Hlavní navigace

Objednávka a sběr osobních údajů

Dobrý den,
v lékárně objednáváme pro zákazníky vybraná léčiva, které běžně nemáme skladem. Máme objednávkový formulář, kam si napíšeme jméno zákazníka a telefonní číslo. Otázka 1/ Je potřeba žádat zákazníky o informovaný souhlas k poskytnutí takových dat a ten si nechat podepsat?
Při telefonických objednávkách se ptáme na stejné údaje. Otázka 2/ Jak získáme případný informovaný souhlas při telefonické objednávce?
Dále, evidujeme obchodní partnery, kterým dodáváme léčiva ( zejména ordinace lékařů). Otázka 3/ Bude potřeba od stávajících obchodních partnerů získat informovaný souhlas ke zpracování(evi­denci) účetní agendy ( na fakturách v počítači je jejich jméno a např. IČ)? Děkuji

Hana
29. 4. 2018 19:12

Odpověď

Dobrý den, Hano,

Děkujeme za dotaz.

Pokud si u Vás objednávají Vaši zákazníci zboží a uvedou své osobní údaje, musíte takové osobní údaje zpracovat pro plnění smlouvy – takový důvod i samo Nařízení uvádí jako zákonný důvod zpracování – jde o „zpracování nezbytné pro provedení opatření před uzavřením smlouvy na žádost subjektu údajů“. V takovém případě je třeba zákazníka pouze o zpracování informovat a není nutné si nechávat podepsat jeho souhlas.

Problém nastává v tom, že spojujete jeho objednávku s údaji o lécích – tedy o možném zdravotním stavu zákazníka – a tam se už dostáváme do zpracovávání „citlivých“ osobních údajů, podle GPDR zvláštní kategorie osobních údajů. Pokud takové údaje zpracováváte, musíte podle právní úpravy získat souhlas subjektu s takovým zpracováním. Právně správně byste si tedy měli nechat od zákazníka podepsat souhlas se zpracováním těchto „citlivých“ osobních údajů. Pokud je to tedy pro Vás proveditelné, můžete do objednávkového formuláře uvést kolonku s možností zaškrtnout, že zákazník souhlasí se zpracováním citlivých osobních údajů. Nicméně v tomto případě máme za to, že je třeba k tomu přistupovat více prakticky a méně formalisticky. Souhlas subjektů musí být doložen, nikde není uvedeno, že musí být písemný – máme za to, že souhlas byl vysloven spolu s objednávkou daných léků, což je také odpověď na Vaši otázku ohledně telefonické objednávky. Upozorňujeme ale, že se jedná o náš výklad a konečné stanovisko by bylo případně až na Úřadu pro ochranu osobních údajů.

Co se týče faktur, v takovém případě se jedná o zpracování nezbytné pro plnění smlouvy, což je zákonný důvod zpracování a není třeba získávat souhlas obchodních partnerů, právně správně je třeba je o takovém zpracování informovat. Co by měla taková informace obsahovat? Zejména Vaši identifikaci, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány (v tomto případě pro plnění smlouvy), jaký zákonný důvod Vám to umožňuje (ve Vašem případě čl. 6 odst. 1 písm. b) Nařízení), kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, po jakou dobu budou osobní údaje uchovávány. Dále by subjekt osobních údajů měl být informován o jeho právech, tedy např. o právu přístupu k osobním údajům, právu na opravu, na aktualizaci osobních údajů, právo požadovat výmaz osobních údajů či např. právo na účinnou soudní ochranu (pro podrobnější výpis práv koukněte přímo do Nařízení). Tuto informační povinnost můžete splnit záložkou na webu, vložením do smlouvy či do obchodních podmínek.

Přeji pěkný den,

S pozdravem

Anna Freimannová

Mgr. Anna Freimannová (poradkyně pro GDPR)