GDPR a e-shopy

Ani jako provozovatelé internetových obchodů se aplikaci nařízení nevyhnete. Jaké konkrétní kroky budete muset podniknout, bude do značné míry záviset na tom, kolik a jakých dat a hlavně za jakým účelem zpracováváte.

Rozhodně jednodušší to budou mít ti z vás, kdo zpracovávají pouze „kontaktní“ údaje svých zákazníků – jméno, příjmení, adresu doručení, e-mail, telefon. Tedy údaje, jež potřebují pro plnění smlouvy, kterou prostřednictvím internetu se svými zákazníky uzavřeli.

Osobními údaji jsou i údaje o platebních kartách a také údaje o nákupních preferencích a zvyklostech, jež někteří z vás o svých zákaznících shromažďují a vyhodnocují. Jde o tzv. profilování, které slouží k zobrazování personalizované reklamy a k zasílání obchodních sdělení, a to nejen s nabídkou navštíveného e-shopu, ale i dalších subjektů, s nimiž shromážděné osobní údaje vy jako provozovatel e-shopu případně sdílíte.

Provozovatel e-shopu je totiž podle čl. 4 odst. 7 správcem osobních údajů, které mu jeho zákazníci svěřili. Jste to tedy vy, kdo sami nebo společně s jinými určujete účely a prostředky zpracování osobních údajů a mimo jiné jste zodpovědní za to, že osobní údaje zpracováváte pouze zákonným způsobem. Čím složitější zpracování osobních údajů provádíte, tím více povinností musíte splnit. A tím náročnější pro vás implementace nové legislativy bude.

Základní povinnosti pro e-shopy

Bez ohledu na velikost e-shopu, na počet uskutečněných obchodů a také bez ohledu na složitost zpracování osobních údajů GDPR stanoví správcům elementární povinnosti vtělené do základních zásad zpracování.

Podle GDPR tak bude muset každý správce (dle čl. 5 odst. 2 GDPR) zajistit, aby:

• osobní údaje byly zpracovány zákonným a transparentním způsobem;
• byly shromažďovány pro určité, výslovně vyjádřené a legitimní účely;
• byly v rozsahu nutném pro účel zpracování (minimalizace údajů);
• byly uložené jen po nezbytně nutnou dobu (omezení uložení);
• byly zpracovávány údaje aktuální, pravdivé a přesné;
• byla zachována jejich integrita a důvěrnost, tj. aby byly ochráněny před neautorizovaným přístupem, změnou či zničením.

Co to znamená? Zpracovávejte jen ty údaje, které skutečně potřebujete, a jen po dobu, po kterou je potřebujete. Nedělejte s nimi nic, co jste si se subjektem předem nedomluvili. A hlavně osobní údaje svých zákazníků chraňte! Výše uvedené povinnosti platí i pro toho, jehož služeb správce osobních údajů při zpracování osobních údajů využije, a to i kdyby tak učinil pouze za účelem jejich uložení, tj. pro zpracovatele.

Pokud tedy data svých klientů svěříte komukoliv dalšímu, stává se i tento subjekt odpovědný za jejich zpracování, a to aniž by to nějak zmenšilo vaši odpovědnost. Ze shora uvedeného je zřejmé, že k výběru zpracovatele byste měli přistupovat vždy velmi zodpovědně a ověřit si jeho důvěryhodnost a profesionalitu. Kromě toho máte povinnost uzavřít s takovým subjektem smlouvu o zpracování osobních údajů.

Z celého nařízení vyplývá, že správce a zpracovatel by spolu měli při zpracování osobních údajů velmi úzce spolupracovat a dbát na zákonnost a na řádně zabezpečené zpracování osobních údajů. Dobře si rozmyslete, s kým budete osobní údaje sdílet, a informujte o tom své zákazníky. Nezapomeňte, že jejich předáním se vaše odpovědnost nijak nezmenšuje, právě naopak!

Praktická opatření pro e-shopy

Zkusme se teď nad GDPR zamyslet prakticky. Co byste jako provozovatelé e-shopu měli udělat nejdříve?

Povinnost informovat zákazníka

Články 13 a 14 GDPR vám ukládají povinnost informovat zákazníka nejpozději v okamžiku získání osobních údajů o těchto skutečnostech:

• O tom, kdo bude jeho údaje zpracovávat (tj. vaše kontaktní údaje), případně údaje o pověřenci osobních údajů (DPO), pokud jste ho jmenovali.
• Za jakým účelem chcete údaje zpracovávat (například za účelem nabídky produktů a služeb e-shopu a spolupracujících osob…) a na základě jakého právního titulu.

