Povinnosti provozovatelů e-shopů dle GDPR

Co určitě víte je skutečnost, že jste-li provozovatelem internetového obchodu, jste zároveň i správcem osobních údajů dle Obecného nařízení o ochraně osobních údajů.

Co určitě víte je skutečnost, že jste-li provozovatelem internetového obchodu, jste zároveň i správcem osobních údajů dle Obecného nařízení o ochraně osobních údajů (General data protection regulation neboli GDPR). Co už možná ale nevíte je to, jaké veškeré povinnosti musíte v této souvislosti plnit.

Ať už prodáváte prostřednictvím e-shopu elektroniku, sportovní vybavení či třeba potřeby pro domácí mazlíčky, v určitém rozsahu na vás povinnosti stanovené GDPR budou dopadat. V jakém rozsahu a jaké všechny povinnosti musíte plnit, tak abyste zajistili náležitý soulad s GDPR, se odvíjí od mnoha aspektů, ať už je to velikost Vašeho obchodu, kategorie zákazníků, počet Vašich zaměstnanců, využívané způsoby marketingu a další. Je potřeba přitom vycházet z jedné ze základních zásad GDPR, a sice zásady individualizace, kdy jednotlivé stanovené povinnosti se uplatňují v návaznosti na každý jednotlivý případ. U provozovatele velkého mezinárodního internetového obchodu bude nezbytné plnit velké množství GDPR stanovených povinností, na menší lokální e-shop budou dopadat povinnosti jen některé.

Předně je nutné určit, o jakých subjektech a jaké osobní údaje při provozování internetového obchodu zpracováváte. V rámci každého e-shopu, z jeho podstaty, jsou zpracovávány minimálně osobní údaje zákazníků a dodavatelů. Dále mohou být zpracovávány údaje o zaměstnancích, návštěvnících internetových stránek či např. odběratelích newsletterů. Primární povinností je povinnost informační, kdy jako správce osobních údajů musíte všechny subjekty, jejichž osobní údaje zpracováváte, kvalifikovaně informovat v souladu s GDPR (takové sdělení musí obsahovat identifikační údaje Vás, jakožto správce osobních údajů, Vaše kontaktní údaje, informaci o tom, jaké osobní údaje jsou zpracovávány, na základě jakého právního titulu, za jakým účelem, dobu, po kterou budou zpracovávány, zda budou osobní údaje předávány třetím osobám či musíte informovat daný subjekt o jeho právech, která mu ze zpracování osobních údajů plynou). Popsané informace je možné ideálně zapracovat do obchodních podmínek, nebo mohou mít formu samostatného informačního dokumentu. Zpracováváte-li osobní údaje, které nejsou nezbytně nutné pro uzavření konkrétní objednávky (a nespadají ani pod jiný GDPR stanovený právní titul), bude nutné získat pro zpracování takového údaje souhlas dané osoby (bude se jednat např. o údaje získávané od zákazníků pro účely účasti v pořádané soutěži či slosování, údaje získávané nad rámec nutných údajů pro řádné provedení objednávky a dodání zboží).

Máte-li na internetových stránkách kontaktní formulář, prostřednictvím kterého Vás mohou zákazníci oslovit a zanechat Vám např. svoje jméno, e-mailovou adresu či telefonní číslo, musíte splnit informační povinnost i v tomto případě. Využíváte-li ve Vašich skladových prostorech či výdejnách kamerový systém, musíte informovat i o tomto zpracování osobních údajů – obrazových záznamů. Osobní údaje zpracováváte i o Vašich dodavatelích, resp. kontaktních fyzických osobách Vašich dodavatelů. I v tomto případě jde o zpracování osobních údajů s povinnostmi z toho plynoucími. Předáváte-li zpracovávané osobní údaje třetích osobám, například externí účetní společnosti, dle GDPR tímto jako správce předáváte osobní údaje zpracovateli a s tím je spojena další z povinností, a sice povinnost uzavřít smlouvu o zpracování osobních údajů.

Využíváte-li v rámci Vašeho internetového obchodu souborů cookies, musíte o tom návštěvníky internetových stránek informovat. V určitých případech je nutné vést záznamy o činnostech zpracování či vyhotovit tzv. posouzení vlivu na ochranu osobních údajů. V případě, že disponujete zaměstnanci, je vhodné mít vyhotoven interní předpis s informacemi o tom, jak osobní údaje zpracovávat, případně mít vyhotoven dokument s informacemi jak postupovat v případě bezpečnostního incidentu či jak reagovat na žádosti subjektů údajů uplatňující jejich práva stanovená v GDPR. Je nutné přijmout náležitá technická a organizační opatření, tak aby byly v souladu s GDPR zpracovávané osobní údaje dostatečně zabezpečeny.

Jak z výše uvedeného vyplývá, správné uvedení Vaší podnikatelské činnosti do souladu s GDPR je poměrně komplexním, a ne zcela jednoduchým, problémem. Nezbytným krokem pro správné plnění veškerých GDPR stanovených povinností je provedení náležité analýzy Vaší činnosti ve vztahu ke zpracovávaným osobním údajům (v návaznosti na provedenou analýzu je možné následně určit, jaké veškeré povinnosti na konkrétního provozovatele internetového obchodu dopadají). Na základě analýzou nabytých informací je možné přistoupit k samotné implementaci GDPR, tedy vyhotovení a aplikování veškeré nutné dokumentace a souvisejících postupů ve vztahu ke zpracování osobních údajů a jejich technické a organizační zabezpečení. Anebo to nechte na nás. Kompletní řešení implementace GDPR je naším denním chlebem a rádi Vám s ní pomůžeme.