Úvod do problematiky GDPR, GDPR pro e-shopy

26. 6. 2018 | Zdroj: BusinessInfo.cz

Kapitoly článku

Článek seznamuje s dílčí problematikou GDPR a tou je soulad s nastavením e-shopů. V první části se zaměřuje na definici základních pojmů a zásad zpracování osobních údajů, vč. práv subjektů údajů. Ve druhé části se pak věnuje praktickým doporučením pro soulad e-shopů s Nařízením GDPR.

Podrobný obsah

  • Úvod
  • Základní pojmy
    • Osobní údaj
    • Zvláštní kategorie osobních údajů (Citlivé osobní údaje)
    • Zpracování osobních údajů
    • Subjekt údajů
    • Správce
    • Zpracovatel
    • Profilování
  • Zásady zpracování osobních údajů
    • Zásada zákonnosti
    • Zásada korektnosti a transparentnosti
    • Zásada účelového omezení
    • Zásada minimalizace údajů
    • Zásada přesnosti
    • Zásada omezení uložení
    • Zásada integrity a důvěrnosti
  • Práva subjektu údajů
    • Právo na informace
    • Právo na přístup k osobním údajům
    • Právo na opravu a doplnění
    • Právo na výmaz
    • Právo na omezení zpracování
    • Právo na přenositelnost údajů
    • Právo vznést námitku
  • Právní důvody zpracování osobních údajů
  • Praktické GDPR pro e-shopy
  • Přímý marketing

Související právní průvodci

 

Úvod

Dne 25. května 2018 nabylo ve všech členských státech Evropské unie účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení GDPR“).

Nařízení GDPR na rozdíl od zákona č. 101/2000 Sb., zákon o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně údajů“) přináší komplexnější a propracovanější systém ochrany osobních údajů, ať už se jedná o posílení práv subjektů údajů, odpovědnost správce při zpracování osobních údajů, propracovanější systém sankcí apod.

Cílem tohoto článku je seznámit čtenáře s dílčí problematikou, na kterou nové pojetí ochrany osobních údajů rovněž významně dopadá, a to je soulad nastavení e-shopů s Nařízením GDPR. Článek je rozdělen na dvě části, první část se zaměřuje na definici základních pojmů, souhrn základních zásad zpracování osobních údajů na úvod do práv subjektů údajů a na právní důvody zpracování osobních údajů. Druhá část je pak zaměřena na hlavní praktická doporučení pro soulad e-shopů s Nařízením GDPR.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Základní pojmy

Na úvod je vhodné zmínit, že Nařízení GDPR se týká pouze ochrany osobních údajů fyzických osob (včetně osobních údajů osob samostatně výdělečně činných). Na ochranu údajů právnických osob (jako je např. název právnické osoby, IČO, sídlo atd.) se tedy Nařízení GDPR nevztahuje. Nařízení GDPR se rovněž nevztahuje na zpracování osobních údajů jinou fyzickou osobou, která takto osobní údaje zpracovává čistě pro osobní účely.

Pro bližší pochopení problematiky GDPR jsou níže vysvětleny základní pojmy, s nimiž GDPR pracuje.

Osobní údaj

Osobním údajem jsou veškeré informace a údaje, na základě kterých lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Jedná se nejen o jméno a příjmení, datum narození a bydliště či rodné číslo, ale osobním údajem může být též emailová adresa, telefonní číslo, dosažené vzdělání, IP adresa apod.

Slovy Nařízení GDPR, osobním údajem jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě (…); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“ (čl. 4 odst. 1 Nařízení GDPR). Nařízení GDPR tak definuje osobní údaj víceméně obdobně jako zákon na ochranu osobních údajů.

Zvláštní kategorie osobních údajů (Citlivé osobní údaje)

Zvláštní kategorie osobních údajů, zákonem na ochranu osobních údajů nazývány též jako citlivé údaje, jsou informace, jejichž únik může danou fyzickou osobu významně (především společensky) poškodit.

Do zvláštních kategorií osobních údajů patří osobní údaje, „které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“. Zvláštní kategorie osobních údajů požívají dle Nařízení GDPR zvláštní, zvýšené ochrany. V souvislosti s provozováním e-shopů však k jejich zpracování v podstatě nedochází.

