Input:

Odpovědi na dotazy související s GDPR

29.10.2018, , Zdroj: Verlag Dashöfer

2.3
Odpovědi na dotazy související s GDPR

Mgr. Mgr. Radana Burešová

Protože provozovatelé internetových obchodů nepřicházejí se svými zákazníky do styku osobně, jsou na rozdíl od provozovatelů tzv. kamenných obchodů z podstaty své činnosti nuceni shromažďovat a uchovávat o svých zákaznících (tzv. subjektech údajů) řadu osobních údajů.

Teprve v souvislosti se vstupem obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR, si řada provozovatelů e-shopů uvědomila, že i na ně se vztahují povinnosti spojené s ochranou osobních údajů.

Jedná se zejména o tyto základní povinnosti vyplývající z GDPR:

1. zpracovávat osobní údaje jen z legitimních důvodů a k legitimním účelům (článek 5 a 6 GDPR),

2. zpracovávat osobní údaje jen v nezbytně nutném rozsahu a po nezbytně nutnou dobu (článek 5 odst. 1 písm. c) a e) GDPR),

3. zpracovávané osobní údaje chránit (článek 25 a 32 GDPR),

4. poskytovat subjektům údajů předepsané informace (článek 13, popř. 14 GDPR),

5. umožnit subjektům údajů řádné uplatňování jejich práv vyplývajících z GDPR (článek 12 a články 15 až 21 GDPR),

6. ve stanovených případech uzavřít smlouvu se zpracovatelem osobních údajů (článek 28 GDPR),

7. vést záznamy o činnostech zpracování (článek 30 GDPR),

8. v předepsaných případech ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu (článek 33 GDPR), a případně též subjektům údajů (článek 34 GDPR),

9. dokumentovat veškeré případy porušení zabezpečení osobních údajů (čl. 33 odst. 5 GDPR).

Podle sdělení Úřadu pro ochranu osobních údajů nejsou provozovatelé internetových obchodů povinni jmenovat pověřence pro ochranu osobních údajů, mohou tak však činit dobrovolně.

Některé z výše uvedených povinností jsou v případě e-shopů aktuálnější než u jiných správců osobních údajů. Níže jsou uvedeny odpovědi na některé otázky, které se v praxi v souvislosti s provozováním internetových obchodů objevují.

Dotaz:

Je nutné poskytovat zákazníkům informace o zpracování osobních údajů, i když k jejich zpracování nemusí být udělen souhlas?

Odpověď:

Informace uvedené v článku 13 GDPR je třeba zákazníkovi-subjektu údajů sdělit vždy, bez ohledu na to, z jakého právního důvodu jsou jeho osobní údaje zpracovávány.

Dotaz:

Jakým způsobem mají být informace o zpracování osobních údajů poskytovány?

Odpověď:

GDPR poměrně podrobně stanoví, jakou formou mají být informace poskytnuty, a to v článku 12. Informace musí být poskytnuty stručně, transparentně, srozumitelně, jasně a jednoduše.

Dále musí být snadno přístupné. Podle poradního orgánu Evropské komise pro ochranu osobních údajů je tento požadavek v internetovém prostředí splněn tehdy, jestliže jsou informace týkající se osobních údajů umístěny v hlavním menu webových stránek a jsou označeny tak, že je na první pohled patrné, že se jedná právě o ochranu osobních údajů. Pokud obchodník informace na svých webových stránkách umístí tak., že je nutno je zdlouhavě hledat, porušuje GDPR.

Je vhodné informace strukturovat tak, že v první fázi se zobrazí jen jejich jádro, přičemž další informace je v případě zájmu možno zjistit rozkliknutím klíčových slov.

Dále je vhodné umístit odkaz na informace o zpracování osobních údajů např. i do e-mailu o potvrzení objednávky.

Informace, které mají být poskytnuty, jsou vyjmenovány v článku 13 GDPR.

Dotaz:

Kdy není třeba souhlasu zákazníků se zpracováním jejich osobních údajů?

Odpověď:

V případech, kdy jsou zpracovávány jen osobní údaje nezbytné k realizaci zákazníkovy objednávky (tj. k plnění uzavřené kupní smlouvy ze strany prodávajícího), není souhlas zákazníka ke zpracování jeho osobních údajů nutný, neboť k němu dochází na základě čl. 6 odst. 1 písm. b) GDPR, popř. též podle čl. 6 odst. 1 písm. f) GDPR (ochrana oprávněných zájmů prodávajícího, např. při vymáhání pohledávek).

V zásadě se jedná o tyto údaje: jméno, příjmení, doručovací adresa, popřípadě též e-mailová adresa pro komunikaci ohledně potvrzení objednávky a sdělení informací o doručování. V některých případech se může jednat též o telefonní číslo.

Až na výjimky vyplývající zejména z toho, jaké zboží daný e-shop prodává (např. věkové omezení zákazníků), nejsou žádné další osobní údaje „nezbytné” a jejich zpracování by tedy bylo v rozporu s GDPR, i kdyby k němu byl udělen souhlas.

Dotaz:

Kdy je třeba souhlasu zákazníků se zpracováním jejich osobních údajů?

