GDPR: Potřebuje e-shop pověřence a souhlas zákazníka ke zpracování osobních údajů?

GDPR: Potřebuje e-shop pověřence a souhlas zákazníka ke zpracování osobních údajů?

Nařízení GDPR je tzv. přímo aplikovatelné a závazné pro všechny členské státy EU. Členské státy si nemohou upravit pravidla odlišně. V České republice GDPR nahradí zákon o ochraně osobních údajů, z toho důvodu není potřeba čekat na prováděcí legislativu.

Na stávající definici zpracování osobních údajů, jak je upravena v zákoně o ochraně osobních údajů, GDPR nic nemění. Je důležité, aby provozovatel e-shopu promítl GDPR do všech činností, ve kterých provádí zpracování osobních údajů. Jestliže provozovatel e-shopu zpracovává osobní údaje pro účely uzavření a plnění kupní smlouvy, tedy k uskutečnění nákupu zákazníka přes internet, není nutné obstarávat souhlas se zpracováním osobních údajů.

Obstarání souhlasu se bude týkat například těch provozovatelů e-shopu, kteří budou zpracovávat věrnostní program pro své zákazníky nebo na základě kterých bude docházet k profilování zákazníků. Nařízení GDPR v preambuli stanoví, že dosud obdržené souhlasy zůstávají i nadále platné. Jinými slovy, je-li zpracování založeno na základě dřívějšího souhlasu, není nutné, aby byl souhlas udělen znovu, pokud je způsob udělení daného souhlasu v souladu s podmínkami nařízení GDPR.

Souhlas ale nesmí být součástí obchodních podmínek, nejsou ani dostatečné souhlasy se zpracováním osobních údajů získané automatizovaným způsobem, např. pomocí předvyplněného „zaškrtávacího políčka“ souhlasu.

Souhlas se zpracováním osobních údajů může být udělen elektronicky, ale musí být proveden aktivním zaškrtnutím možnosti „ano“ pro konkrétní způsob zpracování. Musí být dán svobodně a ke konkrétnímu účelu. Tento účel musí být jednoznačně specifikován a musí být prokazatelně doložen po celou dobu zpracování.

Základem je jednoduchá a srozumitelná komunikace. Zákazník musí vědět, kdo zpracovává jeho osobní údaje (nutná identifikace provozovatele e-shopu), musí vědět, proč jeho osobní údaje zpracovává (například za účelem nákupu zboží), jak dlouho je bude uchovávat (provozovatel e-shopu by měl smazat data, se kterými nepracuje) a kdo další získá jeho osobní údaje (externí firma).

Musí e-shop jmenovat pověřence pro ochranu osobních údajů?

Pro obvyklý provoz e-shopu nemusí jejich provozovatel jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence by byla v případě, že by hlavní činnost e-shopu spočívala v operacích zpracování osobních údajů, která vyžaduje rozsáhlé, pravidelné a systematické monitorování zákazníků, či by hlavní činnost spočívala v rozsáhlém zpracování citlivých údajů (resp. zvláštních kategorií údajů).

Jaká pravidla se vztahují pro používání cookies?

Vedle GDPR se v EU projednává další návrh nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích), známé také pod názvem ePrivacy.

Tento předpis upravuje pravidla pro používání cookies. Pravidla na ochranu soukromí by se měla vztahovat také na nové poskytovatele služeb elektronických komunikací, jako je je WhatsApp, Facebook Messenger, Skype, Gmail, iMessage nebo Viber. Schválení nařízení o e-privacy je možné očekávat ve 2. pol. roku 2018.

Více podrobnějších informací také na stránkách Hospodářské komory České republiky www.komora.cz.

 

Lucie Plachá, právní expertka Hospodářské komory České republiky