Zpracování osobních údajů

Zpracováním osobních údajů se zjednodušeně rozumí nakládání s osobními údaji, tj. operace či soubor operací s osobními údaji, kdy tyto operace jsou činěny za určitým účelem. Nařízení GDPR uvádí příklady takových operací.

Jedná se například o vyhledání, použití, shromáždění, uspořádání, šíření, zničení, omezení, zaznamenání apod. Nařízení GDPR se tudíž od zažité definice zpracování osobních údajů, která je obsažena v zákoně na ochranu osobních údajů, příliš neodchyluje.

Subjekt údajů

Subjektem údajů je fyzická osoba, které se dané osobní údaje týkají, když na základě těchto osobních údajů lze danou fyzickou osobu identifikovat. Subjektem údajů je však pouze osoba žijící. Zesnulé osoby ochrany osobních údajů dle Nařízení GDPR nepožívají.

Pro účely tohoto článku je subjektem údajů zákazník, který do objednávkového formuláře vyplnil své osobní údaje.

Správce

Správcem osobních údajů je jakýkoli subjekt (fyzická osoba, právnická osoba, orgán veřejné moci apod.), který určuje, za jakým účelem a jakým způsobem se osobní údaje budou zpracovávat, kdy za takové zpracování osobních údajů správce sám odpovídá.

Typicky se tedy bude jednat právě o provozovatele e-shopů, kteří při jejich provozu získávají osobní údaje od svých zákazníků a zpracovávají je za účelem vyřízení objednávky, reklamačního řízení nebo pro účely přímého marketingu (newslettery, zasílání obchodních nabídek atd.). Definice správce dle Nařízení GDPR navazuje na definici v zákoně o ochraně osobních údajů.

Zpracovatel

Zpracovatelem se rozumí subjekt (fyzická osoba, právnická osoba, orgán veřejné moci atd.), který zpracovává osobní údaje pro správce a na základě jeho pokynů.

Typickým příkladem zpracovatele je například externí účetní firma, která pro společnost zpracovává osobní údaje zaměstnanců za účelem zpracování zaměstnanecké agendy, podání daňových přiznání atd. Definice zpracovatele v souvislosti se zákonem o ochraně osobních údajů zůstává též nezměněna.

Profilování

Profilováním se rozumí automatizované zpracování osobních údajů, jehož účelem je profilace dané fyzické osoby, tj. hodnocení některých jejích osobních aspektů (např. k určení osobních preferencí, zájmů, místa, kde se nachází apod.).

Profilování může mít v souvislosti s provozováním e-shopů význam například při cíleném přímém marketingu. Typicky se bude jednat například o vyhodnocení zákazníka, který si koupil pračku a ledničku, jako vhodného adepta pro nabídku dalšího domácího spotřebiče.

Zásady zpracování osobních údajů

Nařízení GDPR ve svém čl. 5 uvádí základní zásady zpracování osobních údajů, na kterých je celá právní úprava ochrany osobních údajů postavena a od kterých se odvíjí další práva a povinnosti ve vztahu k GDPR.

Mezi tyto zásady patří zásada zákonnosti, korektnosti a transparentnosti, zásada účelového omezení, zásada minimalizace údajů, zásada přesnosti, zásada omezení uložení, zásada integrity a důvěrnosti a zásada odpovědnosti.

Zásada zákonnosti

Zásada zákonnosti patří mezi jednu z nejdůležitějších zásad, které Nařízení GDPR upravuje. Jedná se o povinnost správce zpracovávat osobní údaje za konkrétním předem daným legitimním účelem. To znamená, že správce musí zpracovávat osobní údaje na základě alespoň jednoho právního důvodu, které jsou uvedeny v čl. 6 Nařízení GDPR.

Konkrétně se jedná o plnění smlouvy, plnění právních povinností, ochrana životně důležitých zájmů subjektu údajů, plnění úkolů prováděných ve veřejném zájmu či při výkonu veřejné moci, oprávněný zájem správce a souhlas subjektu údajů se zpracováním jeho osobních údajů. V případě, že správci nesvědčí ani jeden z výše uvedených důvodů, je správce povinen zpracovávané osobní údaje vymazat.

