Okolo nového nařízení o ochraně osobních údajů stále panuje spousta nejasností a nevyřešených záležitostí.

Existují ale povinnosti, o kterých se už teď ví, že se jim e-shopy nevyhnou.

Prolezli jsme web skrz naskrz, zúčastnili se konferencí a školení, načetli zákony a zkusili pro vás vypátrat, co se dalo.

Výsledkem je praktický průvodce, který přináší jednoduchý přehled, co by měly e-shopy začít dělat, aby je GDPR nevypeklo.

1. Zjistěte si, kdo jakou roli podle GDPR hraje

Správce, zpracovatel a subjekt. To jsou tři hlavní pojmy, které definují, kdo hraje jakou roli podle GDPR.

Správce

Správcem je jakákoliv fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

V podstatě se jedná o jakýkoliv subjekt, který zpracovává osobní údaje.

Jako e-shop jste správce – zpracováváte údaje svých zákazníků.

Zpracovatel

Zpracovatelem je fyzická nebo právnická osoba. orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Většinou se jedná o někoho, kdo spravuje váš systém a pracuje s vašimi daty.

Za jistých okolností můžete být zpracovatelem i vy.

Kdo další může být váš zpracovatel?

  • Poskytovatel cloudových služeb
  • Poskytovatel hostingových služeb
  • E-shopové platformy
  • Účetní a fakturační systémy
  • Dopravní společnosti
  • Marketingové agentury
  • IT firmy (např. ty, které se vám starají o úpravy na webu)
  • A další subjekty, kterým posíláte data na zpracování (Heuréka, Sklik, apod.)

Subjekt údajů (uživatel)

Fyzická osoba, jejíž údaje jsou někde uvedeny.

V případě e-shopu se jedná o vašeho zákazníka.

Co se pokládá za zpracování dat?

2. Projděte si údaje, které zpracováváte

Většinou existují dva způsoby, kterým údaje získáváte.

údaje získáváte od samotného zákazníka

Při vyplňování objednávky zákazník uvádí jméno a příjmení, adresu, bydliště, telefon a e-mail. Tímto způsobem vám zákazník své údaje poskytne sám.

údaje získáváte automaticky

Do této kategorie většinou spadají technické parametry, jako IP adresa, doba strávená na stránce, čas, kdy uživatel stránku navštívil, údaje o prohlížeči, apod. Systém tyto údaje získává díky logům, Google Analytics, apod. Takovéto údaje neidentifikují určitou osobu, ale počítač uživatele. Vy pak díky souborům cookies můžete na tuto osobu cílit svoje obchodní a marketingové aktivity.

Které údaje nepodléhají GDPR?

Co všechno je pokládáno za osobní údaj?

Při definování, co je a co není pokládáno za osobní údaj je třeba vycházet z univerzálního pravidla, a sice – lze podle tohoto údaje identifikovat určitou osobu?

Na následujících příkladech vám ukážeme, jak o osobních údajích uvažovat a rozlišovat mezi nimi.

Kdy je osobním údajem e-mailová adresa?

Jedním příkladem za všechny je e-mailová adresa. Pokud se ve vaší databázi objevuje kontakt typu mala.jaja123@email.cz, pak se s nejvyšší pravděpodobností o osobní údaj nejedná, protože se kontakt skládá z velmi obecných indicií.

Oproti tomu existuje konkrétní e-mailový kontakt, např. jana.novakova@firmanovak.cz. Dle tohoto e-mailu jste pravděpodobně schopni určit konkrétní Janu Novákovou, která pracuje ve Firmě Novák s.r.o., a spojit si s ní další informace. V tomto případě se bezesporu o osobní údaj jedná.

Jak je to se jménem nebo adresou bydliště?

Říkáte si, že když nemáte k dispozici konkrétní jméno, o osobní údaj se nejedná? Tak jednoduché to bohužel není.

Ve vaší databázi se může nacházet osoba jménem Jana Nováková a u ní je přiřazené číslo bankovního účtu. Osob s tímto jménem je spousta a vy nemůžete podle žádného klíče určit, které konkrétní Janě Novákové příslušné číslo účtu náleží.

