You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

GDPR pro e-shopy stručně, hlavní zásady

Připravte svůj e-shop na GDPR

Pravidla o zpracování osobních údajů, které přináší obecné nařízení o ochraně údajů (dále v textu budeme o něm mluvit jen jako o nařízení) jsou pro některé provozovatele e-shopů úplnou novinkou. Proto se v tomto článku podíváme na to, co znamená právní základ zpracování, kdy vyžadovat souhlas a co by měl správný souhlas se zpracováním osobních údajů obsahovat.

Je nutné získávat od zákazníků souhlas se zpracováním OÚ za účelem zpracování objednávky?

Začneme příkladem:

Firma prodává zboží prostřednictvím elektronického obchodu - e-shopu. Pro objednání zboží a jeho dodání je nezbytné, aby zákazník poskytl své osobní údaje, kterými jsou jméno, příjmení, adresa, telefonický a e-mailový kontakt.

Je třeba, aby firma (provozovatel e-shopu) získávala od svých zákazníků souhlas se zpracováním těchto osobních údajů?

Ne, provozovatel zpracovává osobní údaje za účelem zpracování objednávky a dodání zboží bez souhlasu zákazníka.

Proč je to tak?

Jednou ze základních zásad zpracování osobních údajů, kterou je nutné dodržovat za všech okolností, je zásada zákonnosti. Tato hovoří o tom, že zpracování osobních údajů lze provádět pouze na základě jednoho z definovaných právních základů zpracování tak, aby nedošlo k porušení základních práv dotčené osoby.

Nařízení ve svém článku 6 rozlišuje celkem 6 právních základů pro zpracování osobních údajů. Jde o oprávnění, které provozovateli

  • umožňují,
  • nebo ho zavazují,

zpracovávat osobní údaje.

Všechny právní základy jsou rovnocenné, ani jeden z nich není jen doplňkovým.

V podmínkách provozovatele e-shopů jsou nejčastěji používány tyto tři:

  • dotčená osoba vyjádřila souhlas se zpracováním svých osobních údajů alespoň na jeden konkrétní účel,
  • zpracování osobních údajů je nezbytné pro plnění smlouvy, jejíž stranou je dotyčná osoba, nebo k provedení opatření před uzavřením smlouvy na žádost dotyčné osoby,
  • zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je členský stát vázán.

Často pouze zjednodušeně říkáme, že osobní údaje zpracováváme na základě: souhlasu, smlouvy nebo zvláštního předpisu.

Takže, když se vrátíme zpět k našemu prvnímu příkladu, pak už můžeme říci, že právním základem zpracování těch osobních údajů, které jsou nezbytné pro dodání zboží nebo služby provozovatelům e-shopu, je smlouva. Ne souhlas se zpracováním.

Je proto nesprávně, když provozovatel prostřednictvím svých obchodních podmínek informuje své zákazníky o zpracování osobních údajů například takto:

Kupující odesláním vyplněného objednávkového formuláře čestně prohlašuje, že dává souhlas ve smyslu zákona o ochraně osobních údajů, aby prodávající zpracovával jeho osobní údaje za účelem uzavření kupní smlouvy.

A nesprávné je to i takto:

" Odesláním objednávky, zákazník dobrovolně souhlasí se zpracováním jeho osobních údajů z důvodu předmětu plnění smlouvy. "

Proto v situaci, kdy jsou osobní údaje zákazníka nezbytné k tomu, abyste mu dodali produkt (ať už je jím zboží nebo služba), nevyžadujete souhlas se zpracováním.

Vložení souhlasu se zpracováním do smlouvy jakoby "pro jistotu" není považováno pouze za jakousi drobnost či kosmetickou vadu. Jde o nesprávné zvolený právní základ a provozovatelé e-shopů tímto postupem porušují pravidla zpracování osobních údajů.

V případě zpracování osobních údajů za účelem realizace dodání zboží (kdy postupujeme bez souhlasu zákazníka) je třeba prokazatelně zajistit plnění informační povinnosti o tom, jak budou osobní údaje zákazníka zpracovávané (článek 13 nařízení).

V tomto případě má provozovatel na výběr:

  • zda informace uvede do obchodních podmínek (stále ale mluvíme o situaci, kdy nevyžaduje provozovatel souhlas se zpracováním; osobní údaje jsou využívány pouze v souvislosti s dodáním zboží),
  • nebo veškeré informace o tom, jak bude osobní údaje zákazníků zpracovávat, uvede například na samostatnou stránku webu, která bude zaměřena výhradně na ochranu osobních údajů; na tuto stránku bude odkazovat například z objednávkového formuláře, případně jiným způsobem tak, aby se zákazník mohl s informacemi seznámit.

Samotnou informaci o tom, že budeme zpracovávat osobní údaje bez souhlasu, není třeba uvádět. Ale podle článku 13 odst. 2 písm. e) nařízení - zákazníka informujeme také o tom, že jeho osobní údaje jsou nezbytné k tomu, abychom s ním mohli uzavřít smlouvu a pokud nám osobní údaje (jméno, příjmení, adresa dodání atd.) neposkytne, pak s ním nemůžeme uzavřít smlouvu.

Proto doporučuji, prohlédnout si článek 13 nařízení, procházet jednotlivé body a prověřovat, zda zákazníka o tom informujeme nebo ne.
(Samozřejmě, článek 14 se rovněž týká informační povinnosti, ale v situaci, kdy osobní údaje nejsou získány od dotyčné osoby, například od jiné osoby, z jiné organizace atd.)

Ochrana osobních údajů a newsletter

Provozovatel e-shopu chce zasílat svým potenciálním zákazníkům emailový newsletter. Prostřednictvím něj bude informovat o slevách, novém zboží a různých jiných novinkách. Potřebuje k tomu pouze emailovou adresu příjemce. Je potřebný souhlas se zpracováním e-mailové adresy?

Ano, v tomto případě je souhlas se zpracováním nezbytný a je právním základem pro získání a další zpracování osobních údajů z důvodu zasílání newsletteru. A to bez ohledu na to, zda bude provozovatel zpracovávat pouze emailovou adresu příjemce nebo například i jeho jméno nebo příjmení. Zpracovávánísamotných emailových adres obecně považujeme za zpracovávání osobních údajů.

Samozřejmě můžeme namítnout, že ne každá emailová adresa, kterou provozovatel e-shopu získá, je automaticky osobním údajům. Ale s ohledem na samotnou definici osobních údajů, kterými jsou:

"Veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen" dotčená osoba "); identifikovatelná fyzická osoba je osoba, kterou lze identifikovat přímo či nepřímo, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor, nebo odkazem na jeden či více prvků, které jsou specifické pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní nebo sociální identitu této fyzické osoby, "

je velmi pravděpodobné, že získané emailové adresy budou většinou považovány za osobní údaje.

Jak získat souhlas se zpracováním, který bude v souladu s nařízením?

Aby byl souhlas udělen v souladu s nařízením, je nezbytné, aby jím byl svobodný, konkrétní, informovaný a jednoznačný projev vůle dotčené osoby (v tomto případě příjemce e-mailové zprávy), kterým potvrzuje, že souhlasí s tím, aby byly jeho osobní údaje zpracovávány.

Je proto nesprávné,  když provozovatel získává souhlas se zpracováním prostřednictvím svých obchodních podmínek takto:

"Odesláním závazné objednávky uděluje zákazník prodávajícímu souhlas se zpracováním jeho emailové adresy, a to za účelem zasílání newsletteru."

Takto získaný souhlas se zpracováním osobních údajů je v rozporu s nařízením (dokonce is platným zákonem o ochraně osobních údajů). Je to z toho důvodu, že není udělen svobodně. Dotyčná osoba - zákazník nemá možnost svobodně se rozhodnout, zda souhlas udělí, nebo ne. Říkáme, že souhlas je vynucený, a proto je v rozporu s legislativou. Provozovateli e-shopu se sice databáze odběratelů jeho newsletterů utěšeně rozrůstá, a to přímo úměrně počtu jeho zákazníků, tyto souhlasy však nejsou platné.