Zásada korektnosti a transparentnosti

Zásada korektnosti a transparentnosti úzce souvisí s právem subjektů údajů na informace, a to zejména o tom, kdo zpracovává jejich osobní údaje, za jakým účelem, kdo má k osobním údajům dále přístup kromě správce (např. Zpracovatel osobních údajů) apod. Tyto informace musí být subjektu údajů poskytovány v jasném a srozumitelném jazyku, měly by být též snadno přístupné (ideálně prostřednictvím internetu, zde lze doporučit umístit příslušné informace přímo na webové stránce e-shopu).

Zásada účelového omezení

Zásada účelového omezení znamená, že správce je povinen zpracovávat osobní údaje jen pro určitý, výslovně vyjádřený legitimní účel. Legitimním účelem může být například plnění předmětu smlouvy, nabídka zboží zákazníkům, zaslání zásilky zákazníkovi apod. Od legitimního účelu se nadále odvíjí právní důvod zpracování osobních údajů (viz Zásada zákonnosti).

V případě, že legitimní účel zpracování není dán, správce je povinen příslušné osobní údaje zlikvidovat. Nařízení GDPR nicméně výslovně uvádí, že i v případě, že legitimní účel zpracování osobních údajů již odpadl, další zpracování je možné, a to za účelem archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely.

Zásada minimalizace údajů

Zásada minimalizace údajů je v nařízení GDPR definována jako povinnost zpracovávat osobní údaje způsobem přiměřeným, relevantním a omezeným na nezbytný rozsah ve vztahu k účelu, pro který jsou osobní údaje zpracovávány. Tato zásada úzce souvisí se zásadou účelového omezení.

Povinností správce osobních údajů je nejen osobní údaje zpracovávat pro konkrétní legitimní účel, ale v rámci tohoto účelu je nutné zpracovávat jen ty osobní údaje, které jsou pro daný konkrétní účel nezbytné (např. zpracování rodného čísla zákazníka pro účely zaslání zásilky jistě za nezbytné považováno nebude).

Správce (či zpracovatel) by navíc neměl osobní údaje zbytečně zpřístupňovat dalším třetím osobám, než je nutné pro plnění daného legitimního účelu, popř. by neměl ukládat osobní údaje do nadbytečných evidencí.

Zásada přesnosti

Zásada přesnosti ukládá povinnost zpracovávat osobní údaje v přesné a v případě potřeby aktualizované podobě. Správce by proto měl přijmout všechna rozumná opatření, aby nepřesné či neaktuální údaje byly opraveny, či v případě, kdy by to nebylo možné, vymazány. Mezi taková (slovy Nařízení GDPR) „rozumná“ opatření lze zařadit např. nastavení vnitřních procesů společnosti, na základě kterých společnost kontaktuje subjekt údajů v případě, že dojde k podezření, že osobní údaj by nemusel být přesný (např. překlep ve jméně, datum narození 1888, bydliště na Praze 285 apod.).

Správce by měl být rovněž připraven promptně reagovat na žádosti subjektů údajů na opravu či aktualizaci osobních údajů, tj. takovou žádost (pokud možno) vyřídit bez zbytečného odkladu. U internetových obchodů lze i doporučit nastavit kontrolu e-mailové adresy zákazníka, na kterou mu chodí všechna potřebná upozornění (např. pomocí ověřovacího e-mailu).

Zásada omezení uložení

Zásada omezení uložení osobních údajů je úzce provázána se zásadou účelového omezení a se zásadou minimalizace údajů. Dle nařízení GDPR tak mohou být osobní údaje „uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovány“ (viz čl. 6 odst. 1 písm. e) Nařízení GDPR).

V praxi tato zásada ukládá správci povinnost zpracovávat osobní údaje jen po nezbytně nutnou dobu, která je nutná pro splnění účelu, za kterým dochází ke zpracování osobních údajů. Po této době je nutné osobní údaje zlikvidovat (na základě názorů odborné veřejnosti, lze mít nicméně za to, že osobní údaje lze například zcela anonymizovat, a to tak, aby „nebyly uloženy ve formě umožňující identifikaci subjektu údajů“).

