E-shopy a GDPR

Potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?

Bod 171 preambule Obecného nařízení se zabývá přechodem souhlasů po datu použitelnosti Obecného nařízení. K provozu internetového obchodu (pro účely plnění smlouvy) není nutné obstarávat souhlas se zpracováním osobních údajů. Každý provozovatel e-shopu musí vzít Obecné nařízení (stejně tak jako dnes zákon č. 101/2000 Sb., o ochraně osobních údajů) v úvahu ve vztahu ke všem činnostem s osobními údaji, které provádí. Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 Obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu).
Pro úplnost je třeba upozornit, že pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy, dosud upravená zvláštními předpisy (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), budou ovlivněna přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat v 2. pol. roku 2018.


Dopadá GDPR jen na některá, např. systematická zpracování osobních údajů nebo na všechny operace s osobními údaji?
Po obsahové stránce dosavadní definici zpracování osobních údajů Obecné nařízení nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty a evidencemi, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.


Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 Obecného nařízení.


Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?
Smlouva o zpracování osobních údajů není novinkou, ale je již zahrnuta v zákoně o ochraně osobních údajů a to v § 6. Obecné nařízení se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů by mělo být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 Obecného nařízení (což už by měla obsahovat i dnes dle § 6 zákona o ochraně osobních údajů).


V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená v tuto chvíli pro podnikatele s e-shopy nejistotu?
Obecné nařízení je komplexním právním předpisem, který nahradí zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a není třeba proto čekat na adaptační legislativu. Z dílčích věcí, které mohou adaptační předpisy blíže upravovat, lze za podstatnou pro podnikání na internetu považovat stanovení věkové hranice pro udělení souhlasu dítěte v souvislosti s nabídkou služeb informační společnosti.


GDPR předpokládá vytvoření a používání nejrůznějších vzorových dokumentů a kodexů, které mají správcům a zpracovatelům pomáhat při plnění právních povinností. Budou kodexy vydány Úřadem pro ochranu osobních údajů nebo jinými orgány, třeba formou nějakého předpisu?
Z Obecného nařízení vyplývá předpoklad, že kodexy chování vytvoří asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Není úkolem dozorového úřadu tyto kodexy vytvářet, ÚOOÚ však již k přípravě několika kodexů poskytl konzultace. Obecné nařízení nestanovuje povinnost kodexy vytvořit.


Téma: Požadavky GDPR, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Povinnosti správce, Vodítka k GDPR
05.01.2018 (autor Redakce)





Související

Úřad k doporučení Komise pro volby do Evropského parlamentu

Evropská komise vydala v září doporučení, které má chránit před kybernetickými bezpečnostními incidenty a...

 vydáno 19.10.2018 
Téma: Zákony a GDPR

ÚOOÚ doplnil často kladené otázky o předávání osobních údajů do třetích zemí

Úřad pro ochranu osobních údajů doplnil časté otázky o oblast předávání osobních údajů do třetích zemí. V...

 vydáno 15.10.2018 
Téma: GDPR a procesy

Zpracování osobních údajů portálem www.znamylekar.cz

Úřad pro ochranu osobních údajů zveřejnil aktualizované informace ke zpracování osobních údajů portálem...

 vydáno 05.10.2018 
Téma: Zákony a GDPR

Další ke štítku: Povinnosti správce / Vodítka k GDPR


Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...

Odpovídá Ing. Vladimír Paclík
Dobrý den, dle Vašeho dotazu předpokládám, že pronajímáte byt jako soukromá (fyzická) osoba. Přestože jste fyzickou osobou, Obecné nařízení se v...

Odpovídá Ing. Vladimír Paclík
Dobrý den, vzhledem k tomu, že jak Vy, tak Vaši klienti zpracováváte osobní údaje v rámci podnikání, stáváte se dle Obecného nařízení správci osobní...

Další ke štítku: Povinnosti správce / Vodítka k GDPR


www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz