Ve spolupráci s JUDr. Petrem Holubem, advokátem působícím v oblasti GDPR, jsme se rozhodli našim klientům a ostatním zájemcům o dané téma přinést informace, které mají za cíl uklidnit vzniklou paniku a zodpovědět některé z palčivých otázek.

Co k GDPR sděluje JUDr. Petr Holub?

General data protection regulation (GDPR) je nařízení Evropského parlamentu a Rady EU, které přináší přímo do českého právního řádu od 25. května 2018 změny v oblasti právní ochrany osobních údajů fyzických osob. Tyto změny dopadají také na provozovatele internetových obchodů, kteří vždy nutně zpracovávají osobní údaje svých zákazníků, obchodních partnerů a zaměstnanců. Mají tak povinnost přizpůsobit zpracováváni těchto údajů novým standardům jejich ochrany. Tato ochrana se vztahuje výhradě na osobní údaje fyzických osob.

General data protection regulation (GDPR) General data protection regulation (GDPR)

Splnění požadavků GDPR nebude ničím komplikovaným u těch správců údajů, kteří se již nyní řídili zákonem č. 101/2000 Sb., o ochraně osobních údajů a dalšími účinnými právními předpisy. Přesto u všech subjektů doporučujeme řádné nastavení ochrany včas konzultovat s odborníky (autor článku komplexní poradenství poskytuje), neboť za porušení povinností hrozí ze strany Úřadu pro ochranu osobních údajů vysoké pokuty až do výše 4 % ročního obratu podnikatele (provozovatele internetového obchodu).

Současná společenská panika na poli ochrany osobních údajů vyplývá spíše z toho, že dosud se jí podnikatelé příliš nevěnovali a nyní v souvislosti s blížící se účinnosti GDPR ji začínají vnímat, ačkoliv v právním řádu je již delší dobu. Stávající nejistota a určitá míra zděšení správců údajů tak spíše vyplývá z neznalosti a nerespektování již stávajících povinností, jelikož GDPR právní úpravu pouze částečně zpřísňuje a zpřesňuje. Přitom ty nejzásadnější změny se týkají spíše velkých zpracovatelů osobních údajů (např. bank, pojišťoven a nemocnic).

Osobní údaje chráněné GDPR

Osobními údaji jsou ve smyslu GDPR veškeré informace o fyzické osobě (zákazníkovi), díky kterým ji lze přímo či nepřímo identifikovat, např. skrze jméno, příjmení, rodné číslo, adresu, telefon, IP adresu, cookie či informaci o nákupních zvyklostech osoby. Samotný jednotlivý údaj však chráněný není.

Zvláštní kategorií jsou osobních údaje o rasovém či etnickém původu, politických názorech, zdravotním stavu, sexuálním životě, sexuální orientaci, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a dále to jsou genetické a biometrické údaje – těmto údajům přiznává GDPR zvýšenou ochranu pro jejich značnou citlivost a lze je zpracovávat pouze na základě pevně vymezených důvodů, zejména na základě výslovného souhlasu subjektu údajů. U internetového obchodu si lze jen stěží představit naplnění jiného právního důvodu, vyloučeno to však není (viz čl. 9 odst. 2 GDPR).

GDPR v internetovém obchoděGDPR v internetovém obchodě

Povinnosti provozovatele internetového obchodu vyplývající z GDPR

Osobní údaje musí být zpracovány korektním, zákonným a transparentním způsobem. GDPR stanovuje nově celou řadu práv a povinností. Uvádíme proto jen ty nejzásadnější.

Každý správce údajů – tedy i provozovatel internetového obchodu je povinný především informovat zákazníka, obchodního partnera či zaměstnance o tom, jaké osobní údaje o něm bude zpracovávat, na základě jakého právního důvodu, za jakým účelem, po jak dlouhou dobu a komu je dále poskytne – tzn. kteří zpracovatelé, budou mít k údajům přístup. Jaké jsou oprávněné zájmy správce údajů a zda budou údaje zpracovávány mimo území EU. Musí dále poučit subjekt údajů o jeho právech (např. právo být zapomenut).

Provozovatel internetového obchodu by měl dále používat výhradně důvěryhodná a bezpečná softwarová a hardwarová řešení a spolupracovat s osvědčenými obchodními partnery – musí získané údaje náležitě chránit pomocí vhodných technických a organizačních opatření.

Veškeré vytvořené databáze s osobními údaji by měl s ohledem na jejich míru citlivosti náležitě chránit – čím obsáhlejší a citlivější databáze je, tím kvalitněji a s větší odpovědností. Dále také servery, na kterých je internetový obchod umístěný, by měly být provozovaný spolehlivým poskytovatelem a umístěny na dobře chráněném místě.