Na dobu uložení osobních údajů však mohou mít vliv i právní předpisy České republiky, které výslovně stanoví, po jakou dobu se mají určité osobní údaje uchovávat (jedním z příkladů je např. zákon č. 253/2008 Sb., zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu).

I v rámci této zásady jsou však dány výjimky, kdy lze osobní údaje zpracovávat po dobu delší, než je pro konkrétní účel nezbytné. Bude se jednat o zpracování údajů za účelem archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely (viz Zásada účelového omezení).

Zásada integrity a důvěrnosti

Zásada integrity a důvěrnosti znamená povinnost správce zajistit, aby osobní údaje subjektů údajů byly náležitě zabezpečeny proti neoprávněnému či protiprávnímu zpracování či před náhodnou ztrátou, zničením či poškozením. Správce by měl za tímto účelem přijmout vhodná technická a organizační opatření.

Mezi organizační opatření lze zařadit především zajištění závazku mlčenlivosti zaměstnanců správce údajů, popř. jeho dodavatelů, které mají osobní údaje zákazníků k dispozici, dále přijetí vnitřní směrnice na ochranu osobních údajů, v rámci které bude především nastaven systém hlášení případných bezpečnostních incidentů, které mohou ohrozit bezpečnost osobních údajů, lze uvést i pravidelné proškolování zaměstnanců v problematice ochrany osobních údajů apod.

Jako příklad technických opatření lze uvést zabezpečení osobních údajů v uzamykatelné místnosti, zabezpečení počítačů, mobilních telefonů a e-mailů heslem, zamezení přístupu neoprávněných třetích osob k osobním údajům. V případě internetových obchodů lze doporučit rovněž klást důraz na efektivní firewall.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Práva subjektu údajů

Nařízení GDPR přiznává subjektům údajů značný rozsah práv, která mohou vůči správci uplatnit. Jedná se především o právo na informace, právo na přístup k osobním údajům, právo na opravu a doplnění osobních údajů, právo na výmaz (neboli právo „být zapomenut“), právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodnutí.

V případě, že subjekt údajů uplatní některé ze svých práv, správce by měl být schopen tuto žádost vyřídit bez zbytečného odkladu. I v případě, že správce žádost zamítne, by měl být o této skutečnosti subjekt údajů informovat. Vzhledem ke značné komplexnosti úpravy práv subjektu údajů a vzhledem k zaměření tohoto článku je cílem této kapitoly seznámit čtenáře se základní definicí hlavních práv, které nařízení GDPR subjektům údajů přiznává.

Je též nutné zdůraznit, že ne vždy je možné žádosti subjektů údajů, v rámci které uplatňují některé ze svých práv, kladně vyhovět. Velmi často záleží na právním důvodu zpracování osobních údajů (např. v případě souhlasu subjektu údajů se zpracováním osobních údajů, může subjekt údajů daný souhlas odvolat, v případě zpracování osobních údajů na základě plnění právní povinnosti správce to však možné není).

Vzhledem ke značně komplexní úpravě práv subjektů údajů proto v případě nejasností ohledně této problematiky doporučujeme obrátit se na právního zástupce.

Právo na informace

Právo na informace úzce souvisí se zásadou korektnosti a transparentnosti. Subjekt údajů by měl být především informován o totožnosti a kontaktních údajích správce (případně pověřence pro ochranu osobních údajů), o účelech zpracování osobních údajů a tomu odpovídajícímu právní základu (v případě, že jsou údaje zpracovávány na základě oprávněného zájmu správce, by měl být subjekt údajů informován i o takovém konkrétním zájmu správce), dále o případných příjemcích nebo kategorií příjemců osobních údajů (např. externí účetní firma, IT služby apod.) a v neposlední řadě i o případném úmyslu správce předat osobní údaje do třetí země či mezinárodní existenci.

Nařízení GDPR ve čl. 13 odst. 2 uvádí další informace, se kterými by měl být subjekt údajů seznámen, je-li to nezbytné pro „zajištění spravedlivého a transparentního zpracování“. I zde je nutné připomenout, že informace by měly být subjektu údajů poskytovány v jasném a srozumitelném jazyce.

