dnes je 29.3.2024

Input:

Jak chránit osobní údaje?

28.4.2021, , Zdroj: Verlag Dashöfer

1.6
Jak chránit osobní údaje?

Mgr. Mgr. Radana Burešová, Mgr. Milan Vaňkát

Mezi právní předpisy, se kterými by se měl provozovatel e-shopu (prodávající, podnikatel) obeznámit, patří i nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), všeobecně označované jako "GDPR", které nahradilo dřívější zákon č. 101/2000 Sb., o ochraně osobních údajů.

Ačkoli ochrana osobních údajů vstoupila do povědomí veřejnosti teprve až v souvislosti s přijetím GDPR, je třeba si uvědomit, že i původně platný zákon byl založen na principech, které stanovila evropská směrnice a že tedy GDPR ve skutečnosti nepředstavuje v ochraně osobních údajů takovou revoluci, jak by se mohlo zdát.

GDPR však zvýšilo informovanost o nutnosti ochrany osobních důvodů, která se zvyšuje zejména v souvislosti se vzrůstající digitalizací našeho života. Provozovatel e-shopu při prodeji zboží přes internet rovněž pracuje s určitými údaji od svých zákazníků, které eventuálně dále užívá pro své účely. Nicméně taková "práce", či spíše zpracovávání osobních údajů, je státem regulována. Nedodržení stanovených povinností může vést nejen k sankci, ale i k poškození zákazníka.

V této lekci si probereme některá podstatná ustanovení GDPR včetně vysvětlení několika důležitých pojmů. Dále se budeme zabývat povinnostmi, jež z něj plynou pro provozovatele e-shopu. Provedeme rovněž stručný exkurz do zákona č. 480/2004 Sb., o některých službách informační společnosti, a to s ohledem na problematiku tzv. obchodních sdělení. Závěrem budou probrány povinnosti vůči Úřadu pro ochranu osobních údajů.

Základní pojmy a povinnosti

Jak již bylo uvedeno výše, problematiku osobních údajů a jejich ochrany upravuje GDPR, a to jednotně pro všechny členské státy Evropské unie. GDPR se vztahuje na osobní údaje, které zpracovávají i fyzické a právnické osoby, a na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. GDPR se naopak nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní či domácí potřebu.

GDPR pracuje s určitými pojmy, které si pro účely výkladu sám definuje. Osobním údajem jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě neboli subjektu údajů. Osobními údaji jsou tak mimo jiné jméno, příjmení, datum narození, místo pobytu, e-mailová adresa, IP adresa počítače, tzn. takové údaje, které provozovatel e-shopu (podnikatel prodávající zboží prostřednictvím internetového obchodu) zjišťuje od spotřebitele, aby mohl splnit své povinnosti z kupní smlouvy uzavírané distančním způsobem, tedy objednané zboží spotřebiteli dodat (k tomu viz rovněž předchozí lekce). Osobní údaje spotřebitelů správce takzvaně zpracovává (k tomu viz níže).

Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Subjektem údajů se rozumí výhradně fyzická osoba, k níž se osobní údaje vztahují.

Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Podnikatel se výše uvedeným konáním automaticky stává tzv. správcem osobních údajů, který je GDPR definován jako fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Správce nemusí zpracovávat osobní údaje sám, ale může si na to zjednat třetí osobu, tzv. zpracovatele osobních údajů, což je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (tj. místo něj, na základě jeho pokynů a na jeho zodpovědnost). Zapojení zpracovatele osobních údajů je obvykle vedlejším důsledkem spolupráce s poskytovatelem služeb. Typicky bývá zpracovatelem externí správce počítačové sítě nebo externí účetní. Před tím, než správce zpracovateli umožní, aby za něj zpracovával osobní údaje jeho zákazníků, musí s ním uzavřít písemnou smlouvu o zpracování osobních údajů, která obsahuje náležitosti uvedené v čl. 28 odst. 3 GDPR. Písemná forma je dodržena i tehdy, pokud je smlouva uzavřena elektronicky (ovšem se zaručeným elektronickým podpisem). Co se týká jejích povinných obsahových náležitostí, musí v ní být zejména výslovně stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce a další údaje uvedené v čl. 28 odst. 3 GDPR.

Bez ohledu na to, zda správce zpracovává osobní údaje sám nebo prostřednictvím zpracovatele, veškerou odpovědnost a povinnosti vyplývající z GDPR nese stále on sám, i když obdobné povinnosti má i zpracovatel. GDPR stanoví správci celou řadu povinností a zásad, kterými se musí řídit.

Správce je například povinen osobní údaje zpracovávat:

  • jen v rozsahu, který je naprosto nezbytný pro daný účel zpracování, který musí být legitimní (viz níže právní důvody zpracování), a to bez ohledu na to, zda byl ke zpracování poskytnut souhlas, či k němu dochází z jiného právního důvodu;

  • pouze z důvodů uvedených v článku 6 GDPR, přičemž zpracování osobních údajů na základě souhlasu subjektu údajů by mělo být až poslední možností; v případě provozování e-shopů přichází ve vztahu k zákazníkům v úvahu zejména zpracování na základě čl. 6 odst. 1 písm. b) GDPR (zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů) a ve vztahu k zákazníkům a zaměstnancům čl. 6 odst. 1 písm. c) (zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje), a to v souvislosti se zpracováním účetnictví a mzdové agendy. Opominout nelze ani zpracování podle čl. 6 odst. 1 písm. f) GPDR (zpracování nezbytné pro ochranu oprávněných zájmů správce), které zahrnuje např. přímý marketing nebo vymáhání pohledávek. Pro úplnost je třeba uvést, že tzv. zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu, sexuální orientaci atd.), lze zpracovávat pouze za podmínek uvedených v článku 9 GDPR;

  • jen po nezbytně nutnou dobu;

  • tak, aby byly přesné a v případě potřeby aktualizované;

  • tak, aby byly zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením;

  • vést o tom záznamy o činnostech zpracování podle článku 30 GDPR a

  • dokumentovat veškerá porušení zabezpečení osobních údajů (článek 35 GDPR).

Jak již bylo uvedeno výše, je vhodné pokud možno eliminovat zpracování osobních údajů založené na souhlasu subjektu údajů. Nejenže lze souhlas kdykoli odvolat, ale má se za to, že např. v případě zaměstnanců takový souhlas s ohledem na jejich podřízené postavení ve vztahu k zaměstnavateli, nikdy nemůže být svobodný (dobrovolný), tedy platný. Další komplikace přináší souhlas udělený nezletilými osobami (dětmi), u nichž je třeba zkoumat, zda už je daný nezletilý natolik zralý, že souhlas může udělit sám, nebo zda jej za něj musí udělit jeho zákonný zástupce (rodič), a pokud ho udělil rodič, měl by být souhlas nejpozději v okamžiku nabytí zletilosti znovu udělen samotným (dříve) nezletilým.

Přímo ve vztahu k subjektům údajů (zákazníkům, zaměstnancům) má správce zejména informační povinnost, která mu ukládá, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené ve výčtu obsaženém v článku 13 GDPR. V případě e-shopů se přímo nabízí, aby tyto informace byly poskytovány on-line, a to tak, aby byly snadno přístupné, tedy nejlépe dostupné přímo z hlavního menu, aby po nich nebylo nutno pátrat.

Subjekty údajů mají vůči správcům svých osobních údajů práva, na něž správci musí vždy reagovat, a to způsobem upraveným v článku 12 GDPR (zejména včas, jednoduše, srozumitelně a až na stanovené výjimky bezplatně).

Jedná se zejména o tato práva subjektů osobních údajů:

i) právo na přístup k osobním údajům (body 63 a 64 odůvodnění a článek 15 GDPR),

ii) právo na opravu (bod 65 odůvodnění a článek 16 GDPR),

iii) právo na výmaz – právo být zapomenut (body 65 a 66 odůvodnění a článek 17 GDPR),

iv) právo na omezení zpracování (bod 67 odůvodnění a článek 18 GDPR),

v) právo na oznámení ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování,

vi) právo na přenositelnost údajů (bod 68 odůvodnění a článek 20 GDPR),

vii) právo vznést námitku (body 69 a 70 odůvodnění a článek 21 GDPR).

GDPR ukládá správcům řadu povinností v oblasti ochrany osobních údajů. Zejména musí zpracovávané údaje řádně zabezpečit. Děje se tak jednak pomocí technických prostředků (uzamčení, heslování, šifrování apod.), jednak prostřednictvím personálních opatření (vymezení osob, které mají přístup k osobním údajům, resp. zařízením, kde jsou uloženy apod.).

GDPR rovněž stanoví, jak postupovat v případě, že dojde k porušení zabezpečení osobních údajů, tedy pokud dojde k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

O každém takovémto porušení zabezpečení je nutno vést evidenci podle čl. 33 odst. 5 GDPR. Jakékoli porušení zabezpečení, u něhož je možné, že bude mít za následek riziko pro práva a svobody fyzických osob, je na základě čl. 33 odst. 1 GDPR nutno do 72 hodin ohlásit Úřadu pro ochranu osobních údajů (např. na e-mailovou adresu jeho podatelny nebo prostřednictvím datové schránky). Samotným dotčeným fyzickým osobám (subjektům údajů) musí být porušení zabezpečení jejich osobních údajů oznámeno pouze v případě, že je pravděpodobné, že bude mít za následek vysoké riziko pro jejich práva a svobody fyzických osob (článek 34 GDPR).

Správcům, kteří provádějí zpracování osobních údajů v obzvláště velkém rozsahu nebo způsobem, z něhož vyplývají větší rizika, GDPR ukládá další povinnosti, jako je např. povinnost jmenovat pověřence pro ochranu osobních údajů nebo provádět ve stanovených případech posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (články 35 a 36 GDPR).

Cookies

Pro provozovatele e-shopu je dále aktuální směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), respektive český zákon č. 127/2005 Sb., o elektronických komunikacích., který ji provádí.

Uvedené předpisy upravují mimo jiné i tzv. cookies. Jedná se o malé textové soubory, které internetové stránky ukládají na počítač či na mobilním zařízení v okamžiku, kdy jsou tyto stránky využívány. Cookies slouží mimo jiné k marketingu, zejména k personalizaci reklam. Směrnice původně zakotvovala tzv. opt-out režim cookies, na jehož základě lze cookies ukládat do zařízení uživatelů, dokud to neodmítnou. V roce 2009 bylo příslušné ustanovení směrnice novelizováno v tom směru, že zavedlo tzv. opt-in režim, v jehož rámci lze cookies do zařízení uživatelů ukládat pouze na základě jejich předchozího svolení. Český zákon tuto změnu nereflektoval, a nadále v rozporu se směrnicí upravuje pouze opt-out režim. Pro provozovatele webových stránek je v tomto ohledu závazný český zákon, řada jich nicméně uplatňuje opt-in režim, což odpovídá evropským standardům a zaručuje jim, že se nedostanou do rozporu s právními

Nahrávám...
Nahrávám...