Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Poradna > Často kladené otázky podle oblastí > K internetovým obchodům

 

K internetovým obchodům

Sekce: Často kladené otázky

 
 
 
Podrobnější souhrnné informace pro provozovatele e-shopů naleznete na webových stránkách ÚOOÚ zde.
 
Musí se internetový obchod registrovat u Úřadu?

Nemusí. Oznamovací povinnost, tak, jak byla koncipována v zákoně č. 101/2000 Sb.,
o ochraně osobních údajů, GDPR neobsahuje. Z tohoto důvodu tak již není k dispozici ani registrační formulář na stránkách Úřadu.

Jak je to se souhlasy, resp. potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?

K běžnému provozu internetového obchodu není nutné obstarávat souhlas se zpracováním osobních údajů, neboť se jedná o zpracování údajů v rámci smluvní agendy (vyřizování objednávek a nákupů zákazníků, následné plnění zákonem stanovené povinnosti evidence dokladů atd.). K získávání souhlasu blíže viz https://www.uoou.cz/casto%2Dkladene%2Dotazky%2Dk%2Dvyzadovani%2Dsouhlasu/ds-5047/archiv=0&p1=2619.
 
Dopadá GDPR jen na vlastní e-shop a databáze nebo také na zpracování papírových dokladů?

Po obsahové stránce dosavadní definici zpracování osobních údajů GDPR nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty, které jsou nebo mají být součástí evidence, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.

Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?

Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů pro určité správce a druhy zpracování, např. pro systematické a pravidelné monitorování, je stanovena v článku 37 odst. 1 GDPR. Byť není povinnost jmenovat pověřence vázána na velikost zákaznické báze, není vyloučeno, že některé velké internetové obchody, které mají navíc širé spektrum činnosti, jmenují pověřence dobrovolně.

Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?

Smlouva o zpracování osobních údajů není novinkou, ale byla již zahrnuta v zákoně č. 101/2000 Sb., o ochraně osobních údajů. GDPR se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů musí být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 GDPR (což už měla obsahovat i dle § 6 zákona o ochraně osobních údajů). Ke zjištění, zdali je dodavatel softwaru či IT služeb zpracovatelem pro internetový obchod, viz https://www.uoou.cz/zpracovatel/d-29316/p1=4753.

Kdo odpovídá za data zákazníků? Provozovatel e-shopu nebo jeho pronajímatel, u kterého budou veškerá data uložena v databázi a webhostingu?

Za zpracování osobních údajů odpovídá primárně správce osobních údajů, kterým je provozovatel e-shopu, uzavírající smlouvy se svými zákazníky. Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.

V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená to v tuto chvíli pro podnikatele s e-shopy nejistotu? Může ÚOOÚ k problematice e-shopů vydat nějaký metodický předpis nebo kodex chování?

GDPR je komplexním právním předpisem, který nahrazuje zákon č. 101/2000 Sb., o ochraně osobních údajů. Povinnosti (i práva) subjektu údajů tak vyplývají z tohoto přímo použitelného předpisu EU. ÚOOÚ nemá od příslušných ministerstev poznatky, že by problematika e-shopů byla předmětem dodatečné adaptační legislativy (na GDPR).

GDPR stanovuje, že kodexy chování vytvoří nikoliv dozorové úřady, ale asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Průběžné aktuality k problematice kodexů naleznete na webu ÚOOÚ.

Jak mění GDPR zvláštní pravidla pro zacházení s cookies a pro marketing?

V těchto oblastech GDPR zásadním způsobem nic nemění ani více samostatně neupravuje. Dosavadní pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy nebyla ani dosud upravena zákonem o ochraně osobních údajů, nýbrž zvláštními předpisy v gesci Ministerstva průmyslu a obchodu (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), a budou podstatně novelizována až přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat nejdříve v závěru roku 2018.
 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Poradna > Často kladené otázky podle oblastí > K internetovým obchodům

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém