Podrobnější souhrnné informace pro provozovatele e-shopů naleznete na webových stránkách ÚOOÚ
zde.
Musí se internetový obchod registrovat u Úřadu?
Nemusí. Oznamovací povinnost GDPR neobsahuje. Z tohoto důvodu tak již není k dispozici ani registrační formulář na stránkách Úřadu.
Jak je to se souhlasy, resp. potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?
K běžnému provozu internetového obchodu
není nutné obstarávat souhlas se zpracováním osobních údajů, neboť se jedná o zpracování údajů v rámci smluvní agendy (vyřizování objednávek a nákupů zákazníků, následné plnění zákonem stanovené povinnosti evidence dokladů atd.). K získávání souhlasu blíže
zde.
Dopadá GDPR jen na vlastní e-shop a databáze nebo také na zpracování papírových dokladů?
Po obsahové stránce dosavadní definici zpracování osobních údajů GDPR nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty, které jsou nebo mají být součástí evidence, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.
Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů pro určité správce a druhy zpracování, např. pro systematické a pravidelné monitorování, je stanovena v článku 37 odst. 1 GDPR. Byť není povinnost jmenovat pověřence vázána na velikost zákaznické báze, není vyloučeno, že některé velké internetové obchody, které mají navíc širé spektrum činnosti, jmenují pověřence dobrovolně.
Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?
GDPR se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů musí být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 GDPR. Ke zjištění, zdali je dodavatel softwaru či IT služeb zpracovatelem pro internetový obchod, se Úřad vyjádřil
zde.
Kdo odpovídá za data zákazníků? Provozovatel e-shopu nebo jeho pronajímatel, u kterého budou veškerá data uložena v databázi a webhostingu?
Za zpracování osobních údajů odpovídá primárně správce osobních údajů, kterým je provozovatel e-shopu, uzavírající smlouvy se svými zákazníky. Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.
Jak mění GDPR zvláštní pravidla pro zacházení s cookies a pro marketing?
V těchto oblastech GDPR zásadním způsobem
nic nemění ani více samostatně neupravuje. Dosavadní pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy nebyla ani dosud upravena zákonem o ochraně osobních údajů, nýbrž zvláštními předpisy v gesci Ministerstva průmyslu a obchodu (zákon č.
127/2005 Sb. a č.
480/2004 Sb.), a budou podstatně novelizována až přijetím dalšího předpisu EU, tzv.
nařízení o ePrivacy.
Úřad uveřejnil k veřejné diskusi doporučení, jak přistupovat ke cookies v nadcházejícím období, kdy bude účinné GDPR, avšak nebude ještě finálně schválené nařízení o ePrivacy.
