Provozujete e-shop? Nabízíte své zboží nebo služby pomocí webových aplikací? Máme pro vás praktický návod, jak se připravit na nařízení GDPR.
Ani jako provozovatelé internetových obchodů se aplikaci nařízení nevyhnete. Jaké konkrétní kroky budete muset podniknout, bude do značné míry záviset na tom, kolik a jakých dat a hlavně za jakým účelem zpracováváte.
Rozhodně jednodušší to budou mít ti z vás, kdo zpracovávají pouze „kontaktní“ údaje svých zákazníků – jméno, příjmení, adresu doručení, e-mail, telefon. Tedy údaje, jež potřebují pro plnění smlouvy, kterou prostřednictvím internetu se svými zákazníky uzavřeli.
Osobními údaji jsou i údaje o platebních kartách a také údaje o nákupních preferencích a zvyklostech, jež někteří z vás o svých zákaznících shromažďují a vyhodnocují. Jde o tzv. profilování, které slouží k zobrazování personalizované reklamy a k zasílání obchodních sdělení, a to nejen s nabídkou navštíveného e-shopu, ale i dalších subjektů, s nimiž shromážděné osobní údaje vy jako provozovatel e-shopu případně sdílíte.
Provozovatel e-shopu je totiž podle čl. 4 odst. 7 správcem osobních údajů, které mu jeho zákazníci svěřili. Jste to tedy vy, kdo sami nebo společně s jinými určujete účely a prostředky zpracování osobních údajů a mimo jiné jste zodpovědní za to, že osobní údaje zpracováváte pouze zákonným způsobem. Čím složitější zpracování osobních údajů provádíte, tím více povinností musíte splnit. A tím náročnější pro vás implementace nové legislativy bude.
Bez ohledu na velikost e-shopu, na počet uskutečněných obchodů a také bez ohledu na složitost zpracování osobních údajů GDPR stanoví správcům elementární povinnosti vtělené do základních zásad zpracování.
Podle GDPR tak bude muset každý správce (dle čl. 5 odst. 2 GDPR) zajistit, aby:
Co to znamená? Zpracovávejte jen ty údaje, které skutečně potřebujete, a jen po dobu, po kterou je potřebujete. Nedělejte s nimi nic, co jste si se subjektem předem nedomluvili. A hlavně osobní údaje svých zákazníků chraňte! Výše uvedené povinnosti platí i pro toho, jehož služeb správce osobních údajů při zpracování osobních údajů využije, a to i kdyby tak učinil pouze za účelem jejich uložení, tj. pro zpracovatele.
Pokud tedy data svých klientů svěříte komukoliv dalšímu, stává se i tento subjekt odpovědný za jejich zpracování, a to aniž by to nějak zmenšilo vaši odpovědnost. Ze shora uvedeného je zřejmé, že k výběru zpracovatele byste měli přistupovat vždy velmi zodpovědně a ověřit si jeho důvěryhodnost a profesionalitu. Kromě toho máte povinnost uzavřít s takovým subjektem smlouvu o zpracování osobních údajů.
Z celého nařízení vyplývá, že správce a zpracovatel by spolu měli při zpracování osobních údajů velmi úzce spolupracovat a dbát na zákonnost a na řádně zabezpečené zpracování osobních údajů. Dobře si rozmyslete, s kým budete osobní údaje sdílet, a informujte o tom své zákazníky. Nezapomeňte, že jejich předáním se vaše odpovědnost nijak nezmenšuje, právě naopak!
Zkusme se teď nad GDPR zamyslet prakticky. Co byste jako provozovatelé e-shopu měli udělat nejdříve?
Články 13 a 14 GDPR vám ukládají povinnost informovat zákazníka nejpozději v okamžiku získání osobních údajů o těchto skutečnostech:
Pokud byste si například chtěli vést databázi zákazníků, kteří si u vás opakovaně objednali a nevyzvedli zboží (databáze nespolehlivých zákazníků), můžete tak učinit pro vlastní účely, tj. pro ochranu svých oprávněných zájmů, aniž byste k tomu potřebovali souhlas vašich zákazníků. Musíte je o tom ale informovat předtím, než vám své osobní údaje svěří.Pokud byste chtěli tuto databázi sdílet s jinými e-shopy, budete souhlas zákazníka (a to jednoznačný a konkrétní) potřebovat.
Součástí tohoto souhlasu musí být přesná identifikace e-shopů, s nimiž budete databázi sdílet:
Shora uvedené informace budete muset stručně a srozumitelně sepsat a transparentně, tedy viditelně, je vyvěsit na stránkách svého e-shopu.
Další z věcí, nad kterou se určitě zamýšlíte, je, zda a kdy budete ke zpracování osobních údajů potřebovat souhlas zákazníků. Dobrá zpráva je, že souhlas budete potřebovat jen v těch případech, nebudete-li zpracování osobních údajů provádět na základě jiného legitimního důvodu, například pro účely plnění smlouvy (abyste zákazníkovi mohli dodat zboží či službu), pro účely splnění právní povinnosti nebo na základě oprávněného zájmu (vymáhání pohledávek).
Souhlas tedy budete potřebovat jen v tom případě, budete-li zpracovávat osobní údaje nad rámec těchto vyjmenovaných účelů zpracování (například pokud budete údaje svých zákazníků poskytovat třetím osobám, třeba marketingové agentuře, aby jim rozesílala obchodní sdělení).
V souvislosti se souhlasem vás jistě bude zajímat, jak to bude v případě, že už souhlasy svých zákazníků s nakládáním s jejich osobními údaji máte. Pokud v minulosti získané souhlasy splňují podmínky dle čl. 7 GDPR, nemusíte zajišťovat nové.
Souhlas podle GDPR je:
Pokud osobní údaje zpracováváte sami (nikomu je nepředáváte), jen v nezbytném rozsahu, po nezbytnou dobu, a to za účelem plnění smlouvy, zákonné povinnosti nebo oprávněného zájmu, souhlas se zpracováním nepotřebujete.
Pokud souhlas od zákazníků potřebujete a požadujete, zásadně nesmí být součástí obchodních podmínek a nesmíte jej požadovat jako podmínku pro poskytnutí služby nebo produktu. Můžete ale zákazníkovi za jeho udělení poskytnout nějakou výhodu (dárkovou poukázku, slevu, drobný dárek). Souhlasy poskytnuté v rozporu s GDPR bude potřeba nahradit novými.
Další vaše kroky by měly směřovat k provozně-technickým zabezpečením osobních údajů zákazníků.
Jako provozovatelé e-shopu se nutně budete muset zamyslet a vyhodnotit, jak závažně by mohlo být zasaženo do soukromí vašich zákazníků, jak moc by mohla být poškozena jejich práva a ohroženy jejich zájmy, pokud by došlo k neautorizovaným, nezákonným zásahům do vaší databáze zákazníků. Zejména bude nutné zajistit automatizovanou softwarovou kontrolu práce s osobními údaji ve vaší zákaznické databázi a zabránit tomu, aby vaši zaměstnanci či jiní spolupracovníci zkopírovali a vynesli osobní údaje vašich zákazníků.
Máte-li zaměstnance nebo spolupracovníky, měli byste stanovit jasná pravidla zacházení s osobními údaji vašich klientů. V každém případě budete muset zajistit databázi technicky (zabezpečené přístupy do PC, logování do systému, ochrana uložených dat atd.).
Také se budete muset připravit na povinnost hlásit narušení ochrany dat zákazníků dozorovému orgánu a v určitých případech i samotným zákazníkům. Další z novinek, kterou GDPR do praxe života e-shopů přináší, je povinnost hlásit kybernetické útoky dozorovému úřadu a v případě ohrožení práv subjektů údajů oznámit tento útok i dotčeným jednotlivcům (subjektům údajů). Úřadu pro ochranu osobních údajů jste povinni hlásit porušení ochrany do 72 hodin od doby, kdy jste se o něm dozvěděli. To s sebou nese i povinnost technicky zajistit konstantní monitorování databází zákazníků vašeho internetového obchodu.
Abyste kybernetický útok mohli nahlásit, musíte být schopni jej odhalit. Jako provozovatelé e-shopu máte povinnost přistoupit k takovým opatřením, aby rizika zpracování byla pro vaše zákazníky přiměřená a zpracování z vaší strany bezpečné. Mezi tím, jaké údaje o zákaznících zpracováváte co do významu i rozsahu, a mezi zabezpečením databáze vašich zákazníků by měla existovat přímá úměra. Pokud nechcete investovat do sofistikovaných ochranných systémů, měli byste zpracovávat jen to nejnutnější, co ke svým obchodům potřebujete.
Závěrem je třeba upozornit, že pravidla internetové komunikace, a tudíž i pravidla provozování e-shopu, budou dotčena přijetím ePrivacy Regulation neboli Nařízením o ochraně soukromí a elektronických komunikacích. Nařízení bude doplněním GDPR a bude s ohledem na problematiku e-shopů především upravovat pravidla týkající se cookies.
Schválení nařízení ePrivacy lze očekávat v druhé polovině roku 2018. Návrh počítá s tím, že například nebude třeba souhlasu s ukládáním cookies, která nezasahují do soukromí osob a zároveň zlepšují uživatelské prostředí (například umožňují zapamatovat si historii nákupního košíku) nebo která jsou používána webovými stránkami k počítání množství návštěvníků.
Na závěr přidáváme ještě seznam základních dokumentů, které byste měli mít vytvořené (nebo upravené) tak, abyste dostáli povinnostem plynoucím z GDPR:
Vzory výše uvedených dokumentů si můžete zakoupit na našem webu.
Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!