Odpověď:

Vzhledem k tomu, že GDPR klade na udělení souhlasu se zpracováním osobních údajů poměrně přísné formální i obsahové požadavky (zejména čl. 7 odst. 1, 2 a 4 GDPR), je vhodné snažit se postupovat tak, aby získání souhlasu nebylo potřebné.

V každém případě nelze poskytnutí služby/uzavření kupní smlouvy podmiňovat souhlasem se zpracováním osobních údajů k jiným účelům, resp. takový souhlas by byl neplatný, protože by nebyl svobodný.

Dále je třeba mít na paměti, že i osobní údaje, k jejichž zpracovávání byl udělen souhlas, lze zpracovávat jen v nezbytně nutném rozsahu a k legitimnímu účelu.

A konečně je nutné brát zřetel na skutečnost, že souhlas lze kdykoli odvolat (nikoli však se zpětnými účinky (čl. 7 odst. 3 GDPR) a že jeho případné odvolání musí být respektováno.

Souhlasu zákazníka-subjektu údajů se zpracováním osobních údajů je v praxi zpravidla třeba jen tehdy, pokud mu provozovatel e-shopu hodlá elektronicky zasílat obchodní sdělení (i zde však existují výjimky, viz níže), popř. se získanými osobními údaji obchodovat (předávat je bez jiného právního důvodu) třetím osobám.

Dotaz:

Většinu našich zákazníků tvoří děti. Vyplývají pro nás z GDPR nějaké zvláštní povinnosti?

Odpověď:

Je zřejmé, že zejména mladší děti nejsou schopny rozpoznat případná rizika vyplývající z poskytnutí svých osobních údajů. Proto je mimo jiné nutné komunikaci s nimi včetně informací poskytovaných podle článku 13 GDPR provádět tak, aby pro ně byla srozumitelná a volit přiměřené jazykové prostředky.

Nejožehavější je však problematika souhlasu se zpracováním osobních údajů.

Podle § 31 NOZ platí, že pokud nenabyly plné svéprávnosti, jsou děti způsobilé k právním jednáním (tedy i k udělení souhlasu se zpracováním osobních údajů) co do povahy přiměřeným rozumové a volní vyspělosti nezletilých jejich věku, ledaže je prokázán opak.

V každém konkrétním případě tedy záleží na věku daného dítěte, popř. dalších okolnostech. Jinak to bude třeba hodnotit u sedmiletých a jinak u šestnáctiletých. Orientačně lze mít za to, že kolem 13. roku věku, nejpozději však v 16 letech už by dítě mělo být schopno souhlas udělit samo. Do té doby je třeba, aby za něj případný souhlas udělili jeho zákonní zástupci (zpravidla rodiče). Pokud je to možné, je nutné ověřit, že za dítě souhlas udělila osoba, která je k tomu skutečně oprávněná, tj. zákonný zástupce (nejčastěji rodič); pokud takové ověření možné není, je třeba doložit proč tomu tak je.

Ve sporných případech, např. od určitého hraničního věku – např. od 15 let, je vhodné, aby souhlas udělilo (podepsalo) jak dítě, tak i jeho zákonný zástupce.

Jakmile dítě, za které udělil souhlas se zpracováním osobních údajů jeho zákonný zástupce (rodiče), dosáhne věku, kdy už tento souhlas může udělit samo (tedy nejpozději dosažením 18 let), musí souhlas udělit samo znovu, jinak již nelze jeho údaje zpracovávat způsobem, na který se souhlas vztahoval. Provozovatel webu tedy musí průběžně kontrolovat, zda není třeba obstarat nový souhlas, protože dítě již dosáhlo požadovaného věku.

Z výše uvedeného vyplývá, že v praxi je skutečně mnohem jednodušší zpracovávat osobní údaje tak, aby k němu nebyl potřebný souhlas, tedy tak, aby zpracování bylo založeno na jiném důvodu uvedeném v čl. 6 odst. 1 GDPR.

Dotaz:

Je k zasílání obchodních sdělení zákazníkům e-mailem třeba souhlasu se zpracováním osobních údajů?

Odpověď:

Zasílání obchodních sdělení elektronickými prostředky (v praxi e-mailem) je na udělení souhlasu se zpracováním osobních údajů vázáno jen v některých případech.

Potřeba souhlasu přitom neplyne přímo z GDPR, který je naopak k marketingovým aktivitám relativně vstřícný (bod 47 odůvodnění GDPR), nýbrž ze zákona č. 480/2004 Sb., o některých službách informační společnosti, konkrétně z jeho § 7 odst. 2. Je třeba mít na zřeteli, že za nevyžádané obchodní sdělení (a tedy porušení zákona) se při nedodržení zákonných podmínek považuje i pouhá žádost o souhlas se zasíláním obchodních sdělení nebo gratulace k narozeninám nebo vánoční přání (jako „sdělení na podporu image”), pokud jsou zaslány e-mailem.

Hned další odstavec 3 § 7 citovaného zákona však stanoví, za jakých podmínek lze obchodní sdělení e-mailem zasílat bez souhlasu subjektu údajů:

„Nehledě na odstavec 2, pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a