Co reálně znamená GDPR pro e-shopy: řeší se zpracování i získávání dat

GDPR vstoupí v platnost 25. května 2018. Čtenost článků kolem obecného nařízení Evropské unie o ochraně osobních údajů asi nejvíce zvedají vysoké pokuty a mnoho nejasností. Co ale dnes o zákonu doopravdy tvrdí advokáti a dá se s určitostí říct, jak se nakonec dotkne českých internetových obchodů?

Pokuty dané nejsou, rozdělení rolí ano

Pokuty za porušení zákona by měly šplhat až k 20 milionům eur (přes 500 milionů korun), nebo 4 procentům ročního obratu. Je otázka, jak bude nový zákon nakládat právě s nejvyššími sazbami. Maximální částky zřejmě úřady ve skutečnosti udělí jen v rozsáhlých, silně medializovaných případech.

Již nyní je naopak jisté, že GDPR od jara 2018 zavede dva pojmy:

  • Správce, který určuje, proč chce osobní údaje sbírat a co s nimi bude dělat.
  • Zpracovatel, který pracuje podle pokynů správce a uchovává data nebo v nich vyhledává.

E-shop je tedy zpravidla správcem, zpracovatelem pak může být webhostingová nebo účetní firma, marketingová agentura apod. Povinností e-shopu s ohledem na GDPR je nejen vhodného zpracovatele dat vyhledat, ale také vzhledem k zákonu ohlídat jeho činnosti.

Smlouva a související povinnosti

Správce se zpracovatelem mezi sebou proto uzavřou písemnou smlouvu, která přesně definuje práva a povinnosti obou subjektů. Pokud to smlouva dovolí, je možné zpracovatele dál řetězit. V praxi tak zřejmě bude zcela běžné, že první zpracovatel přenechá některé činnosti někomu dalšímu – musí s ním ale uzavřít smlouvu, která překlopí povinnosti a ujednání z původní smlouvy se správcem.

Písemné smlouvy jsou ale jen jednou z obecných povinností, kterým se nelze vyhnout. Těmi dalšími jsou například vedení záznamů o zpracování osobních údajů nebo zajištění bezpečnosti dat.

Každý, kdo má k datům přístup, se podle nařízení musí postarat o zálohu a zabezpečení údajů před ztrátou. To znamená nejen povinnost ohlásit jejich případný únik do 72 hodin na dozorový úřad, ale také zavedení předběžných organizačních a technických opatření. Zákon si tak vyžádá používání https na webu nebo zaheslování firemního notebooku tak, aby se do něj v případě odcizení nebyl nikdo bez znalosti loginu a hesla schopen přihlásit. Podobně rizikovým se stane firemní telefon, pokud v něm jsou osobní údaje (a většinou jsou).

Jak GDPR mění „osobní údaj“

Za osobní údaje bylo dosud považováno třeba jméno, příjmení a rodné číslo, ale také informace o zdravotním stavu, příjmu a stavu financí nebo o rase a náboženském vyznání. GDPR pojem značně rozšiřuje a od května 2018 budou za osobní údaje považována data, se kterými e-shopy běžně pracují, jako například:

  • e-mail,
  • IP adresa,
  • lokalizační údaje (kde a kdy zákazník byl),
  • konfekční velikost,
  • nákupní preference a spotřebitelské chování.

Nařízení GDPR přitom ošetřuje veškerou práci s osobními údaji a dotýká se v podstatě každého, kdo s nimi jakkoliv přijde do styku. Za zpracování osobních údajů se totiž považují všechny následující činnosti:

  • shromažďování údajů,
  • vyhledávání v údajích,
  • prohlížení údajů,
  • seřazení nebo uspořádání údajů,
  • ukládání údajů,
  • šíření nebo zpřístupnění údajů.

Cookies řeší ePrivacy

GDPR naopak neřeší přímo práci s cookies, kterými se bude zabývat hlavně ePrivacy. Doplnění GDPR, které vstoupí v platnost souběžně, se ale pravděpodobně zaměří pouze na souhlas s používáním cookies čistě pro reklamní účely. To by se e-shopů jako takových týkat spíše nemělo.

Nařízení ePrivacy se má zabývat hlavně soukromím a internetovou komunikací, tedy remarketingem nebo retargetingem. V jeho rámci už Evropský parlament přijal stanovisko odmítající příjmy z cílené reklamy.

