Vše co potřebujete vědět o GDPR pro e-shopy – jak začít?
Publikováno: 29. listopad 2017
Účinnost nového nařízení na ochranu osobních údajů, dobře známé pod zkratkou GDPR (General Data Protection Regulation), se nezadržitelně blíží. Od 25. května 2018 čeká na všechny subjekty, které zpracovávají osobní údaje, řada změn a novinek. Pro celou e-commerce je téma GDPR velkým strašákem, a proto se Asociace pro elektronickou komerci (APEK) rozhodla pomoci s odpověďmi na ty nejdůležitější dotazy. V tomto článku se budeme věnovat základním informacím a také vlastní identifikaci obchodníka ve vztahu k novému nařízení.
„Nové nařízení přinese změny a především díky možnosti udělit astronomické pokuty se GDPR věnuje velká pozornost. Řada požadavků na ochranu osobních údajů je stejná nebo velmi podobná současné úpravě, avšak část podnikatelů dosud nepřistupovala k jejich dodržování naprosto poctivě. A to z neznalosti, ne ze špatného úmyslu. Nyní však hrozbě GDPR v médiích prakticky nelze uniknout, proto je třeba se tomuto tématu věnovat podrobně a nejdůležitější informace o nařízení si řádně vysvětlit,“ říká výkonný ředitel APEK Jan Vetyška.
Základní slovníček pojmů
GDPR (General Data Protection Regulation) – nové nařízení na ochranu osobních údajů, které bude účinné od 25. 5. 2018.
Osobní údaje - veškeré informace o identifikované nebo identifikovatelné fyzické osobě. U e-shopů nejčastěji všechny informace o zákaznících.
ePrivacy – navrhované nařízení k ochraně soukromí na internetu, účinné by mělo být také od 25. 5. 2018
Správce osobních údajů - subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů = internetový obchod.
Zpracovatel osobních údajů - subjekt, který pro správce zajišťuje nějaké činnosti při zpracování osobních údajů = hosting, marketing, účetnictví apod.
Subjekt údajů – fyzická osoba, jejichž osobní údaje jsou zpracovávány.
Co a kdy nás čeká?
Každý subjekt, který pracuje s osobními údaji fyzických osob, by měl v první řadě vědět, že účinnost GDPR nabývá 25. května 2018. Současně s tímto obecným nařízením se Evropská komise snaží dokončit ještě nařízení ePrivacy, které se věnuje komunikaci a ochraně soukromí na internetu. I to by mělo být účinné současně s GDPR, přestože dosud není jasná finální podoba této normy.
Hlavní změny, které nové nařízení přinese, se dají shrnout bodově:
- Získání souhlasu se zpracováním osobních údajů
- Vedení záznamů o zpracování osobních údajů
- Rozšířené požadavky na obsah smluv mezi správcem a zpracovatelem osobních údajů
- Větší odpovědnost zpracovatele osobních údajů
- Nová práva subjektů údajů (fyzických osob)
- Významně vyšší možné sankce
- Důkazní a oznamovací povinnost
Kdo jsem z pohledu GDPR a co musím nyní udělat?
Při přípravě na GDPR si každý podnikatel musí nejprve odpovědět na otázku „Jsem správcem nebo zpracovatelem údajů?“ Zatímco e-shopy budou ve většině případů správcem, například poskytovatelé e-shopových řešení, kteří poskytují také hosting, budou zpracovateli údajů. Po této základní identifikaci je pak nutné si určit další důležité body:
- Spadám svou činností pod nařízení GDPR? – Ano, e-shopy i poskytovatelé souvisejících služeb budou velmi pravděpodobně nařízení podléhat.
- Na základě čeho vlastně osobní údaje zpracovávám? – Pro zpracování osobních údajů je nezbytný souhlas subjektu údajů. V souladu s novým nařízením bude v první řadě třeba informovat o zpracování osobních údajů samostatně a viditelně – informace tedy nemohou být součástí například obchodních podmínek. Dále musím mít pro každý účel souhlas subjektu samostatně. Pouze v případě, kdy je zpracování osobních údajů nezbytné pro samotné naplnění kupní smlouvy, není nutný aktivní souhlas subjektu (informační povinnost je ovšem třeba splnit!).
- Můžu nadále zpracovávat osobní údaje na základě aktuálního souhlasu? – Není to zcela jasné, ale velmi pravděpodobně aktuální souhlasy od 25. 5. 2018 platit nebudou. Nařízení GDPR postrádá tzv. přechodná ustanovení, není tedy jednoznačně dáno, jak se stavět k údajům ze současnosti. Nicméně v tuto chvíli předpokládáme, že je třeba získat nové souhlasy subjektů se zpracováním – ale zřejmě je možné již nyní sbírat souhlasy podle nové legislativy „do budoucna“.
V dalších dílech naší minisérie budeme pokračovat v rozklíčování nejdůležitějších bodů, které musí obchodníci do budoucna splnit nebo kterým musí rozumět. Je zřejmé, že se bude jednat zejména o:
- Úpravu interních procesů v e-shopech
- Nové souhlasy se zpracováním osobních údajů
- Nová práva subjektů údajů (tedy fyzických osob)
- Úprava smluv s dodavateli služeb, při kterých dochází k předávání osobních údajů
- Povinnost zřídit funkci pověřence
- Ohlašovací povinnost při úniku osobních údajů
„Chceme postupně lidskou formou vysvětlit nejen našim členům, co je vlastně s GDPR čeká a jak se připravit. Kromě toho chystáme v roce 2018 další semináře a také setkání se zástupci Úřadu pro ochranu osobních údajů,“ doplnil Jan Vetyška.
Jak připravit e-shop? Využijte materiály APEK
Účinnost nařízení GDPR se kvapem blíží a APEK průběžně zpracovává pro své členy podklady a materiály, které jim pomohou se kvalitně připravit na nadcházející změny. Členové APEK mají již nyní k dispozici v rámci členské zóny webu www.apek.cz následující dokumenty:
- Manažerský přehled k GDPR – souhrn toho nejdůležitějšího, co nařízení GDPR pro e-shopy znamená. Dokument není zaměřený na detail, ale na informace, co je klíčové pro přípravu internetového obchodu před účinností nařízení.
- Komplexní informace o GDPR – rozšíření Manažerského přehledu k GDPR se věnuje konkrétněji jednotlivým bodům a je zpracováno tak, aby se jím mohli řídit pracovníci zodpovědní za samotné úpravy procesů a e-shopu v souladu s nařízením.
- Aktuální informace k chystanému nařízení ePrivacy – analýza původního návrhu nařízení ePrivacy. To dosud neexistuje ve finální podobě a jeho přípravu APEK dále sleduje.
- Právní oběžník 2 2017 - úvodní informace k GDPR – Základní informace o novém nařízení, které měli členové APEK k dispozici ještě před přípravou Manažerského přehledu.
- Právní oběžník 7 2017 - Pověřenec pro ochranu osobních údajů a internetové obchody – informace o tom, v jakém případě je internetový obchod povinen zřídit funkci pověřence pro ochranu osobních údajů a co taková pozice obnáší.
- Právní oběžník 8 2017 - Informační povinnosti vůči subjektům údajů - přehled změn a povinností, které musí e-shop splnit v rámci informační povinnosti vůči fyzickým osobám (tedy subjektům údajů).
- Právní oběžník 9 2017 – Záznamy o činnostech zpracování osobních údajů – informace o tom, jak vést záznamy o činnostech, které souvisí se zpracováním osobních údajů v souladu s nařízením GDPR.
- Právní oběžník 10 2017 - Postupy při výkonu práv subjekty údajů (GDPR) – přehled toho, jak postupovat při výkonu (nejen) nových práv subjektů údajů (fyzických osob) – např. právo na přístup k osobním údajům nebo nově na přenositelnost osobních údajů.
- Pracovní vzorové dokumenty