Práva a povinnosti správců a zpracovatelů osobních údajů, do jejichž definice spadne značné množství provozovatelů e-shopů a internetových portálů zpracovávajících osobní údaje svých zákazníků a uživatelů, komplexně upravuje zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (dále jen „zákon o ochraně osobních údajů“). Jejich dodržování při zpracování osobních údajů představuje účinný způsob pro to, jak předejít možným únikům či zneužití osobních údajů, jakož i případným postihům ze strany Úřadu pro ochranu osobních údajů (dále jen „úřad“). Přehled těch nejzákladnějších z nich uvádíme níže.
Oznamovací povinnost
Podle definice obsažené v zákoně o ochraně osobních údajů je správcem osobních údajů každý subjekt, který určuje účel a prostředky jejich zpracování (jež současně provádí a odpovídá za něj), přičemž zpracováním osobních údajů může pověřit i jiného zpracovatele, nestanoví-li zvláštní zákon jinak. Za zpracovatele se proto považuje každý subjekt, který osobní údaje zpracovává buď na základě pověření správcem, nebo na základě zvláštního zákona.
Psali jsme: 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu
Internetové portály a e-shopy, které (zpravidla z pozice správců) zpracovávají osobní údaje získané od svých klientů či uživatelů nad rámec činností stanovených zákonem nebo nezbytných pro uzavření či plnění smlouvy, mají podle ustanovení § 16 zákona o ochraně osobních údajů povinnost tuto skutečnost oznámit úřadu, a to ještě před zahájením zpracování. Oznamovací povinnost se tak uplatní zejména na ty e-shopy a webové portály, které budou osobní údaje zpracovávat např. za účelem vytvoření databáze svých zákazníků nebo pro účely výkonu propagačních a marketingových aktivit. Oznámení se úřadu podává na standardizovaném formuláři, což splnění této povinnosti v praxi výrazně zjednodušuje.
Z oznamovací povinnosti vůči úřadu však existují i jisté výjimky, které se aplikují na případy, ve kterých bude docházet ke zpracování osobních údajů v rozsahu uloženém zvláštním zákonem. U internetových obchodů a webových portálů se výjimky plynoucí ze zvláštních právních předpisů uplatní především při
- (i) uzavírání smluv podle zákona č. 89/2012 Sb., občanský zákoník, v platném znění,
- (ii) šíření obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti, v platném znění či
- (iii) nabízení obchodu a služeb podle ustanovení § 5 odst. 5 zákona o ochraně osobních údajů.
V těchto případech nebude nutné zpracování osobních údajů úřadu oznamovat. V rámci zákonných důvodů bude však nezbytné osobní údaje zpracovávat pouze v omezeném rozsahu a výlučně pro účely některého z vymezených důvodů. Dá se tedy předpokládat, že většině internetových portálů a e-shopů oznamovací povinnost vůči úřadu vznikne, jelikož vejít se do rozsahu některé ze zákonných výjimek nebude lehké, ani vždy zcela výhodné.
Čtěte také: Prodáváte? Pak šetřete na ochránce osobních údajů. Budete ho potřebovat
Souhlas se zpracováním a informační povinnosti
Pro to, aby byl provozovatel internetového obchodu či portálu oprávněn osobní údaje (v rozsahu nad rámec činností uložených mu zákonem nebo nezbytných pro uzavření smlouvy) zpracovávat, musí pro to od osob poskytujících mu své osobní údaje (tzv. subjektů údajů) získat potřebný souhlas. Subjekty údajů tak budou především zákazníci či jakýkoliv jiní uživatelé e-shopu nebo webového portálu. Získání souhlasu se zpracováním musí provozovatel (jakožto správce) být rovněž schopen prokázat, a to po celou dobu zpracování.
Provozovatel má (z pozice správce) vůči subjektům údajů také relativně rozsáhlé informační povinnosti. Při udělování souhlasu se zpracováním je povinen subjekt údajů např. informovat o tom, pro jaký účel budou jeho osobní údaje zpracovány, k jakým konkrétním údajům a na jaké období je souhlas poskytován, kdo a jakým způsobem bude osobní údaje zpracovávat nebo komu mohou být případně dále zpřístupňovány. V neposlední řadě je povinen subjektu údajů poskytnout informace o jeho právech, které mu plynou ze zákona a mezi něž patří např. právo na přístup k osobním údajům, jejich opravu, doplnění či likvidaci, jakož i další práva stanovená v ustanovení § 21 zákona o ochraně osobních údajů.
Psali jsme: Jarní úklid bude letos důležitější než kdy jindy. Usnadní vám přijetí GDPR
V praxi může být souhlas se zpracováním provozovatelem získán např. jeho zahrnutím do smlouvy nebo do obchodních podmínek internetového obchodu či portálu, ke kterým zákazníci a uživatelé před koupí zboží či objednáním služeb přistupují (zpravidla prostřednictvím zaškrtnutí políčka na webové stránce) a vyslovují s nimi svůj souhlas. Zahrnutím do smlouvy, všeobecných obchodních podmínek nebo zvláštních podmínek týkajících se ochrany soukromí mohou být současně splněny i výše uvedené informační povinnosti.
Technická a organizační opatření
Zákon o ochraně osobních údajů dále v ustanovení § 13 správcům a zpracovatelům osobních údajů ukládá přijmout taková opatření, aby nemohlo dojít k neoprávněnému přenosu nebo přístupu k osobním údajům, k jejich změně, zničení či ztrátě, k jejich jinému neoprávněnému zpracování nebo jinému zneužití. Přijatá technicko-organizační opatření jsou tito zároveň povinni patřičně zdokumentovat. Přehled přijatých technických a organizačních opatření může být opět zahrnut ve smlouvě či v obchodních podmínkách a měl by obsahovat detailní popis veškerých realizovaných opatření.
Dále čtěte: Další výdaje a povinnosti podnikatelů. Povinná ochrana dat
Technickými a organizačními opatřeními potřebnými k zajištění dostatečně vysoké míry ochrany údajů je míněn např. řízený přístup k datům a identifikace přistupujících osob (hesla a uživatelské role), kamerový systém nebo stálý dozor (recepce či bezpečnostní služba), zajištění omezeného přístupu k technickým prostředkům (zámky nebo přístupové karty), ochrana dat antivirovým softwarem, zálohování a šifrování dat, pravidelná školení zaměstnanců apod.
Pozor na blížící se GDPR
S ohledem na ochranu osobních údajů čeká na provozovatele při zřizování internetového obchodu nebo webového portálu celá řada povinností. V důsledku nabytí účinnosti nového nařízení EP a Rady (EU) 2016/679 o ochraně osobních údajů však nastanou v této oblasti od května 2018 převratné změny. Pro provozovatele e-shopů a internetových portálů budou obzvláště důležité především změny týkající se zrušení nynější oznamovací povinnosti vůči úřadu, jakož i zavedení přísnějších podmínek pro získání souhlasu se zpracováním osobních údajů.
V praxi tak bude již zanedlouho mnohem obtížnější souhlas se zpracováním od uživatelů prostřednictvím prostředků komunikace na dálku získat a nebude možné jej tak jednoduše zahrnout do smlouvy či všeobecných obchodních podmínek tak, jak to v současné době umožňuje zákon o ochraně osobních údajů.
Zaujal vás článek?
Odemkněte si celý text za jednorázových 30 Kč. Stačí zadat váš e-mail a v dalším kroku vše odsouhlasit.
Již jste zaplatili? Vložte, prosím, váš e-mail a my vám zašleme nový odkaz pro odemknutí