Stejně je nesprávné, když provozovatel pod objednací formulář umístí zaškrtávací políčko a vedle něj text "souhlasím se zařazením mé emailové adresy do databáze odběratelů newsletteru", přičemž je však zaškrtávací políčko už dopředu označené (zaškrtnuté). Ani takto získaný souhlas se zpracováním není platný. Zaškrtávací políčko nesmí být předem označeny.

Správně získaný souhlas se zpracováním emailové adresy za účelem zasílání newsletteru by mohl být získáván například takto:

❯❯❯ Provozovatel vytvoří samostatný formulář, pro získávání emailových adres. K tomu uvede jednoznačnou informaci, že vložením emailové adresy dotyčná osoba souhlasí s přijímáním newsletterových zpráv.

Podobné pravidlo platí i v souvislosti s členstvím ve věrnostním programu. Zpracování osobních údajů z důvodu poskytování slev, bonusů či jiných výhod členem věrnostního programu je možné pouze tehdy, pokud k tomu dotyčná osoba udělí samostatný souhlas. I v tomto případě jde o jiný účel zpracování, který je odlišný od zpracování údajů z důvodu plnění předmětu smlouvy (dodání zboží nebo služby).

Nesprávné by proto bylo, kdyby provozovatel e-shopu své zákazníky automaticky považoval za členy svého věrnostního programu, a to například takovou informací v obchodních podmínkách:

"Vyplněním a odesláním objednávkového formuláře se zákazník automaticky stává členem našeho věrnostního programu, který mu přinese řadu zajímavých výhod."

Souhlas se zpracováním osobních údajů pro účely členství ve věrnostním programu je proto třeba získat odděleně od ostatních účelů zpracování (kupní smlouva a newsletter).

Co by měl souhlas se zpracováním obsahovat?

Získávání osobních údajů od dotčených osob, jak úvodní fáze zpracování, je spjato s povinnou informační povinností vůči těmto osobám. Vyplývá to z článku 13 nařízení. Z tohoto důvodu je proto nutné, aby váš souhlas se zpracováním obsahoval například tyto informace:

  • identifikační údaje vás jako provozovatele,
  • účel nebo důvod zpracování osobních údajů, pro který vyžadujete souhlas,
  • příjemce nebo kategorie příjemců (podle čl. 4 odst. 9 nařízení), kterým budete osobní údaje poskytovat,
  • pokud budete osobní údaje vyvážet do třetí země, pak informaci o přiměřených zajištění (například jako rozhodnutí Evropské komise, zda přistoupení organizace k tzv. bezpečnému štítu),
  • informaci o tom, že souhlas je možné kdykoliv odvolat.

Informace je třeba dotčené osobě poskytnout srozumitelným a dostupným způsobem, a to například elektronicky - jako podmínky zpracování osobních údajů zveřejněny na webové stránce či e-shopu.

Zkontrolujte si proto:

  • Zda souhlas se zpracováním není součástí obchodních podmínek, které zveřejňujete prostřednictvím webových stránek.
  • Zda souhlas se zpracováním není součástí smlouvy s dotyčnou osobou tak, že dotyčná osoba nemá možnost souhlas neudělit, resp. nemá prostor pro vyjádření nesouhlasu.
  • Zda je souhlas udělen dotčenou osobou skutečně svobodný, že dotčená osoba se opravdu sama dobrovolně rozhoduje o tom, zda její osobní údaje budou zpracovávány.
  • Zda nepoužíváte předem zaškrtnutá políčka o uděleném souhlasu.
  • Zda získáváte souhlas se zpracováním pro jistý účel odděleně od jiných účelů (například samostatně pro newsletter, samostatně pro věrnostní program, samostatně pro spotřebitelskou soutěž).
  • Zda v době získávání osobních údajů na základě souhlasu dostatečně informujete dotčené osoby o tom, jak budou jejich údaje zpracovávány.
  • Zda jste schopni udělený souhlas prokázat.
  • Zda má dotyčná osoba opravdu možnost kdykoliv udělený souhlas jednoduše odvolat.

Obecné nařízení na ochranu osobních údajů (GDPR) vstoupí v platnost 25. května 2018.

Zdroj: Ing. Martina Kroupová, https://blog.biznisweb.sk/