Přehledně o GDPR

V letošním roce, přesně 25. května, vstoupí v platnost Obecné nařízení o ochraně osobních údajů – GDPR (General Data Protection Regulation). Přinášíme vám shrnutí podstatných informací se zřetelem na konkrétní dopady pro provozovatele e-shopů a dalších komerčních stránek.

Co je GDPR

Nová legislativa EU, která si klade za cíl výrazně zvýšit ochranu osobních dat a chránit digitální práva občanů:

  • nejvíce ucelený soubor pravidel na ochranu dat na světě
  • jednotná platnost ve všech státech EU
  • více než 50 bodů bude upřesněno v prováděcím zákoně – jejich podoba je v naší národní pravomoci
  • u nás nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů
  • nařízení musí respektovat každý (hrozí vysoké tresty), kdo shromažďuje nebo zpracovává osobní údaje Evropanů (i instituce, které na evropském trhu fungují)
  • týká se i těch, kdo sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií
  • např. bankovní instituce, zdravotnictví, veřejná správa, školství, e-shopy…

Co se změní

  • přibude velká administrativní zátěž
  • rozšíření definice osobních údajů o technické parametry: e-mail, IP adresa nebo tzv. cookie v zařízení uživatele
  • nová kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu
  • oznamovací povinnost v případě narušení bezpečnosti údajů (do 72 hodin)
  • nová práva lidem, jimž údaje patří – v nařízení definováno jako “práva subjektů”

Jde například o

  • právo vznést námitku proti zpracování dat
  • právo na přenositelnost osobních údajů
  • přístup osoby k údajům, které jsou o ní shromažďovány (ideálně online)
  • právo na výmaz a jeho rozšíření na právo být zapomenut

Osobní údaje dle GDPR

GDPR definuje osobní údaje ve dvou kategoriích. První jsou obecné údaje, což jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (jméno, pohlaví, věk a datum narození, osobní stav, IP adresa… atd.). Druhá kategorie podléhá přísnějšímu režimu, jde o citlivé údaje. Patří sem například údaje o zdravotním stavu, o sexuální orientaci, trestních deliktech či pravomocném odsouzení, biometrické údaje a další.

Co je nutné udělat

  1. zrevidovat informační systémy a postupy nakládání s osobními údaji
  2. respektovat princip tzv. zodpovědnosti, což je povinnost správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR

Uplatnění principu zodpovědnosti:

  • implementace záměrné a nezbytné ochrany dat (umožnění přístupu občanů k jejich údajům)
  • vypracování posouzení vlivu na ochranu osobních údajů, anglický termín: Data Protection Impact Assessment  neboli DPIA
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • zavedení tzv. pseudonymizace osobních údajů: zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
  • vedení záznamů o činnostech zpracování, záznamy o činnostech musí obsahovat následující informace:
    • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO (pověřenec pro zpracování osobních údajů)
    • účely zpracování
    • popis kategorií subjektů údajů a kategorií osobních údajů
    • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
    • informace o mezinárodním předávání osobních údajů
    • lhůty pro výmaz jednotlivých kategorií údajů
    • popis technických a organizačních opatření
  • výjimky z povinnosti vést záznamy o činnostech zpracování: pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností a nezpracovávají citlivé údaje
  • správce i zpracovatelé budou povinni spolupracovat s dozorovým úřadem a veškeré záznamy zpřístupňovat na vyžádání

Pseudonymizace

Pseudonymizace může v praxi představovat velmi podobný proces, při kterém se však osobní údaje v souboru odstraní, případně jen nahradí, a to takovým způsobem, že identifikace konkrétní fyzické osoby bude po přiřazení dodatečných údajů možná. Pojmově tedy nejde o nevratný proces, ale jen o dočasné funkční oddělení určitého „podsouboru údajů“ od ostatních údajů, které společně identifikaci umožňují. Náročnost tohoto procesu bude v praxi záviset na množství a typu zpracovaných osobních údajů, technického způsobu, jakým jsou zpracované a na mnoha dalších faktorech. V některých případech může stačit smazat první sloupec myšlené tabulky, v jiných případech bude nutný složitější algoritmus a pokročilé softwarové nástroje. GDPR tuto techniku uznává jako jedno z možných technických opatření pro zajištění ochrany a bezpečnosti osobních údajů.

Šifrování je dle GDPR možné definovat jako metodu, na základě které se z osobních údajů stanou údaje „nečitelné pro všechny osoby, které nejsou oprávněny mít k nim přístup“, tj. pro všechny osoby, které nemají k dispozici příslušné přístupové klíče. Podobně jako u pseudonymizace se jedná z pohledu GDPR o vhodné technické opatření pro zvýšení bezpečnosti při zpracování osobních údajů. Problémem této metody je však snížená využitelnost zabezpečených údajů, protože šifrované údaje není možné např. prohledávat nebo podobným způsobem dále zpracovávat bez jejich předchozího odšifrování.

Kdo musí mít DPO (pověřence pro ochranu osobních údajů)?

  • Orgány veřejné moci a organizace, které jako hlavní činnost vykonávají zpracování systematického a rozsáhlého monitorování občanů nebo rozsáhle zpracovávají citlivé kategorie údajů (nemocnice, pojišťovny, banky).
  • Podnikatel, jestliže zpracování osobních dat  je nedílnou součástí jeho činnosti – hlavní činnost (ne u pomocné nebo podpůrné činnosti – např. firma s daty zaměstnanců pro mzdy).

Sankce při ignorování GDPR

  • maximálně 20.000.000 € (500 miliónů Kč) – tato částka může být udělena komukoliv (bez ohledu na velikost společnosti)
  • nebo 4 % z celkového ročního obratu společnosti

Faktory ovlivňující výši sankce (např.): povaha, závažnost a délka porušování, počet poškozených občanů, míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod a kategorie osobních údajů dotčené porušením.

Jak je to u internetových obchodníků?

O systematické a pravidelné monitorování se jedná, pokud používáte a na webu máte:

  • reklamní sdělení (cílená – na základě chování při používání vyhledávacích nástrojů)
  • e-mail retargeting
  • věrnostní programy

Pověřence by měl mít ten, kdo zpracovává osobní údaje jako podklad pro reklamu ve vyhledávačích, která se utváří podle toho, jak se lidé chovají na internetu.

Mám mít DPO?

Pokud jste na pochybách, zda máte povinnost si zřídit či najmout DPO, můžete si zkusit zajistit nezávislé odborné posouzení.

V případě, že jako správce osobních údajů nebudete funkci DPO zřizovat nebo si osobu či firmu zajišťující nařízený dohled najímat, měli byste disponovat stanoviskem s odůvodněním, proč tomu tak není. Ostatní správci nebo zpracovatelé dat mohou pověřence jmenovat dobrovolně. Vykonávat DPO může interní vlastní zaměstnanec nebo externí služba.

E-shopy a GDPR

GDPR se v České republice týká více než 36 000 e-shopů. Menší obchodníci a poskytovatelé služeb často nevyužívají vlastní e-shopové řešení, ale pronajímají si obchodní platformu spravovanou poskytovatelem obchodních řešení. Poskytovatel musí být připraven na GDPR.

Systém souhlasů

Dalším z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud je ke zpracování osobních údajů takový souhlas vyžadován, nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje.

Konkrétní příklad u e-shopu: pokud poskytnu provozovateli e-shopu osobní údaje, které jsou nezbytné k zakoupení výrobku, tak to, že nedám souhlas k zasílaní marketingových e-mailů, nemůže být důvodem, kvůli kterému by mi měl e-shop odmítnout samotné zakoupení produktu.

Souhlas k využití osobních údajů bude muset být vědomý, oddělený a uživatel musí být informovaný, k čemu ho dává. Souhlas bude nutné vyžadovat na několika úrovních:

  • pro získání a zpracování dat potřebných pro realizaci samotného nákupu (fakturační údaje)
  • pro předání dat partnerským společnostem realizujícím platbu za zboží či služby a případnou dopravu zákazníkovi

Pokud bude chtít e-shop předat osobní údaje někomu dalšímu, bude potřebovat zaškrtnutí určitého políčka, kde o to zvlášť požádá. To políčko nesmí být předzaškrtnuté a zároveň nesmí být podmínkou pro možnost dalšího kroku (předávání údajů za účelem marketingu totiž není nezbytné k tomu, aby internetový obchod zaslal zboží). Tento souhlas se zpracováním osobních dat musí být požadován odděleně od ostatních podmínek.

Veškeré souhlasy, které provozovatel nezískal výše popsaným způsobem, nebudou od účinnosti nové právní úpravy platné a podnikatel je tak bude muset získat znovu. Právě z tohoto důvodu je vhodné přizpůsobit dokumentaci e-shopu nové úpravě co nejdříve. Provozovatel tím zajistí, že soubor osob, k jejichž údajům bude mít souhlas dle nové úpravy a které tak nebude muset po 25. květnu 2018 odstranit, bude co největší.

Stávající souhlasy mohou zůstat, ale je bude potřeba zrevidovat – požádat zákazníky o souhlas znovu.

Odvolání souhlasu

Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést.

Evidovány přitom musí být jak poskytnuté souhlasy, tak i všechny pohyby osobních dat zákazníků i případná odvolání souhlasů.

Zabezpečení dat

Celkově obecně velmi výrazně stoupne zodpovědnost za data, která budete na základě souhlasu zákazníků uchovávat. Data musí být zabezpečena proti odcizení a nedovolené manipulaci a jejich správce musí stanovit osobu, která bude za bezpečné uchování dat přímo zodpovědná (může jí být i přímo majitel e-shopu).

Dopady na obchodní podmínky e-shopu

Provozovatelé e-shopů jsou dlouhé roky zvyklí mít souhlas se zpracováním osobních údajů a poučení o právech s tím souvisejících jako součást obchodních podmínek. Takový postup je však podle GDPR protiprávní.

Provozovatel bude nově muset zcela jasně oddělit obchodní podmínky od dokumentace týkající se ochrany osobních údajů – pro otázku osobních údajů tak bude potřeba vytvořit samostatný dokument.

Spotřebitel pak bude povinen při registraci do e-shopu nebo při zaslání objednávky kromě souhlasu s obchodními podmínkami zaškrtnutím příslušného políčka potvrdit také samostatný souhlas se zpracováním osobních údajů, a to pro každý z účelů zpracování zvlášť (viz Systém souhlasů).

Doporučujeme k přečtení konkrétní příklady možných dopadů GDPR pro online marketing, které sepsal Daniel Nytra ve svém článku. V Olomouci se 6. února 2018 k tomuto tématu konala akce s názvem GDPR pro webdesignery a provozovatele webů, na které se organizátoři zdarma podělili o své zkušenosti s přípravou na soulad s GDPR.

Služby WP-admin.cz a GDPR

Firma WP-admin.cz neposkytuje službu externího DPO, ani nezávislé odborné posouzení. Zatím nemáme definovánu konkrétní nabídku pro zabezpečení souladu webů s GDPR, situaci však průběžně monitorujeme. Na základě dalšího vývoje budou naši technici implementovat potřebné změny pro zajištění bezproblémového fungování webů a e-shopů, kterých se GDPR týká.

V  Praze proběhlo 29. 1. 2018 školení WordPress, WooCommerce a GDPR, které se zabývalo podrobnostmi GDPR ve vztahu k webovým stránkám běžícím na WordPressu a s praktickými ukázkami i řešeními pro e-shopy na WooCommerce.

Zdroje:

46 otázek a odpovědí k GDPR
Novinky ve zpracování osobních údajů. Jak se na ně připravit?
Nová pravidla ochrany osobních údajů
Směrnice GDPR – otázky – 4. Zásady a právní důvody zpracování
Jak ovlivní nové nařízení o ochraně osobních údajů (GDPR) e-shopy?
Pověřenec pro ochranu osobních údajů – klíčová funkce pro zajištění GDPR

Použitý obrázek: zdroj Pexels.com, Licence CC0 1.0 Universal

Napsat komentář