Co byste měli vědět o GDPR

Jakožto provozovatelé webové prezentace služby inPage se mnohdy nevyhnete práci s osobními údaji návštěvníků vašich stránek a to jak v e-shopu, tak i například v kontaktním formuláři. V tomto článku se zaměříme na to, jak nové nařízení Evropské komise na ochranu osobních údajů ovlivňuje naše zákazníky a návštěvníky webu a co pro ně z účinnosti GDPR vyplývá.

Pro základní představu doporučujeme pročíst Sručný a pochopitelný úvod do problematiky GDPR, který připravil Úřad na ochranu osobních údajů (ÚOOÚ).

Úvod

GDPR není technický problém a Váši webovou prezentaci za vás provozovatel do souladu neuvede. Aby web či e-shop fungoval zákonným způsobem a v souladu s nařízením GDPR, bude potřeba dodržování nových povinností ze strany majitele e-shopu/webové prezentace, tedy správce osobních dat. Provozovatel vytváří technické prostředky k tomu, abyste mohli jednat v souladu s nařízením.

Jako majitel svého e-shopu/webové prezentace musíte stanovit pravidla se zacházením osobních údajů tak, aby byl dodržen zákon a byly naplněny vaše marketingové a obchodní požadavky. Jelikož má každý provozovatel požadavky a strategii jinou, není možné připravit univerzální systém, který by vše ošetřil. Jde o zásadu přiměřenosti (článek 32 GDPR): Opatření je třeba činit s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.

Oblíbené mýty aneb odposlechnuto v hospodě

Pojďme se stručně podívat na nejrozšířenější mýty, které v souvislosti s nařízením GDPR kolují a které lze snadno vyvrátit, případně vhodně osvětlit.

• osobní údaje nemohu zpracovat bez souhlasu (nesmysl, k tomu jsou určeny zákonné důvody a souhlas je krajním řešením)
• s účinností nařízení přijdu o možnost marketingu (pro vaše zákazníky ne, těm můžete mailovat a nabízet produkty či služby dále)
• budu potřebovat “pověřence” a to bude drahé (nebudete, povinnost má pouze několik přesně definovaných typů subjektů, většiny se to netýká)
• budu muset vést podrobné záznamy o zpracování údajů (nebudete)
• mohu dostat likvidační pokutu (teoreticky ano, ale UOOU nebude firmy likvidovat)
• GDPR mi vyřeší ajťáci nebo dodavatel IT (nevyřeší, je to procesní problém správce, tedy vás, vašich povinností se prostě nezřeknete)
• když zákazník odvolá souhlas se zpracováním údajů, musím zrušit služby (nemusíte, plnění smlouvy to není nadřazeno a budete mít zákonný důvod pro zpracování)

Jak vidíte, tak ty největší hrozby a strašáci neplatí. Jedná se typicky o nepochopení, desinformaci nebo o čistou absenci informací.

Základní povinnosti

O nařízení GDPR jste určitě už slyšeli a nemá smysl zde opět zmiňovat staré známé informace, jako maximální výši pokuty za prohřešky. Těch se není třeba bát, protože Nařízení má rozšiřovat současné povinnosti na ochranu osobních údajů, nikoliv likvidovat firmy. Kontrolní orgán působící na území ČR, kterým je UOOU, nemá v úmyslu firmy likvidovat, ale v případě potřeby vzdělávat a v oblasti ochrany OS pomáhat.

Pro majitele e-shopu je důležité, aby shromažďoval (spravoval) a používal (zpracovával) údaje svých zákazníků,  nikoliv ostatních subjektů, protože k těm by potřeboval souhlas. Rozsah údajů doporučujeme minimalizovat, abyste nesbírali zbytečně mnoho informací, které stejně nevyužijete. Stanovte si relevantní důvody, proč každý jednotlivý údaj potřebujete přijmout.

Zákonnost zpracování

Osobní údaje můžete zpracovávat pouze tedy, máte-li zákonný důvod, nebo souhlas daného subjektu údajů (osoby, protože se bavíme o fyzických osobách). Při každém převzetí osobních údajů byste tedy měli vědět, na základě jakého zákonného důvodu daný údaj vyžadujete. Pokud ho nemáte, tak musíte mít explicitní a zpětně prokazatelný souhlas.

Není tedy pravda, že pokud se subjekt údajů rozhodne požadovat výmaz osobních údajů, musí mu být vyhověno. Kategorie zákonného zpracování myslí i na veřejný zájem, legislativní povinnosti a oprávněný zájem správce údajů. Do těchto kategorií patří sbírání záznamů na vašem e-shopu (logy jsou vyžadovány zákonem), uchování historie objednávek (zákonný důvod kvůli běžící záruce) nebo zachování účetních dokladů (kvůli zákonu u účetnictví).

Majitele e-shopu bude nejvíce zajímat zpracování na základě zákonného důvodu plnění smlouvy. Pokud u vás zákazník něco koupí, uzavírá tím kupní smlouvu a v rámci plnění smlouvy máte důvod údaje zpracovávat. Nepotřebujete k tomu zvláštní souhlas, a proto ho v e-shopu ani nenajdete.

Získávání souhlasu

Právě oblast získávání souhlasů vyvolala největší paniku, protože by to byla pro mnoho IT systémů včetně elektronických obchodů práce navíc. Realita je naštěstí jiná a souhlasy (ve své známé explicitní podobě zaškrtnutí něčeho na webu) jsou až poslední mechanismus pro zpracování osobních údajů. Předtím, než budete získávat souhlas, byste měli vyčerpat všechny možnosti zákonných důvodů včetně široké kategorie oprávněného zájmu.

Pro vyhnutí se povinnosti získávat souhlasy si pamatujte dvě pravidla. První říká, že pokud chcete využít osobní údaje na účel, který nesouvisí s tím, jak jste údaje získali (typicky objednávka na vašem e-shopu), tak potřebujete souhlas. Druhé pravidlo je nesbírat údaje, které nepotřebuji.

Myslete na to, že souhlas je krajní nástroj pro získání důvodu pro zpracování osobních údajů. Použije se až tehdy, když vám dojdou jiné argumenty pro zpracování (zákonné důvody). Jistě cítíte, že souhlas je potřeba pro něco, co nesouvisí s daným produktem, e-shopem a co zákazník neočekává. Nedávejte ho na web zbytečně (je to hrubá chyba a dozorový orgán nadužívání postihuje) a myslete na to, že jeden vše pokrývající souhlas neexistuje.

Transparentnost

Hlavní myšlenkou nařízení je transparentnost zpracování osobních údajů pro zákazníka. Na vašem webu byste měli mít stránku s popisem procesu zpracování osobních údajů, aby zákazník věděl, jak s nimi nakládáte. Tomuto se říká Prohlášení nebo také Zásady o zpracování osobních údajů a znáte je třeba ze služeb Google, kde je potvrzujete (možná bez přečtení). Na tyto Zásady zpracování osobních údajů odkazujte ze smluvních podmínek.

Jak jsem už zmínil v odstavci o souhlasech, tak každý účel zpracování, který bude výjimkou od těchto Zásad (nebo nebude souviset s plněním smlouvy a objednaným zbožím), by měl zákazník znát předtím, než bude uzavírat kupní smlouvu (tedy objednávat). Mělo by zde být uvedeno i to, že osobní údaje předáváte dopravci (viz další text).

Rozhodně se vyvarujte principu “vydírání”, tedy informování o nějaké skutečnosti až na konci objednávky, pro kterou žádáte souhlas, jinak “nebude možné objednávku odeslat”. Zcela zakázaným principem je i získání “generálního” obecného souhlasu pro využití dat. Na to rozhodně nemyslete. Není možné získat souhlas subjektu údajů pro “všechny možné” účely zpracování údajů v e-shopu.

Závěrem

GDPR je opravdu komplexní nařízení a není proto možné stanovit jednotlivé body a podmínky, co je a není třeba splnit, neb vždy záleží na konkrétní situaci a rozsahu služeb či zpracovávaných údajů.

Sanžili jsme se pro vás však připravit veškeré základní a potřebné úpravy a možnosti, které jako správce webu či e-shopu musíte mít k dispozici pro soulad s GDPR.  Z povahy věci však nemůžeme veškeré náležitosti spojené s implementací GDPR zajistit za vás.

Jaké novinky v administraci inPage jsme pro vás v souvislosti s GDPR připravili a co je třeba si z vaší strany aktivně vyřešit, se dočtete v následujících článcích:

• GRPR - Novinky v administraci inPage
• GDPR - co je třeba si aktivně vyřešit
• GDPR - Zpracovatelské smlouvy