Výše uvedený případ však porovnejte s následujícím. Muž, 50 let, bydlí v obci Horní Novákovice, číslo domu 101. V tomto případě se o osobní údaj jedná, byť neznáte jméno a příjmení. Máte však k dispozici adresu, podle níž jste schopni dotyčnou osobu vypátrat.

Patří do osobních údajů i IP adresa?

V případě IP adresy jde o to, zda lze podle ní identifikovat konkrétní osobu. IP adresa sama o sobě osobním údajem není, ale v momentě, kdy je váš zákazník registrovaný uživatel, si snadno spojíte oba ukazatele dohromady a dostanete konkrétní osobu.

Takových případů by se jistě našlo spousta. Obecně ale platí, že pokud zkombinujete jakékoliv údaje s dalšími ukazateli, a jste tak schopni identifikovat určitou osobu, jedná se o osobní údaj.

Co je považováno za citlivý údaj?

3. Stanovte účel, za kterým údaje zpracováváte

Když shromažďujete osobní údaje, musíte tak provádět za určitým a oprávněným účelem. GDPR terminologie hovoří o tzv. právním důvodu. Vy pak máte povinnost tyto právní důvody uvádět a být schopni je prokázat.

Kdy nastává onen právní důvod?

Když zpracovávání osobních údajů je:

  • nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů (splnění smlouvy je v případě e-shopu vyřízení a odeslání objednávky)
  • nezbytné pro splnění právní povinnosti, která se na správce vztahuje
  • nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo fyzické osoby (je však problematické přesně definovat, co znamená slovní spojení „životně důležitý zájem“)
  • nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (což se vás zřejmě jako e-shopaře netýká)
  • nezbytné pro účely oprávněných zájmů příslušného správce (oprávněným zájmem může být uchování osobních údajů pro případné reklamace)

Teprve v okamžiku, kdy žádný z výše uvedených důvodů nedokážete uspokojivě nadefinovat, musíte ke zpracování osobních údajů mít souhlas subjektu údajů (tedy od vašeho zákazníka).

Výše uvedené právní důvody si zapamatujte jako kouzelnou formulku. Jedná se totiž o jeden z nejdůležitějších textů, které se v GDPR nachází.

Vyplývá z něj podstatná věc – souhlas se zpracováním osobních údajů potřebujete pouze tehdy, kdy údaje zpracováváte nad rámec plnění smlouvy, právních povinností nebo ostatních právních důvodů.

Jak je to se souhlasem u objednávky?

Souhlas se zpracováním osobních údajů nepotřebujete pro dokončení objednávky. Vyřízení objednávky se totiž pokládá za právní důvod (naplnění kupní smlouvy).

Zbystřete však ve chvíli, kdy chcete údaje používat pro marketingové účely. Například pro rozesílání novinek e-mailem souhlas potřebujete. Nejlépe uděláte, když souhlas umístíte do objednávky. Musíte jej oddělit od souhlasu s obchodními podmínkami. Zároveň nesmíte objednávku souhlasem ke zpracování osobních údajů podmiňovat. Políčko rovněž nesmí být předzaškrtnuté.

Jak je to s uchováváním údajů o transakcích?

Pokud používáte platební bránu GoPay, musíte uchovávat (například v zabezpečeném archivu) údaje o platebních transakcích, a to po dobu 10 let od ukončení obchodního vztahu.

Touto povinností se řídíme i my, jelikož nám ji ukládá zákon č. 284/2009 Sb. (zákon o platebním styku) a dále zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (tzv. AML zákon).

I kdyby vás zákazník požádal, abyste tyto údaje vymazali, vy tak činit nemůžete, z důvodu povinnosti dodržovat naše obchodní podmínky (které respektují mimo jiné povinnosti uložené výše uvedenými zákony).

4. Projděte si seznam vašich kontaktů

GDPR se vztahuje i na ty kontakty, které jste získali ještě před začátkem platnosti nařízení (tedy ty, které máte nyní a které nasbíráte do příštího května). Pokud sbíráte kontakty, na které posíláte např. marketingové akce, newslettery, apod., ověřte si, zda od zákazníků máte souhlas.

Problém nastává i tehdy, kdy sbíráte kontakty výměnou za něco (typicky nabízíte e-book ke stažení výměnou za e-mail). V takovém případě musí uživatel odsouhlasit, že chce, aby mu na e-mail e-book dorazil. V ideálním případě by měl poskytnout i souhlas k budoucímu zasílání dalších e-booků. Pokud souhlas neudělí, můžete mu zaslat jen ten e-book, se kterým zákazník souhlasil.

Jak by mohly vypadat podmínky souhlasu k zasílání novinek e-mailem najdete zde.

5. Pohlídejte si smluvní dokumentaci se zpracovateli

Projděte si, kdo všechno pro vás zpracovává data (je tedy v pozici zpracovatele). Všechny smlouvy se zpracovateli byste měli mít v souladu s GDPR. Zatím neexistuje ustálený výklad, kdo by měl tuto dokumentaci vytvořit. Přesto doporučujeme této oblasti věnovat patřičnou pozornost.

Panuje však názorová shoda, kdo je zodpovědný za případný únik dat. Pokud zpracovateli nějaká data uniknou, veškerá odpovědnost jde za vámi jako za správcem a vy budete muset platit pokutu. A to i přesto, že smlouvy budete mít právně v pořádku. Jinými slovy máte povinnost ujistit se, že váš zpracovatel (nebo zpracovatelé) je schopen s daty bezpečně nakládat.

6. Rozmyslete se, zda potřebujete všechna data, která shromažďujete

Zlaté pravidlo pro řádné plnění povinností definovaných v GDPR je: “Neukládejte a nezpracovávejte data, která nezbytně nepotřebujete”.

Snadno se vám totiž stane, že vám nějaký ten právní důvod vypadne, vy budete mít v databázi velké množství dat a k jejich nakládání budete postrádat souhlas uživatele.

Vyvarujte se vytváření obrovských databází, ve kterých schováváte všechna možná data pro případ, že by se v budoucnosti hodila, ale nedokážete specifikovat přesný právní důvod, proč data zpracováváte.

7. Vytvořte samostatný dokument pro ochranu osobních údajů

Právníci doporučují vytvořit samostatný dokument, ve kterém popíšete, jak osobní údaje chráníte. Text umístěte na web vašeho e-shopu. Měl by být oddělený od Obchodních podmínek. Součástí dokumentu by měly být i procesy, které provádíte za účelem ochrany osobních údajů, včetně popisu účelů, za jakými zpracování údajů provádíte.

Nejlépe uděláte, když dokument dáte dohromady co nejdříve. Šušká se, že kontroly ÚOOÚ se zaměří na to, co lze kontrolovat na dálku, a to jsou právě Obchodní podmínky a dokument o zpracování osobních údajů.

Stačí zachovat chladnou hlavu a řídit se selským rozumem

Pokud jste se i doteď řídili zákonem 101/2000 Sb., o ochraně osobních údajů, pak máte z půlky vyhráno. Většina věcí, které jsou popsány v GDPR, platí už teď díky tomuto zákonu, jen nejsou často dodržovány. Neříkáme, abyste celé GDPR hodili za hlavu, ale pokud dnes postupujete v souladu s výše uvedeným zákonem, není důvod k přílišné panice, jak se někteří snaží v nás probudit.

Nejste-li si jisti a raději byste chtěli slyšet názor odborníka, vyhledejte si někoho přes právní poradenství a nechte jej provést analýzu rizik a aktuálního stavu ve vašem e-shopu. Popřípadě prozkoumejte jiné e-shopy a podívejte se, kdo a jak se na GDPR připravuje.

A pokud vy sami máte v rukávu užitečné rady a tipy, jak se jako e-shopař na GDPR připravit, nezapomeňte se o ně podělit v komentářích.

Karin Hambalíková

Karin je obsahová duše, která se podílí na psaní příběhů v GoPay.