GDPR jako nový strašák e-shopů? Co se změní pro provozovatele online obchodů

Čeští e-shopaři prožívají opravdu nelehké období. Od loňského roku, kdy bylo schváleno zavedení elektronické evidence tržeb, museli řešit, jak do svých systémů implementovat EET pokladnu, nebo měnili dosavadně nastavené platební podmínky, aby se evidenci zcela vyhnuli.

Nyní před sebou mají další problém, a tím je zpřísňování pravidel pro ochranu osobních dat neboli GDPR. Porušení či nezavedení těchto pravidel bude trestáno likvidačními pokutami, pokud ale začnete otázku týkající se GDPR řešit včas, žádné riziko vám nehrozí.

Nová éra života online: GDPR přináší revoluci v ochraně osobních údajů.

Tady je 8 tipů, na co si dát při GDPR pozor.

Co je GDPR a proč vzniklo?

GDPR neboli General Data Protection Regulation lze přeložit jako „obecné nařízení o ochraně osobních údajů“. Bylo schváleno zákonodárci 27. dubna 2016 a v platnost vstoupí 25. května 2018. Platit bude pro všechny evropské firmy, instituce či online služby, ale i pro ty mimoevropské, které působí na evropském trhu.

Jeho hlavním cílem je dát občanům větší kontrolu nad tím, jak se zachází s jejich osobními údaji a zároveň jim poskytnout větší ochranu. Do května příštího roku tak musí všichni, kterých se nové nařízení týká, zrevidovat své informační systémy a postupy nakládání s citlivými daty svých klientů, zákazníků, uživatelů či dalších osob, o nichž tyto informace shromažďují.

Jaké konkrétní změny nás čekají?

Zásadní změnou je rovnocenná vymahatelnost práva v rámci celé EU, stejné sankce pro všechny a těsnější spolupráce dozorových orgánů, a to nejen mezi sebou, ale i s jednotlivými subjekty, jichž se nařízení týká.

Jako správce osobních údajů budete muset dokumentovat, že zpracováváte pouze údaje, které jsou k danému účelu nezbytně nutné (v případě e-shopu to může být například jméno, e-mail, příp. adresa při doručování zboží poštou či dopravní společností) a tuto dokumentaci budete muset pravidelně předkládat vybranému dozorovému orgánu.

Při úniku dat pak budete mít povinnost ohlásit nastalou situaci Úřadu pro ochranu osobních dat, a to nejpozději do 72 hodin od chvíle, kdy se o incidentu dozvíte.

Významnou změnou bude také udělování jednoznačného a ničím nepodmíněného souhlasu ke zpracování osobních dat. Ve světě e-shopů se toto nařízení bude týkat například zasílání newsletterů. V současné době je v mnoha e-shopech objednání zboží podmíněno také souhlasem s odběrem informačních marketingových zpráv. Od příštího května budou moci zákazníci ve všech internetových obchodech nakupovat, aniž by museli souhlasit se zasíláním těchto obchodních sdělení.

Samotní občané by měli novým nařízením získat nárok na informace o nakládání s jejich osobními daty. Zároveň budou mít právo na to požádat o smazání či tzv. zapomenutí osobních údajů, pokud nebude existovat další právní důvod pro jejich zpracování.

Další zásadní rozdíl bude v definici osobních dat jako takových. Dosud se mezi ně řadilo například jméno, rodné číslo, adresa, místo narození, státní příslušnost, nově se mezi ně zařadí také e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Zcela novou kategorií budou genetické a biometrické údaje. Všechny tyto informace budete nyní muset ochránit před případným únikem.

Co je potřeba před zavedením GDPR udělat?

Spolu se zavedením GDPR bude potřeba udělat několik technických, organizačních a procesních opatření:

  • implementovat nezbytnou ochranu dat
  • vypracovat posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment)
  • jmenovat osobu, která bude oficiálně pověřena ochranou osobních údajů (Data Protection Officer)
  • zavést tzv. pseudonymizaci osobních údajů, kdy dojde ke skrytí identity člověka – následně o této osobě můžete sbírat další údaje i bez informace jeho totožnosti

Dále bude potřeba vést průběžnou dokumentaci o zpracovávání jednotlivých osobních dat a před jejich samotným zpracováním konzultovat své kroky s dozorovým orgánem.

Jaké jsou sankce?

V případě porušení či nezavedení nového nařízení pak hrozí pokuty, a to až ve výši 20 000 000 euro nebo ve výši 4 % celkového ročního obratu. Sankce se budou týkat všech bez výjimky, tedy i těch nejmenších e-shopů.

Kromě toho mohou být majitelé e-shopů navíc vystaveni žalobám od zákazníků s nárokem na odškodnění v případě hmotné či nehmotné újmy. Je proto potřeba být na příchod nového opatření opravdu dobře připraven.

Diskuze k článku