Hlavní navigace

Na co si z hlediska GDPR musí dát pozor e-shopy? Zeptali jsme se odborníků

Jana Langerová

Nařízení o ochraně osobních údajů (GDPR) se samozřejmě dotkne také internetových obchodů. Zkontrolujte si v našem článku, jestli jste připraveni.

Doba čtení: 5 minut

GDPR se bude týkat všech internetových obchodů bez ohledu na jejich velikost. K dotčeným osobním údajům patří jak jméno, adresa, datum narození, údaje o platebních kartách, tak technické parametry typu e-mail, IP adresa nebo cookies. Na e-shopových platformách je třeba udělat několik změn, ale kdo se doposud k citlivým osobním datům choval zodpovědně, nemá se čeho obávat. Pokud někdo dělá svoji práci poctivě, tak je z velké části na GDPR připraven, v jeho případě půjde jen o vyřešení dokumentace, dodává ředitel Shoptetu Miroslav Uďan. Z hlediska uživatelů e-shopů nepůjde o výraznější změny, jen se jim bude v jednotlivých obchodech častěji zobrazovat upozornění o souhlasech nebo lišty s upozorněním na využití souborů cookies. Určitě je vhodné mít rozhraní, ze kterého může uživatel spravovat svoje osobní údaje a poskytnout nebo odejmout souhlas se zpracováním,  doplňuje Josef Javora ze společnosti GlobalSequr.

GDPR je OBECNÉ nařízení

V prvé řadě je důležité si jako provozovatel e-shopu uvědomit, že GDPR je obecně pojatým nařízením a jeho uplatnění tak záleží na úhlu pohledu a nejde aplikovat na všechny úplně stejně. Josef Javora ze společnosti GlobalSequr A/S upozorňuje, že stanovení konkrétních pravidel by bylo spíše ničivé než ku prospěchu, protože každý zpracovatel funguje jinak, má jinou strukturu, jiný obchodní model, jiný rozsah zpracování a působí na jiném tržním segmentu. Celé je to hlavně o tom, abychom rozumně přemýšleli, co pro ochranu udělat. A také, jak bychom chtěli (nebo nechtěli), aby se nakládalo s našimi osobními údaji, uzavírá.

Nelze tedy očekávat, že by například poskytovatelé e-shopových platforem vyřešili vše za jejich provozovatele. Ti se přitom svým klientům snaží vycházet maximálně vstříc a kromě globálních úprav platforem jim dodávají například univerzální dokumenty typu obchodních podmínek nebo zpracovatelskou smlouvu, které si mohou poupravit dle potřeby. Nástroje, teoretickou přípravu i výchozí univerzální nastavení tak od nás dostanou. Rozhodující krok, aby provoz e-shopu probíhal v souladu s GDPR, bude vždy na samotném e-shopaři a jeho porozumění tomuto nařízení a snaze ho dodržovat, vysvětluje Jan Brož, marketingový manager Eshop-rychle.cz.

Napsali jsme: Jak se v e-shopu pereme s GDPR? Několik rad pro ostatní, které to teprve čeká

Správce a zpracovatel 

Za zpracování osobních údajů odpovídá správce osobních údajů, což je provozovatel e-shopu. Ten uzavírá smlouvy se svými zákazníky. Pozor však na případ, kdy budou data uložena v databázi nějakého pronajímatele, konkrétně například hostingové nebo jiné softwarové společnosti. V tomto případě se pronajímatel stává zpracovatelem a je nutné s ním uzavřít smlouvu obsahující náležitosti podle nařízení GDPR. Mimo jiné zde musí být uveden předmět a doba trvání zpracování, jeho povaha a účel, typ osobních údajů, kategorie subjektů údajů a povinnosti a práva správce. Eva Škorničková, nezávislá právní konzultantka ochrany osobních údajů a šéfredaktorka portálu GDPR.cz, radí: Zpracovávejte jen ty údaje, které skutečně potřebujete, a jen po dobu, po kterou je potřebujete. Nedělejte s nimi nic, co jste si se subjektem předem nedomluvili. A hlavně osobní údaje svých zákazníků chraňte. Výše zmíněná smlouva o zpracování osobních údajů není novinkou, ale je součástí zákona o ochraně osobních údajů, proto je jen důležité, aby obsahovala náležitosti zmíněné v článku 28 nařízení GDPR.