Provozovatel by také neměl opomenout důsledně nastavit přístupová oprávnění k údajům jednotlivým zaměstnancům tak, aby odpovídaly jejich pracovní činnosti a zařazení (např. účetní musí mít přístup ke mzdovým údajům zaměstnanců, ale nemusí už znát osobní údaje zákazníků). Veškerá data doporučujeme šifrovat a ideálně rovněž pseudonymizovat – upravit tak, aby podle údaje nebylo možné ztotožňovat konkrétní osobu, i když to výslovnou povinností správce údajů podle GDPR není.

K zpracování všech osobních údajů musí mít provozovatel právní důvod, kterým je v jeho případě většinou kupní smlouva, kterou se zákazníkem uzavírá a potřebuje k její realizaci nezbytné údaje.

Získané osobní údaje zákazníka nesmí být zpracovány k jinému než legitimnímu účelu, tj. plnění ze smlouvy. Nově musí být správce údajů – zde provozovatel internetového obchodu, schopen doložit, že osobní údaje dostatečně chrání a náležitě užívá. Tyto skutečnosti lze doložit díky dodržování kodexů chování podle čl. 40 nařízení, které vytvářejí sektorové asociace a v současné době tyto kodexy ještě neexistují, budou však stanovat „best practice“ postupy např. pro oblast internetového prodeje zboží.

Subjekt údajů může také nově požadovat potvrzení o tom, jaké údaje o něm jsou zpracovávaný a jakým způsobem. Důležitou povinností správce údajů je nutnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení údajů – neoprávněný únik údajů.

Správce údajů by měl mít vytvořený audit ochrany osobních údajů, z něhož by prokazatelně vyplývalo, jaké osobní údaje zpracovává, na základě jakých právních důvodů a za jakým účelem, jak jsou údaje chráněny a po jak dlouhou dobu jsou zpracovávané.

Poskytování osobních údajů zpracovatelům

U internetového obchodu připadají v úvahu jako obchodní partneři, kteří mohou zpracovávat pro provozovatele osobní údaje zejména advokátní kanceláře, účetní, poskytovatelé informačních technologií (např. Google Suite, Microsoft cloud, Drop box, cloudový software pro správu objednávek atd.), správci domén, spediční společnosti (např. PPL, DPD, Zásilkovna), marketingové agentury (e-mailingové kampaně, cílení reklamy) a provozovatelé platebních bran (např. Pay4U).

GDPR neomezuje možnost provozovatele internetového obchodu poskytnout potřebné osobní údaje dalším zpracovatelům, subjekt údajů však musí být na tuto možnost předem upozorněný, ať už v rámci poskytnutí obecných informací o zpracovávaných údajích nebo i později zvlášť, ale ještě před jejich předáním zpracovateli. Správce údaje ovšem odpovídá za výběr vhodného zpracovatele (obchodního partnera), který musí zaručovat naplnění požadavků GDPR a musí s ním uzavřít rámcovou smlouvu, která určí, jakým způsobem má zpracovatel s údaji nakládat a která zaručí, že osobní údaje budou zpracovány zákonným způsobem (viz čl. 28 odst. 3 GDPR).

GDPR a přímý marketingGDPR a přímý marketing

GDPR a přímý marketing

GDPR zásadní změny do oblasti přímého marketingu nepřináší, stávající panika je spíše založena na skutečnosti, že stávající právní ochraně osobních údajů nikdo nevěnoval pozornost, ačkoliv s GDPR je v podstatě totožná. Již nyní bylo vyloučeno nabízet přímo produkty potencionálním zákazníkům emailem, bez toho aniž by k tomu měl podnikatel výslovný souhlas (§ 7 odst. 2 zákona č. 480/2004 Sb.). Výjimkou je případ, kdy byl dříve subjekt údajů zákazníkem podnikatele (§ 7 odst. 3 zákona č. 480/2004 Sb.). Na obdobných principech je založena i právní úprava v GDPR. Z recitálu 47 GDPR vyplývá, že: „zpracováním osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“

Provozovatel internetového obchodu by si tedy měl vyjasnit, zda vůbec souhlas se zpracováním osobních údajů od subjektu údajů potřebuje, protože nejen GDPR jej přímo opravňuje, aby svým zákazníkům obchodní sdělení (např. newslettery) zasílal, neboť to je jeho oprávněný zájem. V podstatě lze celou problematiku přímého marketingu zjednodušit takto: dříve udělené souhlasy se zpracováním údajů, které jsou v rozporu s GDPR, budou od 25. 5. 2018 neplatné a je potřeba, aby si provozovatel internetového obchodu obstaral do té doby nové, pokud rozsah přímého marketingu překračuje meze oprávněných zájmů, které mohl zákazník důvodně předpokládat – tzn. v rámci poctivých a přiměřených obchodních praktik není výslovný souhlas potřeba.

