APEK a GDPR – otázky a odpovědi rozjely přípravu na nové nařízení naplno!
Publikováno: 15. listopad 2017
Asociace pro elektronickou komerci (APEK) připravuje pro své členy průběžně informace o novém nařízení na ochranu osobních údajů známém pod zkratkou GDPR (General Data Protection Regulation). Toto nařízení bude účinné od 25. 5. 2018 a dotkne se všech subjektů, které zpracovávají osobní údaje. Tím pádem tedy i internetových obchodů. A především pro ně APEK připravuje kompletní podklady, stejně jako tematické akce a semináře.
V pátek 10. listopadu 2017 proběhlo zatím největší setkání, které se neslo ve formátu „GDPR v otázkách a odpovědích“. Téměř 130 registrovaných účastníků mělo možnost si upřesnit nejdůležitější povinnosti, které nové nařízení přináší. Mezi hlavní body, na které se ptal výkonný ředitel APEK Jan Vetyška JUDr. Josefa Aujezdského, odborníka z advokátní kanceláře Mašek, Kočí, Aujezdský, patřily:
- Úprava interních procesů v e-shopech
- Nové souhlasy se zpracováním osobních údajů
- Nová práva subjektů údajů (tedy fyzických osob)
- Úprava smluv s dodavateli služeb, při kterých dochází k předávání osobních údajů
- Povinnost zřídit funkci pověřence
- Ohlašovací povinnost při úniku osobních údajů
„Tentokrát jsme zvolili formát moderované diskuze, díky které měli účastníci možnost lépe porozumět základní problematice GDPR. Navázali jsme tak na červnový seminář, stejně jako na odbornou přednášku v průběhu naší konference E-Business Forum 2017. Dotazy, které jsem měl na pana doktora připravené, doplňovalo aktivní publikum,“ říká výkonný ředitel APEK Jan Vetyška a pokračuje: „Dále naše členy čekají ještě semináře zaměřené podrobněji na to, jak připravit e-shop na GDPR a chystáme pro ně také setkání se zástupci Úřadu pro ochranu osobních údajů,“
Jako již tradičně byla celá akce pro členy asociace zdarma. Stejně tak je to s celou řadou podkladů a dokumentů, které jsou pro ně již nyní k dispozici v rámci členské zóny webu www.apek.cz. Aktuálně v ní členové mohou najít:
- Manažerský přehled k GDPR – souhrn toho nejdůležitějšího, co nařízení GDPR pro e-shopy znamená. Dokument není zaměřený na detail, ale na informace, co je klíčové pro přípravu internetového obchodu před účinností nařízení.
- Komplexní informace o GDPR – rozšíření Manažerského přehledu k GDPR se věnuje konkrétněji jednotlivým bodům a je zpracováno tak, aby se jím mohli řídit pracovníci zodpovědní za samotné úpravy procesů a e-shopu v souladu s nařízením.
- Aktuální informace k chystanému nařízení ePrivacy – analýza původního návrhu nařízení ePrivacy. To dosud neexistuje ve finální podobě a jeho přípravu APEK dále sleduje.
- Právní oběžník 2 2017 - úvodní informace k GDPR – Základní informace o novém nařízení, které měli členové APEK k dispozici ještě před přípravou Manažerského přehledu.
- Právní oběžník 7 2017 - Pověřenec pro ochranu osobních údajů a internetové obchody – informace o tom, v jakém případě je internetový obchod povinen zřídit funkci pověřence pro ochranu osobních údajů a co taková pozice obnáší.
- Právní oběžník 8 2017 - Informační povinnosti vůči subjektům údajů - přehled změn a povinností, které musí e-shop splnit v rámci informační povinnosti vůči fyzickým osobám (tedy subjektům údajů).
- Právní oběžník 9 2017 – Záznamy o činnostech zpracování osobních údajů – informace o tom, jak vést záznamy o činnostech, které souvisí se zpracováním osobních údajů v souladu s nařízením GDPR.
- Právní oběžník 10 2017 - Postupy při výkonu práv subjekty údajů (GDPR) – přehled toho, jak postupovat při výkonu (nejen) nových práv subjektů údajů (fyzických osob) – např. právo na přístup k osobním údajům nebo nově na přenositelnost osobních údajů.
- Pracovní vzorové dokumenty
Před e-shopy nyní stojí několik výzev. V první řadě si musí upravit své interní procesy tak, aby odpovídaly novému nařízení. Dále je jistě vhodné připravit souhlas se zpracováním osobních údajů již nyní do formátu, který odpovídá GDPR (informace mimo jiné musí být nakupujícím k dispozici odděleně od obchodních podmínek). Velmi důležité je také správné nastavení smluv ve vztahu k zaměstnancům či dodavatelům e-shopů, kteří se svou činností dotýkají zpracování osobních údajů. Jedná se například o společnosti zajišťující provoz samotného e-shopu, úložiště s osobními údaji zákazníků, ale také třeba účetní společnosti atd.
Nejen před APEK ale stojí několik nejasností, ke kterým by se měli vyjádřit zástupci státní správy. V současné chvíli například chybí tzv. přechodná ustanovení, bez kterých není zřejmé, jak proběhne samotný „přechod“ na nové nařízení a zda budou například platit současné souhlasy se zpracováním osobních údajů. „Od zástupců státní správy nám dosud schází také informace, jaké konkrétní náležitosti by měla obsahovat smlouva mezi správcem osobních údajů (internetovým obchodem) a zpracovatelem (např. hostingovou či softwarovou společností). Hrozí tak, že i přes maximální snahu obchodníků by tito mohli být pokutováni, jestliže příslušné úřady budou zastávat odlišné právní výklady, které nezveřejní s dostatečným předstihem nebo dokonce vůbec. Dotazů je ale samozřejmě více,“ upozorňuje Jan Vetyška a dále dodává: „Přípravu na nové nařízení by obchodníci s ohledem na hrozící velké sankce neměli podcenit. Během naší moderované diskuze s JUDr. Aujezdským vyplynulo několik klíčových bodů, na které se je třeba aktivně připravit. Na druhou stranu obchodníky, kteří zpracovávají osobní údaje správně v souladu s aktuální legislativou, nečeká až tolik razantních změn.“
Co tedy APEK pro své členy dále připravuje?
- „Check-list“ - přehled nutných kroků, které musí obchodníci před účinností GDPR udělat
- Odborné semináře na téma „Jak připravit e-shop na GDPR“
- Setkání členů APEK se zástupci Úřadu pro ochranu osobních údajů
- Další doplňující materiály na základě nových informací o konkrétním výkladu