E-shopaři, zpracování osobních údajů podléhá registraci. Jste přihlášeni?

9. 9. 2015
Doba čtení: 4 minuty

Sdílet

Ilustrační obrázek. Autor: Shutterstock.com, podle licence: Rights Managed
Ilustrační obrázek.
E-shopy musí být registrovány u Úřadu pro ochranu osobních údajů. Za porušení zákona hrozí pokuty.

Provozovatelé internetových obchodů často opomíjejí jednu zásadní povinnost, registraci svého e-shopu na Úřadu pro ochranu osobních údajů. Pokud patříte mezi ty, kteří tak ještě neučinili, napravte to. Je totiž jen otázkou času, kdy se dostanete do nepříjemné situace. Každý provozovatel e-shopu potřebuje k dokončení obchodu osobní údaje svých zákazníků. Jde zejména o jejich jména, adresy, telefonní čísla a e-mailové adresy. Všechny tyto údaje zákon o ochraně osobních údajů definuje jako osobní, a proto musí být jejich správci evidováni ve Veřejném registru zpracování osobních údajů. Povinnost nahlášení do něj mají všichni správci osobních údajů, tedy jak podnikatelé, tak i nepodnikatelé, přičemž z této oznamovací povinnosti existují výjimky, které se ale většinou netýkají internetových obchodů.

Pro povinnost registrace je rozhodující, zda e-shop osobní údaje využívá i jinak, než pouze pro vyřízení objednávky. Pokud na tyto údaje odešle třeba e-mailovou obchodní nabídku, povinnost přihlášení do registru má. Zpracování osobních údajů oznamuje správce, který zpracovává osobní údaje nad rámec stanovený zákonem. Oznamovat se tedy nemusí zpracování osobních údajů, pokud se jedná o uzavírání smluvních vztahů podle občanského zákoníku, šíření obchodních sdělení podle zákona o některých službách informační společnosti nebo nabízení obchodu a služeb subjektu údajů, jehož údaje byly získány v souvislosti s činností správce podle zákona o ochraně osobních údajů. Vše při dodržení podmínky zpracování pouze nezbytného rozsahu osobních údajů.

Ilustrační obrázek.
Autor: Shutterstock.com, podle licence: Rights Managed

Ilustrační obrázek.

Dále čtěte: Pokuta za 1 milion korun. Na české eshopy si posvítila ČOIka

  Oznamovací povinnost se vztahuje na zpracování prováděná nad rámec činností uložených správci zákonem nebo nezbytných pro uzavření či plnění smlouvy. Jedná se například o dobu uchování osobních údajů nad rámec smluvních vztahů, průzkumy trhu nebo marketingové účely. Může se jednat i o účely zasílání obchodních sdělení nebo nabízení obchodu a služeb, ale podmínkou je například širší rozsah zpracovaných údajů, vysvětluje David Pavlát, mluvčí Úřadu pro ochranu osobních údajů.

Častou chybou je podávání oznámení v případech, kdy se na zpracování osobních údajů oznamovací povinnost nevztahuje, dále jsou problémy při definování účelu zpracování osobních údajů, chybějící souhlas a způsob jeho získávání a nejasnosti v rozsahu podávaných informací subjektu údajů o zpracování jeho osobních údajů.

Mohlo by vás zajímat: Chcete mít v obchodě výdejní místo pro e-shopy? Čtěte, co musíte splňovat

Registrujte se on-line

Pro ochranu osobních údajů je nutné, aby e-shop splňoval (uváděl) následující podmínky:

  • Registrace obchodníka na Úřadu pro ochranu osobních údajů
  • Identifikace obchodníka
  • Účel zpracování osobních údajů 
  • Rozsah užití osobních údajů
  • Souhlas uživatele se zpracováním osobních údajů
  • Možnost odvolat souhlas s dalším zpracováním

Nezapomeňte na to, že jako internetoví obchodníci jste povinni uveřejnit i prohlášení o ochraně osobních údajů a zároveň garantovat, že poskytnuté osobní údaje nezbytné pro dodání zboží jsou důvěrné a budou použity jen k uskutečnění plnění smlouvy s kupujícím a že nebudou poskytnuty žádným třetím stranám.

Ochranu osobních údajů v České republice řeší zákon o ochraně osobních údajů, na jehož základě pracuje Úřad pro ochranu osobních údajů. Povinnosti správců osobních údajů jsou uvedeny v § 5 zmiňovaného zákona. V § 16 zákona o ochraně osobních údajů jsou dále stanoveny oznamovací povinnosti správců. Úřadem vedený Veřejný registr zpracování osobních údajů eviduje informace o správcích osobních údajů a účelu jejich zpracování. Neslouží k plánování kontrol, ani jinému podobnému účelu.

Je nutno zdůraznit, že povinností správce je zpracování osobních údajů oznámit Úřadu ještě před jeho samotným zahájením. Zpracování osobních údajů není možné zahájit dříve, než uplyne 30 dnů od doručení oznámení Úřadu, připomíná David Pavlát. Porušení této povinnosti je v případě fyzické osoby nepodnikatele považováno za přestupek, u právnické osoby nebo podnikající fyzické osoby potom jako správní delikt. Za přestupek hrozí pokuta až jeden milion korun, za správní delikt potom pět milionů korun. Jak ale říká mluvčí Úřadu pro ochranu osobních údajů, zpravidla se nesplnění oznamovací povinnosti zohlední při výši ukládané pokuty v návaznosti na prováděnou kontrolu.

Než riskovat pokutu, je lépe se registrovat. Registrace je zdarma a lze ji snadno provést on-line na stránkách Úřadu pro ochranu osobních údajů. Vyplnění formuláře je záležitostí 30 minut. Je potřeba počítat s tím, že Úřad si vyhrazuje právo registraci odsouhlasit po dobu jednoho měsíce od vyplnění. Registrační formulář je určen pro oznámení pouze jednoho zpracování, pokud tedy hodláte oznámit více zpracování, je nutné použít odpovídající počet formulářů. Každé zpracování je charakterizováno především svým účelem, jehož má být prostřednictvím zpracování osobních údajů dosaženo, a proto je nezbytné věnovat náležitou pozornost bodu 3 registračního formuláře, který vymezuje účel nebo účely daného zpracování, upozorňuje David Pavlát z Úřadu pro ochranu osobních údajů.

Úřad následně na žádost správce osvědčení vydává potvrzení o provedené registraci, které je dokladem skutečnosti, že správce splnil svou zákonnou povinnost, a že tedy může zahájit oznámené zpracování.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).