Podmínky zpracování osobních údajů

Jedno z nejdůležitějších témat pro e-shopy jsou možnosti získávání souhlasu se zpracováním osobních údajů. Abyste totiž mohli něčí osobní data spravovat, musíte splnit jednu z následujících podmínek: mít souhlas se zpracováním dat, plnit smlouvu, plnit právní povinnost, jednat v oprávněných zájmech správce.

Souhlas

  • Dostali jste souhlas se zpracováním dat a umíte ho prokázat Úřadu pro ochranu osobních údajů (ÚOOÚ).
  • Jedná se o jediný způsob například pro spotřebitelské soutěže apod.

Plnění či uzavření smlouvy

  • Pokud u vás zákazník objednal zboží a vy dodáváte na jeho adresu objednávku, pak jeho souhlas mít nepotřebujete.

Splnění právní povinnosti

  • Například při placení daní nebo odvodů za své zaměstnance souhlas k získání jejich osobních údajů nepotřebujete.

Oprávněné zájmy správce

  • Oprávněný zájem správce může nastat u jeho zákazníků, nebo naopak u těch, kteří mu poskytují služby.
  • Například zpracování osobních údajů pro účely přímého (direct) marketingu je považováno za zpracování prováděné z důvodu oprávněného zájmu. Při zasílání newsletterů tak nepotřebujete souhlas od stávajících zákazníků, jen od těch, kteří vašimi zákazníky nejsou.

Samotný souhlas nelze řešit pouhým checkboxem s krátkým textem. Musí zde být splněna kompletní informační povinnost. V reálu se tedy checkbox doplní textovým dokumentem se všemi náležitostmi. O udělení souhlasu není možné žádat na neomezenou dobu – doporučuje se používat například formulku „po dobu stejné činnosti podnikání firmy“.

Souhlas může být kdykoliv odvolán

Každá fyzická osoba má možnost se u právnické osoby kdykoliv informovat o veškerých svých evidovaných osobních údajích. Firma pak musí projít všechny své databáze, dát tazateli k dispozici soupis požadovaných dat a v případě následné odůvodněné žádosti je na vlastní náklady smazat. Například v případě objednávky v e-shopu mladší 10 let se z důvodu zákona o účetnictví žádosti vyhovět nesmí – zákazníkovi je pak ale nutné takové rozhodnutí zdůvodnit.

U stávajících údajů vznikne povinnost je přesouhlasit nebo smazat. Typicky se jedná třeba o kontakty, na které nyní máte e-mailové adresy. V tom případě je znovu obešlete s žádostí o odsouhlasení, že můžete jejich data dále používat. Nově také nebude možné archivovat například životopisy zájemců při hledání nového zaměstnance.

Souhlas se zpracováním osobních údajů zároveň nelze ničím podmiňovat. Není tedy možné využít obchodní podmínky – ty totiž zákazník odsouhlasit musí, jinak nenakoupí. Stejně jako není možné souhlasem se zpracováním dat podmínit pokračování v objednávce. I bez souhlasu se zpracováním osobních údajů se navíc zájemci mohou zúčastnit například spotřebitelské soutěže.

Kupování databází bude prakticky nemožné

O nakupování databází kontaktů se během diskuzí kolem GDPR mluví hodně. Není tak úplně pravda, že by sám zákon takový postup přímo zakazoval. Aby ale někdo mohl prodat vaše osobní údaje, je nutné mu to svým souhlasem explicitně umožnit pro případ kontroly ze strany ÚOOÚ.

Jako správce byste tedy v případě prodávání souhlasů museli už předem vědět, komu a za jakým konkrétním účelem je zpracovatel v budoucnu prodá, a vše specificky vyjmenovat. To je ale v praxi téměř nemožné.

Dítě pod 13 let jen se souhlasem zástupce

V souvislosti s GDPR se také dlouhou dobu mluvilo o povinnosti double opt-in – metody, kdy se po vyplnění checkboxu do newsletteru zasílá ještě potvrzovací e-mail. Podle současného výkladu ale nařízení nic takového nepřikazuje. To znamená, že uživateli i vám bude stačit, když se odběr newsletteru potvrdí jediným krokem. Přesto ÚOOÚ ve svých doporučeních double opt-in zmiňuje jako nejbezpečnější a nejprůkaznější získání souhlasu.

Double opt-in je ale doporučen jako lepší důkaz minimálně v případě schvalování zpracování osobních dat dítěte. Za osoby mladší 13 let totiž musí v České republice udělit tento souhlas pouze jejich právní zástupce.

Diskuze k článku

  • Marek Černý

    Děkuji za perfektní článek, konečně se někdo zaměřil na konkrétní kroky.