čo potrebujete na doručenie a doklady.
- Údaje nemáte rozhádzané v exportoch a e-mailoch bez pravidiel.
- Máte jednoduché retenčné lehoty a reálne ich dodržiavate.
- Newsletter je oddelený a súhlasy viete preukázať.
- Viete, komu údaje posúvate (kuriér, platby, hosting) a posúvate len minimum.
- Zálohujete tak, aby ste web obnovili, ale netvorili nekontrolované archívy osobných údajov.
Tento článok je praktický návod a nenahrádza právne poradenstvo. Ak spracúvate špecifické typy údajov alebo máte komplexný biznis (profilovanie, citlivé údaje, medzinárodné prenosy), odporúčame konzultáciu s odborníkom.