Právo na přístup k osobním údajům

Právo na přístup k osobním údajům vyjadřuje právo subjektů údajů požádat správce o potvrzení, zda o něm zpracovává osobní údaje či nikoli.

Pokud správce takové osobní údaje zpracovává, má subjekt údajů právo získat od správce další informace, mezi které patří zejména účel zpracování, kategorie dotčených orgánů, plánovaná doba, po kterou budou osobní údaje uloženy, právo podat stížnost u dozorového úřadu, existence práva požadovat od správce opravu nebo výmaz osobních údajů či jejich omezení, či existence práva vznést proti tomuto zpracování námitku apod.

Právo na opravu a doplnění

Jak již samotné pojmenování tohoto práva naznačuje, obsahem práva na opravu a doplnění je možnost subjektu údajů žádat správce, aby bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají, či žádat, aby správce doplnil osobní údaje subjektu údajů, které jsou neúplné. Toto právo úzce souvisí se zásadou přesnosti, která již byla popsána dříve v rámci tohoto článku.

Právo na výmaz

Právo na výmaz neboli právo být zapomenut, znamená právo subjektu údajů žádat, aby správce bez zbytečného odkladu vymazal osobní údaje, které o subjektu údajů zpracovává. Na tomto místě je však nutné zdůraznit, že správce má povinnost uvedené údaje vymazat jen při naplnění důvodů, které jsou uvedeny v Nařízení GDPR (např. osobní údaje již nejsou potřeba pro účel, pro který byly zpracovávány atd., viz čl. 17 Nařízení GDPR).

I v rámci tohoto práva však Nařízení GDPR uvádí případy, při kterých se právo na výmaz neuplatní, jedním z nich je například nezbytnost pro určení, výkon či obhajobu právních nároků (viz čl. 17 odst. 3 Nařízení GDPR).

Právo na omezení zpracování

Subjekt údajů má nadále právo žádat správce, aby z určitých důvodů dočasně omezil zpracování jeho osobních údajů, tj. „označil uložené osobní údaje za účelem omezení jejich zpracování v budoucnu“ (viz čl. 4 odst. 3 Nařízení GDPR).

Důvody, pro které může subjekt údajů žádat omezení osobních údajů, jsou uvedeny v čl. 18 Nařízení GDPR, patří mezi ně například skutečnost, kdy subjekt údajů popírá přesnost osobních údajů, které jsou o něm zpracovávány apod. V případě, že zpracování osobních údajů bylo výše uvedeným způsobem omezeno, je správce případně povinen upozornit daný subjekt údajů o tom, že omezení zpracování bude zrušeno.

Právo na přenositelnost údajů

Právo na přenositelnost údajů zjednodušeně představuje možnost subjektu údajů žádat správce, aby mu v běžně používaném a strojově čitelném formátu poskytl osobní údaje, které se ho týkají a které správci sám poskytl.

Součástí tohoto práva je i možnost předat takto získané údaje jinému správci, a to i prostřednictvím správce původního (tj. správci si na základě žádosti osobní údaje předají mezi sebou, je-li to technicky možné). Uplatnění tohoto práva je nicméně opět značně omezeno (viz čl. 20 odst. 1 Nařízení GDPR).

Právo vznést námitku

Subjekt údajů má právo vznést námitku proti zpracování jeho osobních údajů za předpokladu, že tyto osobní údaje jsou zpracovávány na základě oprávněného zájmu správce či z důvodů výkonu úkonů prováděných ve veřejném zájmu či při výkonu veřejné moci.

Správce by v případě takto vznesené námitky měl subjektu údajů prokázat závažné oprávněné důvody, pro které osobní údaje zpracovává. Pokud takový závažný oprávněný důvod neprokáže, není oprávněn tyto osobní údaje již dále zpracovávat.

Právní důvody zpracování osobních údajů

Právní důvody ke zpracování osobních údajů jsou nezbytným předpokladem, aby správce mohl osobní údaje legálně zpracovávat. Osobní údaje správce zpracovává pro různé účely, přičemž pro každý účel existuje právní důvod.

