Úvod do problematiky GDPR, GDPR pro e-shopy



Praktické GDPR pro e-shopy

Tato část článku se, jak již bylo naznačeno, bude věnovat praktickým opatřením, která by měli provozovatelé e-shopů přijmout, a to bez ohledu na množství produktů nabízených v daném e-shopu, množství zákazníků nebo množství zaměstnanců.

Provozovatel e-shopu je z hlediska názvosloví GDPR správcem osobních údajů, jenž musí dodržovat všechny výše uvedené zásady. V praxi to znamená přijmout především tato opatření:

1) Splnit informační povinnost

Nejjednodušší a nejefektivnější způsob splnění této povinnosti je vypracování tzv. „Informace o zpracování osobních údajů“ (dále jako „Informace“), která musí být sepsána samostatně, srozumitelně, a dále viditelně vyvěšena na webu příslušného e-shopu, zároveň tato nesmí být součástí obchodních podmínek.

Je vhodné vytvořit pro Informaci například samostatnou, ale dobře dohledatelnou záložku, na níž bude odkazováno v procesu tvorby objednávky nebo v potvrzení objednávky. Zákazníka je totiž nezbytné informovat nejpozději v okamžiku získání jeho osobních údajů.

Obsah Informace se bude odvíjet individuálně od specifických odlišností každého e-shopu a je obtížné jej paušalizovat. V obecné rovině lze doporučit, aby Informace obsahovala především následující:

  • označení správce osobních údajů, tj. kontaktní údaje provozovatele e-shopu;
  • údaj, jaké osobní údaje zákazníka jsou zpracovávány;
  • údaj, za jakým účelem jsou osobní údaje zpracovávány – např. za účelem vyřízení objednávky subjektu údajů, za účelem pozdějších marketingových sdělení, reklamačního řízení, apod.;
  • právní důvody ke zpracování osobních údajů – v e-shopech jsou důvody ke zpracování osobních údajů především plnění uzavřené smlouvy, oprávněný zájem a zpracování na základě uděleného souhlasu;
  • informace, jak dlouho budou osobní údaje provozovatelem e-shopu uchovávány – je nutné pamatovat na dodržení zásady omezení uložení, kdy osobní údaje nemají být zpracovávány po dobu delší, než je nezbytné pro účely, pro které jsou zpracovány;
  • informaci, komu budou osobní údaje dále postupovány (především zpracovatelům osobních údajů, tj. typicky externí účetní, IT specialista, provozovatel webhostingu, dopravce, a další);
  • informace, zda budou osobní údaje postupovány do zemí mimo EU;
  • přehled práv zákazníka (subjektu údajů) ve vztahu k jím poskytnutým osobním údajům (k tomu podrobně viz kapitola Práva subjektu údajů).

2) Zabezpečení osobních údajů

Toto opatření by se mělo být zajištěno skrze provozně-technické řešení zabezpečení osobních údajů, a to jak údajů uložených na technických nosičích dat v databázích, tak údajů ve fyzických (tištěných) úložištích.

Typicky bude řešeno například skrze heslem zabezpečený přístup k osobním údajům i nosičům dat, na nichž jsou osobní údaje uloženy, kódování databáze, technické zabezpečení papírové databáze zámkem, či uložení do trezoru, a podobně.

3) Uzavřít smlouvy o zpracování údajů se zpracovateli

Provozovatel e-shopu jakožto správce osobních údajů by měl se zpracovateli uzavírat zvláštní smlouvy o zpracování údajů. Bude se tedy jednat o smlouvy s poskytovateli služeb, kterým v rámci plnění smluvního vztahu poskytuje osobní údaje svých zákazníků jako zpracovatelům osobních údajů (např. externí účetní, IT specialista, provozovatel webhostingu, dopravce, …).

Předmětem takové smlouvy by měla být úprava vzájemných práv, povinností a rovněž odpovědnosti správce a zpracovatele při zpracování osobních údajů. Prostřednictvím správně sepsané zpracovatelské smlouvy správce zajistí, aby i zpracovatel zpracovával osobní údaje v souladu s Nařízením GDPR a dále dostál své povinnosti plynoucí z čl. 24, odst. 1 Nařízení GDPR, které mu ukládá zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování osobních údajů je prováděno v souladu s tímto nařízením.

4) Záznamy o činnostech zpracování

Čl. 30 Nařízení GDPR ukládá správci údajů vést záznamy o činnostech zpracování. Výjimku tvoří podniky nebo organizace zaměstnávající méně než 250 osob, ledaže zpracování osobních údajů, které správce provádí, představuje pravděpodobně riziko pro práva a svobody subjektu údajů. Z výše uvedeného lze dovodit, že provozovatel e-shopu, který obvykle denně zpracuje osobní údaje desítek subjektů, by měl záznamy o činnostech vypracovávat.

