Povinnosti provozovatelů e-shopů dle GDPR

Co určitě víte je skutečnost, že jste-li provozovatelem internetového obchodu, jste zároveň i správcem osobních údajů dle Obecného nařízení o ochraně osobních údajů.

Co určitě víte je skutečnost, že jste-li provozovatelem internetového obchodu, jste zároveň i správcem osobních údajů dle Obecného nařízení o ochraně osobních údajů (General data protection regulation neboli GDPR). Co už možná ale nevíte je to, jaké veškeré povinnosti musíte v této souvislosti plnit.

Ať už prodáváte prostřednictvím e-shopu elektroniku, sportovní vybavení či třeba potřeby pro domácí mazlíčky, v určitém rozsahu na vás povinnosti stanovené GDPR budou dopadat. V jakém rozsahu a jaké všechny povinnosti musíte plnit, tak abyste zajistili náležitý soulad s GDPR, se odvíjí od mnoha aspektů, ať už je to velikost Vašeho obchodu, kategorie zákazníků, počet Vašich zaměstnanců, využívané způsoby marketingu a další. Je potřeba přitom vycházet z jedné ze základních zásad GDPR, a sice zásady individualizace, kdy jednotlivé stanovené povinnosti se uplatňují v návaznosti na každý jednotlivý případ. U provozovatele velkého mezinárodního internetového obchodu bude nezbytné plnit velké množství GDPR stanovených povinností, na menší lokální e-shop budou dopadat povinnosti jen některé.

Předně je nutné určit, o jakých subjektech a jaké osobní údaje při provozování internetového obchodu zpracováváte. V rámci každého e-shopu, z jeho podstaty, jsou zpracovávány minimálně osobní údaje zákazníků a dodavatelů. Dále mohou být zpracovávány údaje o zaměstnancích, návštěvnících internetových stránek či např. odběratelích newsletterů. Primární povinností je povinnost informační, kdy jako správce osobních údajů musíte všechny subjekty, jejichž osobní údaje zpracováváte, kvalifikovaně informovat v souladu s GDPR (takové sdělení musí obsahovat identifikační údaje Vás, jakožto správce osobních údajů, Vaše kontaktní údaje, informaci o tom, jaké osobní údaje jsou zpracovávány, na základě jakého právního titulu, za jakým účelem, dobu, po kterou budou zpracovávány, zda budou osobní údaje předávány třetím osobám či musíte informovat daný subjekt o jeho právech, která mu ze zpracování osobních údajů plynou). Popsané informace je možné ideálně zapracovat do obchodních podmínek, nebo mohou mít formu samostatného informačního dokumentu. Zpracováváte-li osobní údaje, které nejsou nezbytně nutné pro uzavření konkrétní objednávky (a nespadají ani pod jiný GDPR stanovený právní titul), bude nutné získat pro zpracování takového údaje souhlas dané osoby (bude se jednat např. o údaje získávané od zákazníků pro účely účasti v pořádané soutěži či slosování, údaje získávané nad rámec nutných údajů pro řádné provedení objednávky a dodání zboží).

Máte-li na internetových stránkách kontaktní formulář, prostřednictvím kterého Vás mohou zákazníci oslovit a zanechat Vám např. svoje jméno, e-mailovou adresu či telefonní číslo, musíte splnit informační povinnost i v tomto případě. Využíváte-li ve Vašich skladových prostorech či výdejnách kamerový systém, musíte informovat i o tomto zpracování osobních údajů – obrazových záznamů. Osobní údaje zpracováváte i o Vašich dodavatelích, resp. kontaktních fyzických osobách Vašich dodavatelů. I v tomto případě jde o zpracování osobních údajů s povinnostmi z toho plynoucími. Předáváte-li zpracovávané osobní údaje třetích osobám, například externí účetní společnosti, dle GDPR tímto jako správce předáváte osobní údaje zpracovateli a s tím je spojena další z povinností, a sice povinnost uzavřít smlouvu o zpracování osobních údajů.

