Jak ovlivní nové nařízení o ochraně osobních údajů (GDPR) e-shopy?

Říká vám něco zkratka GDPR? Ne? Tak to už je opravdu na čase, abychom vás o ní začali informovat. Jedná se totiž o nové evropské nařízení, které zpřísňuje pravidla pro ochranu osobních dat. Mluví se o ní jako o největší změně v tomto ohledu za posledních 20 let. A za její porušení či nezavedení hrozí pokuta až 20.000.000 eur. Shoptet vám přináší první ze série blogů, díky kterým budete se svým e-shopem na novou legislativu řádně a včas připravení.

Základní fakta

Nařízení GDPR, v angličtině General Data Protection Regulation, znamená Obecné nařízení o ochraně osobních údajů. Bylo schváleno 27. dubna 2016 a vstoupí v účinnost 25. května 2018. V mezičase musí všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji.

Cílem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. Tudíž se GDPR týká všech firem a institucí, ale i jednotlivců a online služeb, které shromažďují nebo zpracovávají osobní údaje zákazníků. A to včetně společností a institucí mimo území EU, které působí na evropském trhu. To de facto zahrnuje všechny e-shopy, které dělají marketing na úrovni 21. století.

Jaké zásadní změny GDPR přinese?

GDPR s sebou přináší především rovnocennou vymahatelnost práva v celé EU, stejné sankce a mnohem těsnější spolupráci dozorových orgánů.

Každý správce i zpracovatel osobních údajů bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

Nové nařízení dává lidem, kterým údaje patří (subjekty údajů) nárok být o svých právech důkladně informováni. Budou pak tedy moci například vznést námitku proti zpracování, kdy správce nebude moci údaje dále zpracovávat, pokud k tomu nebude mít prokazatelné důvody.

Občané by měli rovněž mít přístup k údajům, které jsou o nich shromažďovány. Pravidlem už z minulosti je právo na výmaz a jeho rozšíření na právo být zapomenut. Díky tomu může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.

S novou legislativou dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Úplně novou kategorií jsou genetické a biometrické údaje.

Co se týče úniku či ohrožení zabezpečení osobních dat, nově to bude muset zpracovatel ohlásit Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl.

Jaké povinnosti ukládá GDPR institucím a firmám?

GDPR nově zavádí princip tzv. odpovědnosti. Ten spočívá v povinnosti správců a zpracovatelů údajů zavést technická, organizační a procesní opatření. Tato povinnost platí bez ohledu na počet zaměstnanců či na velikost instituce nebo firmy.

Opatření se budou týkat zejména těchto oblastí:

• Implementace záměrné a nezbytné ochrany dat.
• Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
• Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). DPO se může pověřit do funkce např. uzavřením pracovní smlouvy s osobou, která bude tuto funkci vykonávat jako zaměstnanec, uzavřením smlouvy o poskytování služeb pověřence v případě externí služby, jmenovacím dekretem např. u státních institucí.
• Zavedení tzv. pseudonymizace osobních údajů. Jedná se o proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost.
• Vedení záznamů o činnostech zpracování.
• Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

Každý správce a zpracovatel osobních údajů bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Všechny záznamy o činnostech musí obsahovat následující informace:

• jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
• účely zpracování
• popis kategorií subjektů údajů a kategorií osobních údajů
• kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
• informace o mezinárodním předávání osobních údajů
• lhůty pro výmaz jednotlivých kategorií údajů
• popis technických a organizačních opatření

Dalším z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud ke zpracování osobních údajů je takový souhlas vyžadován, tak nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje.

Konkrétní příklad u e-shopu: pokud poskytnu provozovateli e-shopu osobní údaje, které jsou nezbytné k zakoupení výrobku, tak to, že nedám souhlas k zasílaní marketingových mailů, nemůže být důvodem, kvůli kterému by mi měl e-shop odmítnout samotné zakoupení produktu.

Jaké hrozí sankce?

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké, mnohdy až likvidační pokuty. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností). Nutno dodat, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci.

Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.

Pokud jste se nové legislativy zalekli, nebojte se, určitě nejste sami. Nicméně, my v Shoptetu vás nenecháme ve štychu. Sledujte náš blog a neujdou vám žádné důležité novinky.

Zdroje:
http://ec.europa.eu/justice/data-protection/reform/index_en.htm
http://www.eugdpr.org/
https://www.gdpr.cz
https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/

Navigace pro příspěvek