V případě, že pomine poslední právní důvod ke zpracování osobních údajů, nastává povinnost správce osobní údaje vymazat.

Osobní údaje může správce zpracovávat, pokud je naplněn alespoň jeden z níže uvedených právních důvodů:

  • Správce získal od subjektu údajů souhlas ke zpracování osobních údajů
    • V e-shopech typicky souhlas udělený k zasílání marketingových sdělení, pro která nemůže provozovatel využít oprávněného zájmu, jak plyne z čl. 47 recitálu Nařízení GDPR.
    • Dle vyjádření Úřadu na ochranu osobních údajů jsou souhlasy se zpracováním osobních údajů udělené do dne nabytí účinnosti nařízení GDPR (dne 25. 5. 2018) platné nadále pouze za předpokladu, že byly uděleny v souladu s požadavky uvedenými v nařízení GDPR. Souhlas tedy musí být:
      • Jasně odlišitelný – pro každé zpracování osobních údajů zvlášť. Rovněž nesmí být souhlas součástí všeobecných obchodních podmínek.
      • Srozumitelný.
      • Odvolatelný – odvolat souhlas musí být stejně jednoduché jako jej poskytnout. V praxi se používá např. proklik na odhlášení ze zasílání obchodních sdělení.
      • Svobodný – udělení souhlasu nesmí být např. podmínkou uzavření smlouvy.
  • Oprávněný zájem
    • Je dán v případech, kdy existuje vztah mezi správcem a subjektem údajů, např. pokud je subjekt údajů klientem správce.
  • Plnění smlouvy
    • V e-shopech typicky při zpracování osobních údajů za účelem vyřízení objednávky.
  • Plnění právní povinnosti
    • Např. poskytnutí osobních údajů zákazníka do účetnictví provozovatele e-shopu.
  • Ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
    • Např. při poskytování lékařských služeb.
  • Plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci
    • U státních orgánů, nikoli u soukromých subjektů.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Praktické GDPR pro e-shopy

Tato část článku se, jak již bylo naznačeno, bude věnovat praktickým opatřením, která by měli provozovatelé e-shopů přijmout, a to bez ohledu na množství produktů nabízených v daném e-shopu, množství zákazníků nebo množství zaměstnanců.

Provozovatel e-shopu je z hlediska názvosloví GDPR správcem osobních údajů, jenž musí dodržovat všechny výše uvedené zásady. V praxi to znamená přijmout především tato opatření:

1) Splnit informační povinnost

Nejjednodušší a nejefektivnější způsob splnění této povinnosti je vypracování tzv. „Informace o zpracování osobních údajů“ (dále jako „Informace“), která musí být sepsána samostatně, srozumitelně, a dále viditelně vyvěšena na webu příslušného e-shopu, zároveň tato nesmí být součástí obchodních podmínek.

Je vhodné vytvořit pro Informaci například samostatnou, ale dobře dohledatelnou záložku, na níž bude odkazováno v procesu tvorby objednávky nebo v potvrzení objednávky. Zákazníka je totiž nezbytné informovat nejpozději v okamžiku získání jeho osobních údajů.

Obsah Informace se bude odvíjet individuálně od specifických odlišností každého e-shopu a je obtížné jej paušalizovat. V obecné rovině lze doporučit, aby Informace obsahovala především následující:

  • označení správce osobních údajů, tj. kontaktní údaje provozovatele e-shopu;
  • údaj, jaké osobní údaje zákazníka jsou zpracovávány;
  • údaj, za jakým účelem jsou osobní údaje zpracovávány – např. za účelem vyřízení objednávky subjektu údajů, za účelem pozdějších marketingových sdělení, reklamačního řízení, apod.;
  • právní důvody ke zpracování osobních údajů – v e-shopech jsou důvody ke zpracování osobních údajů především plnění uzavřené smlouvy, oprávněný zájem a zpracování na základě uděleného souhlasu;
  • informace, jak dlouho budou osobní údaje provozovatelem e-shopu uchovávány – je nutné pamatovat na dodržení zásady omezení uložení, kdy osobní údaje nemají být zpracovávány po dobu delší, než je nezbytné pro účely, pro které jsou zpracovány;
  • informaci, komu budou osobní údaje dále postupovány (především zpracovatelům osobních údajů, tj. typicky externí účetní, IT specialista, provozovatel webhostingu, dopravce, a další);
  • informace, zda budou osobní údaje postupovány do zemí mimo EU;
  • přehled práv zákazníka (subjektu údajů) ve vztahu k jím poskytnutým osobním údajům (k tomu podrobně viz kapitola Práva subjektu údajů).

2) Zabezpečení osobních údajů

Toto opatření by se mělo být zajištěno skrze provozně-technické řešení zabezpečení osobních údajů, a to jak údajů uložených na technických nosičích dat v databázích, tak údajů ve fyzických (tištěných) úložištích.

Typicky bude řešeno například skrze heslem zabezpečený přístup k osobním údajům i nosičům dat, na nichž jsou osobní údaje uloženy, kódování databáze, technické zabezpečení papírové databáze zámkem, či uložení do trezoru, a podobně.

3) Uzavřít smlouvy o zpracování údajů se zpracovateli

Provozovatel e-shopu jakožto správce osobních údajů by měl se zpracovateli uzavírat zvláštní smlouvy o zpracování údajů. Bude se tedy jednat o smlouvy s poskytovateli služeb, kterým v rámci plnění smluvního vztahu poskytuje osobní údaje svých zákazníků jako zpracovatelům osobních údajů (např. externí účetní, IT specialista, provozovatel webhostingu, dopravce, …).

Předmětem takové smlouvy by měla být úprava vzájemných práv, povinností a rovněž odpovědnosti správce a zpracovatele při zpracování osobních údajů. Prostřednictvím správně sepsané zpracovatelské smlouvy správce zajistí, aby i zpracovatel zpracovával osobní údaje v souladu s Nařízením GDPR a dále dostál své povinnosti plynoucí z čl. 24, odst. 1 Nařízení GDPR, které mu ukládá zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování osobních údajů je prováděno v souladu s tímto nařízením.

4) Záznamy o činnostech zpracování

Čl. 30 Nařízení GDPR ukládá správci údajů vést záznamy o činnostech zpracování. Výjimku tvoří podniky nebo organizace zaměstnávající méně než 250 osob, ledaže zpracování osobních údajů, které správce provádí, představuje pravděpodobně riziko pro práva a svobody subjektu údajů. Z výše uvedeného lze dovodit, že provozovatel e-shopu, který obvykle denně zpracuje osobní údaje desítek subjektů, by měl záznamy o činnostech vypracovávat.

Mělo by se jednat o obecné záznamy ohledně standardizovaných postupů zpracování osobních údajů, které provozovatel e-shopu jako správce osobních údajů provádí. Nepůjde tedy o záznamy každodenního nakládání s osobními údaji, ale obecný záznam o nakládání s osobními údaji např. při zpracování objednávek, při rozesílání obchodních sdělení atd. Forma záznamů o činnostech není stanovena, čl. 30 Nařízení GDPR stanoví pouze základní obsahové požadavky, a to následovně:

  • kontaktní údaje správce osobních údajů;
  • účely zpracování osobních údajů (u e-shopů např. oprávněný zájem, souhlas nebo plnění smlouvy);
  • popis kategorií subjektů (zákazníci e-shopu) a kategorií osobních údajů (jméno, příjmení, adresa, mail, telefon, …);
  • kategorie příjemců osobních údajů – komu budou osobní údaje dále postoupeny;
  • informace o případném předání osobních údajů do zemí mimo EU;
  • lhůty pro výmaz jednotlivých kategorií údajů;
  • popis technických a organizačních bezpečnostních opatření.

Dle vyjádření Úřadu na ochranu osobních údajů má tento institut představovat jakousi náhradu za oznamovací povinnost, která byla nařízením GDPR zrušena.

