E-shopy a GDPR

Potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?

Bod 171 preambule Obecného nařízení se zabývá přechodem souhlasů po datu použitelnosti Obecného nařízení. K provozu internetového obchodu (pro účely plnění smlouvy) není nutné obstarávat souhlas se zpracováním osobních údajů. Každý provozovatel e-shopu musí vzít Obecné nařízení (stejně tak jako dnes zákon č. 101/2000 Sb., o ochraně osobních údajů) v úvahu ve vztahu ke všem činnostem s osobními údaji, které provádí. Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 Obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu).
Pro úplnost je třeba upozornit, že pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy, dosud upravená zvláštními předpisy (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), budou ovlivněna přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat v 2. pol. roku 2018.


Dopadá GDPR jen na některá, např. systematická zpracování osobních údajů nebo na všechny operace s osobními údaji?
Po obsahové stránce dosavadní definici zpracování osobních údajů Obecné nařízení nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty a evidencemi, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.


Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 Obecného nařízení.


Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?
Smlouva o zpracování osobních údajů není novinkou, ale je již zahrnuta v zákoně o ochraně osobních údajů a to v § 6. Obecné nařízení se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů by mělo být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 Obecného nařízení (což už by měla obsahovat i dnes dle § 6 zákona o ochraně osobních údajů).


V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená v tuto chvíli pro podnikatele s e-shopy nejistotu?
Obecné nařízení je komplexním právním předpisem, který nahradí zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a není třeba proto čekat na adaptační legislativu. Z dílčích věcí, které mohou adaptační předpisy blíže upravovat, lze za podstatnou pro podnikání na internetu považovat stanovení věkové hranice pro udělení souhlasu dítěte v souvislosti s nabídkou služeb informační společnosti.


GDPR předpokládá vytvoření a používání nejrůznějších vzorových dokumentů a kodexů, které mají správcům a zpracovatelům pomáhat při plnění právních povinností. Budou kodexy vydány Úřadem pro ochranu osobních údajů nebo jinými orgány, třeba formou nějakého předpisu?
Z Obecného nařízení vyplývá předpoklad, že kodexy chování vytvoří asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Není úkolem dozorového úřadu tyto kodexy vytvářet, ÚOOÚ však již k přípravě několika kodexů poskytl konzultace. Obecné nařízení nestanovuje povinnost kodexy vytvořit.


Téma: Požadavky GDPR, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Povinnosti správce, Vodítka k GDPR
05.01.2018 (autor Redakce)





Související

Stanovisko WP29 ke zpracování údajů zaměstnanců v českém jazyce

Úřad pro ochranu osobních údajů veřejnil na svých webových stránkách stanovisko WP 29 č. 2/2017 ke...

 vydáno 22.01.2018 
Téma: Dokumentace GDPR / GDPR a smlouvy / Zákony a GDPR

ÚOOÚ zveřejnil překlad pokynů WP29 k souhlasu

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách neoficiální překlad dokumentu Pracovní...

 vydáno 04.01.2018 
Téma: Dokumentace GDPR / GDPR a smlouvy / Zákony a GDPR

Metodika implementace GDPR ve zdravotnictví

Ministerstvo zdravotnictví připravilo publikaci pro implementaci Nařízení Evropského parlamentu a rady (EU)...

 vydáno 04.01.2018 
Téma: Dokumentace GDPR

Další ke štítku: Povinnosti správce / Vodítka k GDPR


Související dotazy
Odpovídá Mgr. Martin Leskovjan
Ano, pokud se v rámci bytového domu vede oficiální evidence těchto stížností a průběhu jejich řešení, může jít o zpracování citlivých údajů, resp....

Odpovídá Mgr. Nikola Dohnalová
Obdobně, jako u jiných správců, doporučuji provést revizi interní dokumentace podle požadavků GDPR, nastavení interních procesů pro přístup k údajům...

Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....

Další ke štítku: Povinnosti správce / Vodítka k GDPR


www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz