Povinnosti provozovatelů e-shopů dle GDPR

Co určitě víte je skutečnost, že jste-li provozovatelem internetového obchodu, jste zároveň i správcem osobních údajů dle Obecného nařízení o ochraně osobních údajů.

Co určitě víte je skutečnost, že jste-li provozovatelem internetového obchodu, jste zároveň i správcem osobních údajů dle Obecného nařízení o ochraně osobních údajů (General data protection regulation neboli GDPR). Co už možná ale nevíte je to, jaké veškeré povinnosti musíte v této souvislosti plnit.

Ať už prodáváte prostřednictvím e-shopu elektroniku, sportovní vybavení či třeba potřeby pro domácí mazlíčky, v určitém rozsahu na vás povinnosti stanovené GDPR budou dopadat. V jakém rozsahu a jaké všechny povinnosti musíte plnit, tak abyste zajistili náležitý soulad s GDPR, se odvíjí od mnoha aspektů, ať už je to velikost Vašeho obchodu, kategorie zákazníků, počet Vašich zaměstnanců, využívané způsoby marketingu a další. Je potřeba přitom vycházet z jedné ze základních zásad GDPR, a sice zásady individualizace, kdy jednotlivé stanovené povinnosti se uplatňují v návaznosti na každý jednotlivý případ. U provozovatele velkého mezinárodního internetového obchodu bude nezbytné plnit velké množství GDPR stanovených povinností, na menší lokální e-shop budou dopadat povinnosti jen některé.

Předně je nutné určit, o jakých subjektech a jaké osobní údaje při provozování internetového obchodu zpracováváte. V rámci každého e-shopu, z jeho podstaty, jsou zpracovávány minimálně osobní údaje zákazníků a dodavatelů. Dále mohou být zpracovávány údaje o zaměstnancích, návštěvnících internetových stránek či např. odběratelích newsletterů. Primární povinností je povinnost informační, kdy jako správce osobních údajů musíte všechny subjekty, jejichž osobní údaje zpracováváte, kvalifikovaně informovat v souladu s GDPR (takové sdělení musí obsahovat identifikační údaje Vás, jakožto správce osobních údajů, Vaše kontaktní údaje, informaci o tom, jaké osobní údaje jsou zpracovávány, na základě jakého právního titulu, za jakým účelem, dobu, po kterou budou zpracovávány, zda budou osobní údaje předávány třetím osobám či musíte informovat daný subjekt o jeho právech, která mu ze zpracování osobních údajů plynou). Popsané informace je možné ideálně zapracovat do obchodních podmínek, nebo mohou mít formu samostatného informačního dokumentu. Zpracováváte-li osobní údaje, které nejsou nezbytně nutné pro uzavření konkrétní objednávky (a nespadají ani pod jiný GDPR stanovený právní titul), bude nutné získat pro zpracování takového údaje souhlas dané osoby (bude se jednat např. o údaje získávané od zákazníků pro účely účasti v pořádané soutěži či slosování, údaje získávané nad rámec nutných údajů pro řádné provedení objednávky a dodání zboží).

Máte-li na internetových stránkách kontaktní formulář, prostřednictvím kterého Vás mohou zákazníci oslovit a zanechat Vám např. svoje jméno, e-mailovou adresu či telefonní číslo, musíte splnit informační povinnost i v tomto případě. Využíváte-li ve Vašich skladových prostorech či výdejnách kamerový systém, musíte informovat i o tomto zpracování osobních údajů – obrazových záznamů. Osobní údaje zpracováváte i o Vašich dodavatelích, resp. kontaktních fyzických osobách Vašich dodavatelů. I v tomto případě jde o zpracování osobních údajů s povinnostmi z toho plynoucími. Předáváte-li zpracovávané osobní údaje třetích osobám, například externí účetní společnosti, dle GDPR tímto jako správce předáváte osobní údaje zpracovateli a s tím je spojena další z povinností, a sice povinnost uzavřít smlouvu o zpracování osobních údajů.

Využíváte-li v rámci Vašeho internetového obchodu souborů cookies, musíte o tom návštěvníky internetových stránek informovat. V určitých případech je nutné vést záznamy o činnostech zpracování či vyhotovit tzv. posouzení vlivu na ochranu osobních údajů. V případě, že disponujete zaměstnanci, je vhodné mít vyhotoven interní předpis s informacemi o tom, jak osobní údaje zpracovávat, případně mít vyhotoven dokument s informacemi jak postupovat v případě bezpečnostního incidentu či jak reagovat na žádosti subjektů údajů uplatňující jejich práva stanovená v GDPR. Je nutné přijmout náležitá technická a organizační opatření, tak aby byly v souladu s GDPR zpracovávané osobní údaje dostatečně zabezpečeny.

Jak z výše uvedeného vyplývá, správné uvedení Vaší podnikatelské činnosti do souladu s GDPR je poměrně komplexním, a ne zcela jednoduchým, problémem. Nezbytným krokem pro správné plnění veškerých GDPR stanovených povinností je provedení náležité analýzy Vaší činnosti ve vztahu ke zpracovávaným osobním údajům (v návaznosti na provedenou analýzu je možné následně určit, jaké veškeré povinnosti na konkrétního provozovatele internetového obchodu dopadají). Na základě analýzou nabytých informací je možné přistoupit k samotné implementaci GDPR, tedy vyhotovení a aplikování veškeré nutné dokumentace a souvisejících postupů ve vztahu ke zpracování osobních údajů a jejich technické a organizační zabezpečení. Anebo to nechte na nás. Kompletní řešení implementace GDPR je naším denním chlebem a rádi Vám s ní pomůžeme.

Přečtěte si také

Komentář:  Valorizace majetku by měla být při rozvodu automatickou záležitostí

Aktuálně nás velice zaujal nález pléna Ústavního soudu Pl. ÚS 23/24, který se zabývá vnosy do společného jmění manželů (SJM), respektive jejich valorizací. V čem je tento nález z hlediska vypořádání společného jmění manželů významný? Přečtěte si článek naší advokátky Mgr. Anny Čerbákové.    

Pražská pobočka Spring Walk má novou adresu

Naše pražská pobočka Spring Walk se v září přestěhovala do nových moderních kanceláří v budově Vinice Business Center na adrese Vinohradská 167, 100 00 Praha 10.

Zákoník práce prochází dalšími změnami: Co chystá „flexi novela“ od ledna 2025?

Do poslanecké sněmovny míří další vládou schválená novela zákoníku práce. Projděte si s námi přehled těch nejdůležitějších změn, které se očekávají od 1. ledna 2025.

Zákon o trhu s nevýkonnými úvěry

V České republice v současné době není regulováno postupování pohledávek nad rámec obecné úpravy obsažené v zákoně č. 89/2012 Sb., občanský zákoník. Lze tedy postoupit úvěr poskytnutý úvěrovou institucí (bankou aj.) a není k tomu třeba žádné veřejnoprávní povolení nad rámec živnostenského oprávnění. Správa úvěrů doposud také nebyla v České republice nijak specificky upravena.