5) Vnitřní předpis o zpracování osobních údajů

Stejně jako vnitřní předpis bezpečnosti a ochrany zdraví při práci stanoví, jak se mají zaměstnanci chovat, aby nedošlo k újmě na jejich zdraví, Vnitřní předpis o zpracování osobních údajů ukládá, jakým způsobem mají zaměstnanci správce osobních údajů (provozovatele e-shopu) postupovat při nakládání s osobními údaji zákazníků, aby nedošlo k jejich úniku nebo zneužití. Obsah vnitřního předpisu se pravděpodobně bude do jisté míry krýt s obsahem záznamů o činnostech.

6) Zajistit ohlašovací povinnost při narušení ochrany osobních údajů

Za porušení ochrany osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, nebo úniku osobních údajů.

Pokud porušení zabezpečení představuje vysoké riziko pro práva a svobody fyzických osob, má správce povinnost nahlásit takové porušení bez zbytečného odkladu, pokud možno do 72 hodin Úřadu na ochranu osobních údajů, a dále rovněž subjektu údajů. Subjektu údajů je nezbytné sdělit kontakt na správce údajů, vysvětlit rozsah porušení zabezpečení, přijatá následná opatření, možné důsledky porušení zabezpečení pro subjekt údajů.

Správce tak není povinen učinit, pokud použil předběžná opatření jako pseudonymizace nebo šifrování zpracovávaných osobních údajů, která zajistí, že osobní údaje jsou pro třetí osoby nesrozumitelné.

Stejně tak nemusí správce porušení zabezpečení subjektu údajů oznamovat, rovněž pokud použil následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektu údajů pravděpodobně nenastane. Povinnost oznámit bezpečnostní incident subjektu údajů odpadá i tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V tomto případě je ale třeba subjekty údajů informovat např. pomocí veřejného oznámení.

Přímý marketing

Z čl. 47 recitálu Nařízení GDPR vyplývá, že zpracování osobních údajů pro účely přímého marketingu lze považovat za oprávněný zájem provozovatele e-shopu. Oprávněný zájem provozovatele e-shopu zde vyplývá z existujícího právního vztahu mezi provozovatelem e-shopu a zákazníkem z předchozího nákupu zákazníka.

V praxi to znamená např. zasílání neprofilovaných obchodních nabídek vztahujících se k předmětu prodeje provozovatele e-shopu. Důvod oprávněného zájmu při zasílání obchodní nabídky lze konkrétně vztáhnout na prodejce obuvi, který svému zákazníkovi následně zašle nabídku na další obuv.

Pokud ovšem prodejce otevře nový e-shop s parfémy, o němž chce stávající zákazníky informovat prostřednictvím obchodního sdělení, bude ale muset od kupujícího, který dříve koupil boty, nejdříve získat souhlas se zasláním obchodních nabídek na parfémy.

Situace je složitá u prodejců, kteří mají široký sortiment nabízeného zboží. Nicméně analogicky lze výše uvedené tvrzení vztáhnout i na tento případ. Tzn., že pro zaslání obchodní nabídky jiného druhu zboží, než které kupující koupil ve stejném e-shopu, se doporučuje mít souhlas kupujícího.

Cookies

Cookies jsou krátké textové soubory sledující chování uživatele internetu, které odesílá navštívená webová stránka do prohlížeče uživatele. Prohlížeč tak zaznamená údaje o návštěvě uživatele a pamatuje si např. obsah košíku v daném e-shopu, preferovaný jazyk atd.

Zásady používání cookies a další zásady zpracování osobních údajů na internetu budou upravena nařízením ePrivacy, které by mělo být schváleno v druhé polovině roku 2018 a mělo by obsahově navázat na Nařízení GDPR.

Závěr

Problematika GDPR je velmi komplexní a rozsáhlá. Vzhledem ke skutečnosti, že Nařízení GDPR obsahuje značné množství výjimek, když jednotlivá práva a povinnosti záleží na splnění konkrétních podmínek, a vzhledem k nepříliš jednotné metodice, bylo cílem tohoto článku seznámit čtenáře pouze se základními informacemi a doporučeními, které se týkají problematiky e-shopů.

Vzhledem k výše uvedenému proto v případě potřeby doporučujeme kontaktovat právního zástupce, který se danou problematikou zabývá.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.


Přehled všech témat Právního průvodce

Tisknout Vaše hodnocení:

Štítky článků

Související články

Diskuse k článku

+ Nový příspěvek