E-shopy a GDPR

Potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?

Bod 171 preambule Obecného nařízení se zabývá přechodem souhlasů po datu použitelnosti Obecného nařízení. K provozu internetového obchodu (pro účely plnění smlouvy) není nutné obstarávat souhlas se zpracováním osobních údajů. Každý provozovatel e-shopu musí vzít Obecné nařízení (stejně tak jako dnes zákon č. 101/2000 Sb., o ochraně osobních údajů) v úvahu ve vztahu ke všem činnostem s osobními údaji, které provádí. Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 Obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu).
Pro úplnost je třeba upozornit, že pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy, dosud upravená zvláštními předpisy (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), budou ovlivněna přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat v 2. pol. roku 2018.


Dopadá GDPR jen na některá, např. systematická zpracování osobních údajů nebo na všechny operace s osobními údaji?
Po obsahové stránce dosavadní definici zpracování osobních údajů Obecné nařízení nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty a evidencemi, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.


Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 Obecného nařízení.


Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?
Smlouva o zpracování osobních údajů není novinkou, ale je již zahrnuta v zákoně o ochraně osobních údajů a to v § 6. Obecné nařízení se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů by mělo být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 Obecného nařízení (což už by měla obsahovat i dnes dle § 6 zákona o ochraně osobních údajů).


V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená v tuto chvíli pro podnikatele s e-shopy nejistotu?
Obecné nařízení je komplexním právním předpisem, který nahradí zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a není třeba proto čekat na adaptační legislativu. Z dílčích věcí, které mohou adaptační předpisy blíže upravovat, lze za podstatnou pro podnikání na internetu považovat stanovení věkové hranice pro udělení souhlasu dítěte v souvislosti s nabídkou služeb informační společnosti.


GDPR předpokládá vytvoření a používání nejrůznějších vzorových dokumentů a kodexů, které mají správcům a zpracovatelům pomáhat při plnění právních povinností. Budou kodexy vydány Úřadem pro ochranu osobních údajů nebo jinými orgány, třeba formou nějakého předpisu?
Z Obecného nařízení vyplývá předpoklad, že kodexy chování vytvoří asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Není úkolem dozorového úřadu tyto kodexy vytvářet, ÚOOÚ však již k přípravě několika kodexů poskytl konzultace. Obecné nařízení nestanovuje povinnost kodexy vytvořit.

• Všechny okruhy rubriky ÚOOÚ Otázky a odpovědi k GDPR