Poradna: Potřebuje e-shop pověřence a souhlas zákazníka ke zpracování osobních údajů?

11. 3. 2018 | Zdroj: Hospodářská komora ČR (HK ČR)

Nařízení GDPR je tzv. přímo aplikovatelné a závazné pro všechny členské státy EU. Členské státy si nemohou upravovat pravidla odlišně. V České republice GDPR nahradí zákon o ochraně osobních údajů, z toho důvodu není potřeba čekat na prováděcí legislativu.

Na stávající definici zpracování osobních údajů, jak je upravena v zákoně o ochraně osobních údajů, GDPR nic nemění. Je důležité, aby provozovatel e-shopu promítl GDPR do všech činností, ve kterých provádí zpracování osobních údajů. Jestliže provozovatel e-shopu zpracovává osobní údaje pro účely uzavření a plnění kupní smlouvy, tedy k uskutečnění nákupu zákazníka přes internet, není nutné obstarávat souhlas se zpracováním osobních údajů.

Obstarání souhlasu se bude týkat například těch provozovatelů e-shopu, kteří budou zpracovávat věrnostní program pro své zákazníky nebo zpracovávat údaje, na základě kterých bude docházet k profilování zákazníků. Nařízení GDPR v preambuli stanoví, že dosud obdržené souhlasy zůstávají i nadále platné. Jinými slovy, je-li zpracování založeno na základě dřívějšího souhlasu, není nutné, aby byl souhlas udělen znovu, pokud je způsob udělení daného souhlasu v souladu s podmínkami nařízení GDPR.

Souhlas ale nesmí být součástí obchodních podmínek, nejsou ani dostatečné souhlasy se zpracováním osobních údajů získané automatizovaným způsobem, například pomocí předvyplněného zaškrtávacího políčka souhlasu. Souhlas se zpracováním osobních údajů může být udělen elektronicky, ale musí být proveden aktivním zaškrtnutím možnosti Ano pro konkrétní způsob zpracování. Musí být dán svobodně a ke konkrétnímu účelu. Tento účel musí být jednoznačně specifikován a musí být prokazatelně doložen po celou dobu zpracování.

Speciál: GDPR a jeho dopady na firmy

Základem je jednoduchá a srozumitelná komunikace. Zákazník musí vědět, kdo zpracovává jeho osobní údaje (nutná identifikace provozovatele e-shopu), musí vědět, proč jeho osobní údaje zpracovává (například za účelem nákupu zboží), jak dlouho je bude uchovávat (provozovatel e-shopu by měl smazat data, se kterými nepracuje) a kdo další získá jeho osobní údaje (externí firma).

Musí e-shop jmenovat pověřence?

Pro obvyklý provoz e-shopu nemusí jejich provozovatel jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence by nastala v případě, že by hlavní činnost e-shopu spočívala v operacích zpracování osobních údajů, které vyžadují rozsáhlé, pravidelné a systematické monitorování zákazníků, či by hlavní činnost spočívala v rozsáhlém zpracování citlivých údajů, respektive zvláštních kategorií údajů.

Jaká jsou pravidla pro používání cookies?

Vedle GDPR se v EU projednává další návrh nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích), známé také pod názvem ePrivacy. Tento předpis upravuje pravidla pro používání cookies. Pravidla na ochranu soukromí by se měla vztahovat také na nové poskytovatele služeb elektronických komunikací, jako je WhatsApp, Facebook Messenger, Skype, Gmail, iMessage nebo Viber. Schválení nařízení o e-privacy je možné očekávat ve druhé polovině roku 2018.

Převzato z časopisu Komora, autorka článku: Lucie Plachá

Tisknout Vaše hodnocení:

Štítky článků

Související články

Diskuse k článku

+ Nový příspěvek