Dále z recitálu 70 plyne: „jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací.“ Totéž je stanoveno v čl. 21 GDPR. Svým stávajícím zákazníkům je tedy možné zasílat emailové kampaně bez výslovného souhlasu, zákazník však musí mít možnost kdykoliv vyjádřit svůj nesouhlas se zasílám obchodních sdělení (odhlásit se z odběru).

GDPR a databáze kontaktů

Je oprávněným zájmem podnikatele, aby si uchoval databázi kontaktů na své zákazníky. V takovém případě by je ale měl o zpracování informovat, což je jeho základní povinností. Údaje získané z jiné než vlastní obchodní činnosti využity být nemohou, ledaže k takovému zpravování subjekt údajů dal výslovný souhlas. V podstatě je tak vyloučena možnost kupování rozsáhlých databází. Pokud provozovatel dříve takovou databázi získal, nesmí ji nadále podle GDPR užívat. Nelze rovněž využívat údaje obsažené ve veřejných rejstřících, neboť účel jejich zveřejnění je jiný (např. evidenční).

Souhlas se zpracováním údajů a jeho povaha

Pokud provozovatel zpracovává osobní údaje k jiným účelům, než které jsou nezbytné pro plnění ze smlouvy, plnění právní povinnosti nebo které jsou mimo jeho oprávněný zájem, musí si vyžádat výslovný souhlas subjektu údajů. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Nelze jeho udělením podmiňovat poskytnutí plnění (zboží, služby). Návrh na udělení souhlasu musí být jednoznačný a srozumitelný. Musí obsahovat vyjádření souhlasu a informace o tom, kdo je správcem údajů, účel zpracování (např. marketing), právní důvod (výslovný souhlas), po jak dlouhou dobu budou údaje uložené, informovat o právech subjektu údajů a uvést, na jak dlouho je souhlas udělený (nelze na vždy) a kdo další bude údaje zpracovávat. Udělený souhlas musí správce údajů uložit a prokázat.

Úprava ochrany osobních údajů v obchodních podmínkách

Je nepochybně vhodné, aby úprava ochrany osobních údajů byla obsažena podrobně také v obchodních podmínkách provozovatele internetového obchodu nebo ve zvláštním dokumentu věnujícím se této problematice, nemůže však nahradit základní povinnost správce údajů, kterou je nutnost informovat subjekt údajů o zpracovávání údajů bez ohledu na to, jaký je důvod zpracování. Stejně tak obchodní podmínky nemohou splnit požadavek na uzavření zvláštní rámcové smlouvy s případným zpracovatel údajů. Úprava v obchodních podmínkách rozhodně není od věci, ale zároveň také skrze ní nelze naplnit všechny povinnosti vyplývajících z GDPR.

GDPR klade na provozovatel e-shopů nové požadavkyGDPR klade na provozovatel e-shopů nové požadavky

Dopady změn na provozovatele internetových obchodů

GDPR klade na provozovatel internetových obchodů nové požadavky, které mají přispět k zásadnímu zlepšení úrovně ochrany soukromí fyzických osob a může být impulzem k revizi shromažďovaných osobních údajů a zhodnocení míry jejich zabezpečení. GDPR nemá šikanovat, ale kultivovat, nejedná se o právní úpravu, která má zamezit podnikání.

Současná panika není na místě a poctiví provozovatelé e-shopů se nemají čeho obávat. GDPR je možné vnímat jako příležitost přizpůsobit internetový obchod novodobým potřebám zejména v oblasti informačních technologií. Jejich provozovatelé by proto měli provést analýzu ochrany osobních údajů jak po právní stránce, tak i po stránce technické (databáze kontaktů, hardware, software) a učinit potřebná opatření, aby naplnili nové požadavky ochrany, a to ve vztahu k zákazníkům, zaměstnancům i obchodním partnerům.

Měli by zvážit, které osobní údaje nutně potřebují a pouze tyto zpracovávat. Rozhodně by měli subjektům údajů poskytovat informace o zpracování osobních údajů (vzor zdarma na internetových stránkách www.petrholub.cz). Pokud provozovatel osobní údaje zákazníků dále poskytuje dalším zpracovatelům, musí o takovém postupu zákazníka informovat, mít uzavřenou rámcovou smlouvu s obchodním partnerem a zároveň mít jistotu, že obchodní partner splňuje podmínky GDPR.

Výše uvedené informace nejsou vyčerpávající a představují pouze uvozující náhled na problematiku právní ochrany osobních údajů v kontextu GDPR. Článek se nevěnuje problematice získávání cookies a cílení reklamy.