Informování a souhlasy

Jednou z důležitých povinností vyplývajících z nařízení o ochraně osobních údajů je povinnost informovat zákazníka, a to nejpozději v okamžiku získání osobních údajů. Mezi požadované informace patří, kdo bude údaje zpracovávat a za jakým účelem se budou zpracovávat (například marketingové účely) a na základě jakého právního titulu. Informace o nakládání s osobními údaji mohou být také popsány ve všeobecných obchodních podmínkách, v kupních smlouvách nebo mohou být například součástí předsmluvní komunikace. Ten dokument je třeba aktualizovat a mimo jiné by v něm měl být i kontakt na osobu, která se zákazníky bude komunikovat v případě potřeby, upřesňuje dále Josef Javora a Eva Škorničková dodává: Údaje musí být stručně a srozumitelně sepsány a transparentně, tedy viditelně vyvěšeny na stránkách.

Podobná pravidla platí také u souhlasů například se zpracováním osobních údajů pro marketingové účely. Tady nezáleží na technice, jakou se zákazník osloví, ale na obsahu: korektnost, transparentnost, srozumitelnost, jednoduchost, časové omezení zpracování a další, vysvětluje Josef Javora. Pokud budete zpracovávat osobní údaje například pro účely plnění služby, právní povinnosti nebo na základě oprávněného zájmu, nebudete souhlas ke zpracování osobních údajů potřebovat. Pokud osobní údaje zpracováváte sami (nikomu je nepředáváte), jen v nezbytném rozsahu, po nezbytnou dobu, a to za účelem plnění smlouvy, zákonné povinnosti nebo oprávněného zájmu, souhlas se zpracováním nepotřebujete, shrnuje Eva Škorničková.

Souhlas podle GDPR musí být:  

  • konkrétní,
  • informovaný,
  • jednoznačný,
  • nepodmíněný.

Dále čtěte: Jak je to s GDPR a transparentností?

Uchovávání údajů a právo na výmaz

Pokud máte osobní údaje pro účely objednávky, musíte je uchovávat po dobu existence smlouvy a po jejím ukončení to může být až 15 let, což je zákonná promlčecí lhůta pro náhradu škody. Co se týče tištěných dokladů, tak ty se doporučují ukládat do zamykatelných skříněk. Jednou ze zásadních změn, které GDPR přinese, je, že platí právo uživatelů na smazání veškerých osobních údajů. Až praxe ukáže, kolik zákazníků takovou potřebu bude mít. Ale asi nelze očekávat, že by Češi masově zavalili obchodníky prosbami o mazání svých digitálních stop, komentuje Miroslav Uďan. 

WT100 tip v článku Ilinčev

Nezapomínejte na bezpečnost

GDPR není jen o technickém řešení, ale o celkovém přístupu k osobním údajům zákazníků napříč celým provozem e-shopu, upozorňuje Jan Brož. A má naprostou pravdu. Nejde jen o to mít v pořádku vše na e-shopu samotném, ale zapomínat nesmíte ani na vnitřní předpisy o nakládání s osobními údaji. Konkrétně například na to, kdo ze zaměstnanců nebo spolupracovníků má přístup k osobním údajům. Zde je nasnadě to definovat smluvně. Dále myslete na zabezpečení přístupů, ochranu proti úniku dat a podobné věci spojené s bezpečností v online i offline prostředí.

Bezpečnost je v tomto ohledu velmi důležitá také proto, že platí ohlašovací povinnost narušení ochrany dat zákazníků dozorovému orgánu a případně také samotným klientům. To s sebou nese i povinnost technicky zajistit konstantní monitorování databází zákazníků vašeho internetového obchodu, protože abyste kybernetický útok mohli nahlásit, musíte být schopni jej odhalit, vysvětluje Eva Škorničková. S tím souhlasí i Josef Javora, který ochranu a řízení zranitelností systémů informačních technologií, vnější ochranu DNS prostoru, antimalware, antispam a antifishing považuje za důležitá témata. Jedná se o pojmy IT hantýrky, ale bez těchto prvků bezpečnost a soulad s GDPR těžko vybudujeme, shrnuje.