Mělo by se jednat o obecné záznamy ohledně standardizovaných postupů zpracování osobních údajů, které provozovatel e-shopu jako správce osobních údajů provádí. Nepůjde tedy o záznamy každodenního nakládání s osobními údaji, ale obecný záznam o nakládání s osobními údaji např. při zpracování objednávek, při rozesílání obchodních sdělení atd. Forma záznamů o činnostech není stanovena, čl. 30 Nařízení GDPR stanoví pouze základní obsahové požadavky, a to následovně:

  • kontaktní údaje správce osobních údajů;
  • účely zpracování osobních údajů (u e-shopů např. oprávněný zájem, souhlas nebo plnění smlouvy);
  • popis kategorií subjektů (zákazníci e-shopu) a kategorií osobních údajů (jméno, příjmení, adresa, mail, telefon, …);
  • kategorie příjemců osobních údajů – komu budou osobní údaje dále postoupeny;
  • informace o případném předání osobních údajů do zemí mimo EU;
  • lhůty pro výmaz jednotlivých kategorií údajů;
  • popis technických a organizačních bezpečnostních opatření.

Dle vyjádření Úřadu na ochranu osobních údajů má tento institut představovat jakousi náhradu za oznamovací povinnost, která byla nařízením GDPR zrušena.

5) Vnitřní předpis o zpracování osobních údajů

Stejně jako vnitřní předpis bezpečnosti a ochrany zdraví při práci stanoví, jak se mají zaměstnanci chovat, aby nedošlo k újmě na jejich zdraví, Vnitřní předpis o zpracování osobních údajů ukládá, jakým způsobem mají zaměstnanci správce osobních údajů (provozovatele e-shopu) postupovat při nakládání s osobními údaji zákazníků, aby nedošlo k jejich úniku nebo zneužití. Obsah vnitřního předpisu se pravděpodobně bude do jisté míry krýt s obsahem záznamů o činnostech.

6) Zajistit ohlašovací povinnost při narušení ochrany osobních údajů

Za porušení ochrany osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, nebo úniku osobních údajů.

Pokud porušení zabezpečení představuje vysoké riziko pro práva a svobody fyzických osob, má správce povinnost nahlásit takové porušení bez zbytečného odkladu, pokud možno do 72 hodin Úřadu na ochranu osobních údajů, a dále rovněž subjektu údajů. Subjektu údajů je nezbytné sdělit kontakt na správce údajů, vysvětlit rozsah porušení zabezpečení, přijatá následná opatření, možné důsledky porušení zabezpečení pro subjekt údajů.

Správce tak není povinen učinit, pokud použil předběžná opatření jako pseudonymizace nebo šifrování zpracovávaných osobních údajů, která zajistí, že osobní údaje jsou pro třetí osoby nesrozumitelné.

Stejně tak nemusí správce porušení zabezpečení subjektu údajů oznamovat, rovněž pokud použil následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektu údajů pravděpodobně nenastane. Povinnost oznámit bezpečnostní incident subjektu údajů odpadá i tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V tomto případě je ale třeba subjekty údajů informovat např. pomocí veřejného oznámení.

Přímý marketing

Z čl. 47 recitálu Nařízení GDPR vyplývá, že zpracování osobních údajů pro účely přímého marketingu lze považovat za oprávněný zájem provozovatele e-shopu. Oprávněný zájem provozovatele e-shopu zde vyplývá z existujícího právního vztahu mezi provozovatelem e-shopu a zákazníkem z předchozího nákupu zákazníka.

V praxi to znamená např. zasílání neprofilovaných obchodních nabídek vztahujících se k předmětu prodeje provozovatele e-shopu. Důvod oprávněného zájmu při zasílání obchodní nabídky lze konkrétně vztáhnout na prodejce obuvi, který svému zákazníkovi následně zašle nabídku na další obuv.

Pokud ovšem prodejce otevře nový e-shop s parfémy, o němž chce stávající zákazníky informovat prostřednictvím obchodního sdělení, bude ale muset od kupujícího, který dříve koupil boty, nejdříve získat souhlas se zasláním obchodních nabídek na parfémy.

Situace je složitá u prodejců, kteří mají široký sortiment nabízeného zboží. Nicméně analogicky lze výše uvedené tvrzení vztáhnout i na tento případ. Tzn., že pro zaslání obchodní nabídky jiného druhu zboží, než které kupující koupil ve stejném e-shopu, se doporučuje mít souhlas kupujícího.

Cookies

Cookies jsou krátké textové soubory sledující chování uživatele internetu, které odesílá navštívená webová stránka do prohlížeče uživatele. Prohlížeč tak zaznamená údaje o návštěvě uživatele a pamatuje si např. obsah košíku v daném e-shopu, preferovaný jazyk atd.

Zásady používání cookies a další zásady zpracování osobních údajů na internetu budou upravena nařízením ePrivacy, které by mělo být schváleno v druhé polovině roku 2018 a mělo by obsahově navázat na Nařízení GDPR.

Závěr

Problematika GDPR je velmi komplexní a rozsáhlá. Vzhledem ke skutečnosti, že Nařízení GDPR obsahuje značné množství výjimek, když jednotlivá práva a povinnosti záleží na splnění konkrétních podmínek, a vzhledem k nepříliš jednotné metodice, bylo cílem tohoto článku seznámit čtenáře pouze se základními informacemi a doporučeními, které se týkají problematiky e-shopů.

Vzhledem k výše uvedenému proto v případě potřeby doporučujeme kontaktovat právního zástupce, který se danou problematikou zabývá.

 

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Přehled všech témat Právního průvodce

Pravidelné novinky e-mailem