Využíváte-li v rámci Vašeho internetového obchodu souborů cookies, musíte o tom návštěvníky internetových stránek informovat. V určitých případech je nutné vést záznamy o činnostech zpracování či vyhotovit tzv. posouzení vlivu na ochranu osobních údajů. V případě, že disponujete zaměstnanci, je vhodné mít vyhotoven interní předpis s informacemi o tom, jak osobní údaje zpracovávat, případně mít vyhotoven dokument s informacemi jak postupovat v případě bezpečnostního incidentu či jak reagovat na žádosti subjektů údajů uplatňující jejich práva stanovená v GDPR. Je nutné přijmout náležitá technická a organizační opatření, tak aby byly v souladu s GDPR zpracovávané osobní údaje dostatečně zabezpečeny.

Jak z výše uvedeného vyplývá, správné uvedení Vaší podnikatelské činnosti do souladu s GDPR je poměrně komplexním, a ne zcela jednoduchým, problémem. Nezbytným krokem pro správné plnění veškerých GDPR stanovených povinností je provedení náležité analýzy Vaší činnosti ve vztahu ke zpracovávaným osobním údajům (v návaznosti na provedenou analýzu je možné následně určit, jaké veškeré povinnosti na konkrétního provozovatele internetového obchodu dopadají). Na základě analýzou nabytých informací je možné přistoupit k samotné implementaci GDPR, tedy vyhotovení a aplikování veškeré nutné dokumentace a souvisejících postupů ve vztahu ke zpracování osobních údajů a jejich technické a organizační zabezpečení. Anebo to nechte na nás. Kompletní řešení implementace GDPR je naším denním chlebem a rádi Vám s ní pomůžeme.

Přečtěte si také

Vliv vazby na pracovní poměr, aneb jak se s touto překážkou v práci vypořádat

Běžně mohou nastat případy, kdy je vzat do vazby člověk, který je zaměstnaný. Otázky tak mohou vyvstat v souvislosti s právním vypořádáním této nastalé situace. Jaké má možnosti zaměstnavatel? A jaké má naopak povinnosti zaměstnanec? Na tyto otázky se Vám pokusíme stručně odpovědět v tomto článku.

Chráněný účet jako nový institut na ochranu dlužníků

Cílem tohoto článku je seznámit veřejnost s novým institutem tzv. „chráněného účtu“, který má pomoct dlužníkům (povinným) v exekucích, a to k ochraně jejich nezabavitelného minima, na které má každý dlužník ze zákona nárok.

Jaké největší změny přináší nový stavební zákon?

Ke konci července 2021 vstoupil v platnost nový stavební zákon, který ve sbírce zákonů můžeme najít pod číslem 283/2021. Zákon nabývá na účinnosti postupně, protože bude docházet k velkým systémovým změnám, například ke vzniku nových úřadů. Zákon bude účinný až 1. července 2023, nicméně některé pasáže jsou účinné již nyní. A k jakým největším změnám tedy s novým stavebním zákonem dojde?

Lze považovat nenastoupení do práce po skončení rodičovské dovolené za jeden z důvodů pro rozvázání pracovního poměru?

V životě nastávají situace, kdy zaměstnankyně oznámí zaměstnavateli, že je těhotná. Tyto situace pak mají dopad na sjednaný pracovněprávní vztah, neb do něj zasahují, (pozn. zaměstnavatel ve smyslu ust. § 316 odst. 4 písm. a) zákona č. 262/2006 Sb., zákoníku práce, v aktuálním znění, obecně nesmí tuto informaci od zaměstnankyně nikterak vyžadovat). Jaká práva a povinnosti mají tyto smluvní strany pracovněprávního vztahu ve vztahu mateřské/rodičovské dovolené? Je zaměstnankyně povinna nastoupit do práce po třech letech trvání rodičovské dovolené? A co když chce tato zaměstnankyně nastoupit do práce naopak dříve? Na tyto otázky se pokusím stručně odpovědět v tomto článku.