Jeden příklad za všechny

Pokud byste si například chtěli vést databázi zákazníků, kteří si u vás opakovaně objednali a nevyzvedli zboží (databáze nespolehlivých zákazníků), můžete tak učinit pro vlastní účely, tj. pro ochranu svých oprávněných zájmů, aniž byste k tomu potřebovali souhlas vašich zákazníků. Musíte je o tom ale informovat předtím, než vám své osobní údaje svěří.Pokud byste chtěli tuto databázi sdílet s jinými e-shopy, budete souhlas zákazníka (a to jednoznačný a konkrétní) potřebovat.

Součástí tohoto souhlasu musí být přesná identifikace e-shopů, s nimiž budete databázi sdílet:

• komu osobní údaje předáváte (tedy ke komu se vaším prostřednictvím dostanou);
• po jak dlouhou dobu je zpracováváte a jakými způsoby (manuálně, automatizovaně);
• jaká zákonná práva má subjekt údajů v souvislosti s jejich zpracováním (právo podat stížnost u dozorového orgánu, právo na opravu, právo na výmaz).

Shora uvedené informace budete muset stručně a srozumitelně sepsat a transparentně, tedy viditelně, je vyvěsit na stránkách svého e-shopu.

Souhlas se zpracováním osobních údajů

Další z věcí, nad kterou se určitě zamýšlíte, je, zda a kdy budete ke zpracování osobních údajů potřebovat souhlas zákazníků. Dobrá zpráva je, že souhlas budete potřebovat jen v těch případech, nebudete-li zpracování osobních údajů provádět na základě jiného legitimního důvodu, například pro účely plnění smlouvy (abyste zákazníkovi mohli dodat zboží či službu), pro účely splnění právní povinnosti nebo na základě oprávněného zájmu (vymáhání pohledávek).

Souhlas tedy budete potřebovat jen v tom případě, budete-li zpracovávat osobní údaje nad rámec těchto vyjmenovaných účelů zpracování (například pokud budete údaje svých zákazníků poskytovat třetím osobám, třeba marketingové agentuře, aby jim rozesílala obchodní sdělení).

V souvislosti se souhlasem vás jistě bude zajímat, jak to bude v případě, že už souhlasy svých zákazníků s nakládáním s jejich osobními údaji máte. Pokud v minulosti získané souhlasy splňují podmínky dle čl. 7 GDPR, nemusíte zajišťovat nové.

Souhlas podle GDPR je:

• Konkrétní. Aby souhlas splňoval toto kritérium, nebude postačovat věta typu „Dáváte nám souhlas k zasílání nabídek zboží a služeb našimi obchodními partnery“. Své zákazníky budete muset konkrétně informovat o tom, komu a jakým obchodním partnerům jejich data předáváte.
• Informovaný. Zákazník musí být vždy poučen o právu svůj souhlas kdykoliv odvolat, a to způsobem, kterým byl poskytnut. Souhlas tedy může být udělen e-mailem, písemně, SMS zprávou apod. Subjektu musíte umožnit stejným způsobem souhlas odvolat. Kromě možnosti souhlas odvolat je zákazníka také třeba informovat o tom, komu, za jakým účelem a na jak dlouho ho uděluje.
• Jednoznačný. Pokud bude například provozovatel e-shopu požadovat souhlas za účelem profilování a zobrazování cílené reklamy a dále souhlas se zasíláním obchodních sdělení nad rámec, který mu umožňuje jiný právní titul (zákon, oprávněný zájem), měl by každý účel být v souhlasu oddělen a opatřen samostatným políčkem, kde zákazník může vyjádřit svůj souhlas. Co rozhodně nelze považovat za soulad se zásadami GDPR, jsou předvyplněné souhlasy, jelikož souhlas musí být udělen aktivním výběrem, třeba „zakliknutím“ příslušného políčka.
• Nepodmíněný. Přijetí objednávky nesmí být podmíněno například souhlasem s registrací, která obsahuje nejen adresné údaje nutné k vyřízení objednávky, ale i údaje o pohlaví, přesném datu narození apod., i když takové údaje nejsou k uskutečnění obchodu potřeba. Zásady nové legislativy tak zcela jistě nebude splňovat souhlas, který byl součástí obchodních podmínek. V tomto případě bude třeba zákazníky požádat o jeho opětovné udělení.

Pokud osobní údaje zpracováváte sami (nikomu je nepředáváte), jen v nezbytném rozsahu, po nezbytnou dobu, a to za účelem plnění smlouvy, zákonné povinnosti nebo oprávněného zájmu, souhlas se zpracováním nepotřebujete.

Pokud souhlas od zákazníků potřebujete a požadujete, zásadně nesmí být součástí obchodních podmínek a nesmíte jej požadovat jako podmínku pro poskytnutí služby nebo produktu. Můžete ale zákazníkovi za jeho udělení poskytnout nějakou výhodu (dárkovou poukázku, slevu, drobný dárek). Souhlasy poskytnuté v rozporu s GDPR bude potřeba nahradit novými.

Zabezpečení osobních údajů

Další vaše kroky by měly směřovat k provozně-technickým zabezpečením osobních údajů zákazníků.

Jako provozovatelé e-shopu se nutně budete muset zamyslet a vyhodnotit, jak závažně by mohlo být zasaženo do soukromí vašich zákazníků, jak moc by mohla být poškozena jejich práva a ohroženy jejich zájmy, pokud by došlo k neautorizovaným, nezákonným zásahům do vaší databáze zákazníků. Zejména bude nutné zajistit automatizovanou softwarovou kontrolu práce s osobními údaji ve vaší zákaznické databázi a zabránit tomu, aby vaši zaměstnanci či jiní spolupracovníci zkopírovali a vynesli osobní údaje vašich zákazníků.

Máte-li zaměstnance nebo spolupracovníky, měli byste stanovit jasná pravidla zacházení s osobními údaji vašich klientů. V každém případě budete muset zajistit databázi technicky (zabezpečené přístupy do PC, logování do systému, ochrana uložených dat atd.).

Ohlašovací povinnost

Také se budete muset připravit na povinnost hlásit narušení ochrany dat zákazníků dozorovému orgánu a v určitých případech i samotným zákazníkům. Další z novinek, kterou GDPR do praxe života e-shopů přináší, je povinnost hlásit kybernetické útoky dozorovému úřadu a v případě ohrožení práv subjektů údajů oznámit tento útok i dotčeným jednotlivcům (subjektům údajů). Úřadu pro ochranu osobních údajů jste povinni hlásit porušení ochrany do 72 hodin od doby, kdy jste se o něm dozvěděli. To s sebou nese i povinnost technicky zajistit konstantní monitorování databází zákazníků vašeho internetového obchodu.

Abyste kybernetický útok mohli nahlásit, musíte být schopni jej odhalit. Jako provozovatelé e-shopu máte povinnost přistoupit k takovým opatřením, aby rizika zpracování byla pro vaše zákazníky přiměřená a zpracování z vaší strany bezpečné. Mezi tím, jaké údaje o zákaznících zpracováváte co do významu i rozsahu, a mezi zabezpečením databáze vašich zákazníků by měla existovat přímá úměra. Pokud nechcete investovat do sofistikovaných ochranných systémů, měli byste zpracovávat jen to nejnutnější, co ke svým obchodům potřebujete.

Nezapomeňte na ePrivacy

Závěrem je třeba upozornit, že pravidla internetové komunikace, a tudíž i pravidla provozování e-shopu, budou dotčena přijetím ePrivacy Regulation neboli Nařízením o ochraně soukromí a elektronických komunikacích. Nařízení bude doplněním GDPR a bude s ohledem na problematiku e-shopů především upravovat pravidla týkající se cookies.

Schválení nařízení ePrivacy lze očekávat v druhé polovině roku 2018. Návrh počítá s tím, že například nebude třeba souhlasu s ukládáním cookies, která nezasahují do soukromí osob a zároveň zlepšují uživatelské prostředí (například umožňují zapamatovat si historii nákupního košíku) nebo která jsou používána webovými stránkami k počítání množství návštěvníků.

Na závěr přidáváme ještě seznam základních dokumentů, které byste měli mít vytvořené (nebo upravené) tak, abyste dostáli povinnostem plynoucím z GDPR:

1. Informační memorandum
2. Souhlas se zpracováním osobních údajů pro marketingové účely (případně i jiné, další účely, které nejsou „pokryté“ jiným právním titulem)
3. Smlouva o zpracování osobních údajů uzavřená mezi e-shopem (správcem) a například marketingovou agenturou (zpracovatelem)
4. Interní směrnice o ochraně osobních údajů
5. Záznamy o činnostech zpracování

Vzory výše uvedených dokumentů si můžete zakoupit na našem webu.