Správcům osobních údajů vzniká povinnost registrovat se na Úřadě pro ochranu osobních údajů. A internetový obchodník se tímto správcem stává velmi snadno. Stačí, aby od zákazníka získal jméno, telefonní číslo, adresu, někdy i e-mailovou nebo IP adresu. K tomu dojde naprosto automaticky například při příjmu objednávky. Správcem osobních údajů je podle zákona o ochraně osobních údajů ten, kdo shromažďuje či zpracovává osobní údaje. Není přitom rozdíl mezi fyzickou a právnickou osobou. Rozhodující je činnost zpracování a shromažďování osobních údajů. Povinnosti jsou popsány například v článku E-shopaři, zpracování osobních údajů podléhá registraci. Jste přihlášeni?
Za nepřihlášení se do registru správců hrozí v případě zpracovávání osobních údajů vysoké pokuty. Tato povinnost ale neplatí obecně. Někdy proto není nutné se na Úřadě pro ochranu osobních údajů registrovat. Platí to v případě, že provozovatel internetového obchodu využije získané údaje pouze a výhradně pro vyřízení objednávky a nebude s nimi dále nakládat. V takovém případě navíc není vyžadován ani souhlas zákazníka se zpracováním jím uvedených informací.
Ilustrační obrázek.
Zpracování osobních údajů oznamuje správce, který zpracovává osobní údaje nad rámec stanovený zákonem. Oznamovat se tedy nemusí zpracování osobních údajů, pokud se jedná o uzavírání smluvních vztahů podle občanského zákoníku, šíření obchodních sdělení podle zákona o některých službách informační společnosti nebo nabízení obchodu a služeb subjektu údajů, jehož údaje byly získány v souvislosti s činností správce podle zákona o ochraně osobních údajů,
říká David Pavlát, mluvčí Úřadu pro ochranu osobních údajů. Výše uvedené ale samozřejmě platí v případě, že jsou dodrženy podmínky zpracování pouze nezbytného rozsahu osobních údajů.
Výjimky z registrace a jejich podmínky
Zákon o ochraně osobních údajů vyjmenovává výjimky ve svém § 18. Je ale nutné dodržet řadu podmínek. V případě internetových obchodů jde o následující možnosti:
Uzavírání smluvních vztahů podle občanského zákoníku
Jde o situaci, kdy se nezbytný rozsah údajů, který ale není zákonem přesně specifikován (obvykle jméno, titul, doručovací adresa, telefonní číslo, číslo účtu…), zpracovává za účelem uzavírání a plnění smluvních vztahů, reklamace či jiné ochrany spotřebitele uložené provozovateli e-shopu zvláštní právní úpravou. A to na omezenou dobu, po kterou trvá smluvní vztah. Tato doba zahrnuje interval od okamžiku objednání zboží do okamžiku projití záruční doby,
vysvětluje David Pavlát. Poté musí obchodník údaje ze svého systému smazat.
V tomto případě není ani potřeba souhlas subjektu údajů, protože se ve smyslu § 5 odst. 2 písm. b) zákona o ochraně osobních údajů jedná o zpracování osobních údajů, které je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo se jedná o uzavření smlouvy uskutečněné na návrh subjektu údajů. Je ale nutné zajistit informování subjektů údajů v souladu s § 11 odst. 1 a § 18 odst. 2 zákona o ochraně osobních údajů.
Šíření obchodních sdělení
Registrace na Úřadě pro ochranu osobních údajů není překvapivě nutná ani v případě, že budou některé osobní údaje zákazníků získané v souvislosti s činností provozovatele internetového obchodu využity i k dalším účelům. Výjimka se vztahuje například na šíření obchodních sdělení podle § 7 odst. 3 zákona o některých službách informační společnosti ve vztahu k uživatelům, kteří nedali předchozí souhlas. To znamená ve chvíli, kdy majitel internetového obchodu získá elektronický kontakt v souvislosti s předchozím prodejem výrobků nebo služeb.
Podmínkou je ale opět zajistit informování subjektu údajů v souladu s § 11 odst. 1 a § 18 zákona o ochraně osobních údajů a umožnit člověku při zaslání každého obchodního sdělení jednoduchým způsobem a zdarma odmítnout zasílání dalších nabídek. Nejčastěji je to prostřednictvím e-mailu. Součástí každého takového obchodního sdělení musí být označení, že jde o obchodní sdělení, a musí obsahovat adresu provozovatele internetového obchodu.
Nabízení obchodu a služeb subjektu údajů, jehož údaje byly získány v souvislosti s činností správce nebo zpracovatele
Toto popisuje § 5 odst. 5 zákona o ochraně osobních údajů a jde o rozesílání nabídek obchodu a služeb v klasické formě, tedy ne elektronicky. Použité osobní údaje musí pocházet z veřejného seznamu nebo se musí jednat o údaje, které správce získal v souvislosti s výkonem své činnosti. Bez souhlasu subjektu údajů k nim ale není možné přiřadit další údaje, například ani ty o už zakoupených výrobcích či službách. Podmínkou zasílání sdělení je, že konkrétní člověk nevyslovil nesouhlas se zpracováním osobních údajů za tímto účelem. A opět platí, že musí být dodržen omezený/nezbytný rozsah údajů, informovanost subjektu a umožnění zaslání písemného nesouhlasu se zpracováním osobních údajů.
Získá-li majitel internetového obchodu adresní a identifikační údaje zákazníka v rámci jeho objednávky zboží, může některé údaje použít k určitým činnostem i po ukončení smluvního vztahu, a to bez souhlasu subjektu údajů s takovýmto zpracováním osobních údajů a bez potřeby podávat oznámení o zpracování osobních údajů,
připomíná mluvčí Úřadu pro ochranu osobních údajů David Pavlát. Jedná se o tyto údaje:
- Jméno, příjmení a adresa, které lze použít k nabízení obchodu a služeb (nikoli prostřednictvím služeb elektronických komunikací), a to do doby, dokud subjekt údajů nevysloví písemný nesouhlas se zasíláním těchto informací. Lze je tedy zasílat i opakovaně. Tyto údaje může vést v samostatné databázi a v případě, že subjekt vysloví písemný nesouhlas se zasíláním nabídky obchodu a služeb, je nutno údaje vymazat, resp. přesunout do databáze subjektů, kterým se nemají zasílat nabídky obchodu a služeb;
- Elektronický kontakt (například e-mail) může použít k zasílání obchodních sdělení, dokud subjekt neodmítne zasílání obchodních sdělení. K tomuto účelu může vést i databázi elektronických kontaktů, a to do doby, než subjekt vysloví nesouhlas se zasíláním obchodních sdělení;
- Výše uvedené databáze ovšem není možné slučovat;
- Je třeba zajistit informovanost subjektu údajů o zpracování v souladu s § 11 odst. 1 zákona o ochraně osobních údajů.
Dále čtěte: Jak získat databázi kontaktů na e-mailing? 3 věci, které nikdy nedělejte
Lepší je se registrovat
Aby měl obchodník jistotu, že neporušuje zákon, je vždy lepší se registrovat. Registrace do databáze správců osobních údajů probíhá přes online registrační formulář na webu Úřadu pro ochranu osobních údajů a je zcela zdarma. Pamatujte na to, že úřad má na vyřízení žádosti 30 dní a do doby, než vám bude přiděleno registrační číslo a nebudete zveřejněni ve Veřejném registru zpracování osobních údajů, nejste oprávněni zasílat obchodní sdělení. S osobními údaji můžete nakládat jen podle výše uvedených výjimek. Registrace provozovatele e-shopu je v každém případě vhodná kvůli rozvoji podnikání. Jen pak je možné vést seznamy zákazníků a využívat je například pro e-mailing a další marketingové účely.
ČLÁNKY DO MAILU