Dne 25.5.2018 bylo zavedeno nové Obecné nařízení o ochraně osobních údajů, zkráceně GDPR (General Data Protection Regulation), které se stalo nejvíce uceleným souborem pravidel na ochranu dat na světě. Nařízení bylo přijato již o dva roky dříve, na jaře roku 2016, a tak všechny organizace měly dostatek času na to, aby se připravily na nová pravidla a postupy pro zpracování osobních údajů. Nicméně malé a střední firmy se s tímto úkolem často potýkají. Velké společnosti jsou naopak často kontrolovány úřady kvůli porušení GDPR.

Vznik GDPR výrazně změnil pravidla zpracování osobních údajů a měl sloužit ke zvýšení ochrany osobních údajů jednotlivých subjektů v Evropě s cílem hájit práva občanů EU proti neoprávněnému zacházení s jejich daty, včetně osobních údajů. GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

GDPR zavedlo také celou řadu nových procesů a institucí, které měly organizacím pomoci dosáhnout souladu s danými pravidly, jako je posouzení dopadu na ochranu osobních údajů (data protection impact assessment), vedení záznamů o zpracování, řízení porušení zabezpečení dat nebo jmenování pověřence pro ochranu osobních údajů.

Nařízení se vztahuje na firmy, instituce a jednotlivce, kteří zacházejí s osobními údaji, jako jsou zaměstnanci, zákazníci, klienti nebo dodavatelé, napříč různými segmenty a odvětvími. Toto nařízení také zahrnuje ty, kteří sledují nebo analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

V České republice dohlíží na dodržování ustanovení Zákona o ochraně osobních údajů Úřad na ochranu osobních údajů a každý občan se může na tento úřad obrátit, pokud má podezření, že jsou jeho práva na soukromí omezena nebo jsou jeho osobní údaje nevhodně zpracovávány.

Všechny organizace, od bankovních institucí a zdravotnických zařízení až po veřejnou správu a e-shopy, se v blízké budoucnosti budou muset přizpůsobit novým pravidlům pro zpracování osobních údajů. Pokud dojde k závažnému porušení, hrozí firmám vysoké pokuty.

Od 25. května 2018 je GDPR účinné v celé Evropské unii. V České republice nahradí současnou právní úpravu ochrany osobních údajů, kterou tvoří směrnice 95/46/ES a související zákon č. 101/2000 Sb. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Nový zákon o ochraně osobních údajů bude upravovat pouze některé aspekty týkající se Úřadu na ochranu osobních údajů (jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dokončení celkového rámce ochrany osobních údajů, které nejsou upraveny Obecným nařízením nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu, jako jsou například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

Skutečnost, že nová pravidla byla přijata formou evropského nařízení, znamená, že jsou jednotně platná ve všech zemích EU a národní vlády a zákonodárci je nemohou ohýbat a přizpůsobovat místním zájmům nebo lobbistům.

Doposud byl hlavním regulátorem v oblasti ochrany údajů v České republice Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl tuto roli nadále zastávat.

Dříve se musel zpracovatel osobních údajů registrovat na ÚOOÚ. Dnes již tak činit nemusí. Oznamovací povinnost GDPR neobsahuje. Z tohoto důvodu tak již není k dispozici ani registrační formulář na stránkách Úřadu. Z toho také ale plyne zodpovědnost za dodržování pravidel ochrany osobních údajů – ten nese subjekt, který zpracovává tyto údaje. To znamená, že subjekt, který zpracovává osobní údaje, musí zajistit, že je v souladu s požadavky GDPR a dalšími zákony a nařízeními v oblasti ochrany osobních údajů. Pokud dojde k porušení těchto pravidel, nese za to odpovědnost subjekt, který osobní údaje zpracovává, a může být potrestán pokutami a jinými sankcemi.

Nicméně, ÚOOÚ přibudou mu nové pravomoci odrážející závažnost celé reformy a bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB).

Spolu s implementací GDPR byly také uvedeny v platnost astronomické pokuty za porušení pravidel viz výše.

Jaké sankce hrozí firmám, které budou GDPR ignorovat

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Firmy, které ignorují GDPR, mohou být vystaveny vysokým pokutám, které mohou být v některých případech až likvidační. Podle GDPR mohou být za porušení procesních nástrojů, jako je posouzení dopadu, jmenování pověřence, řízení incidentů atd., uloženy pokuty až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. V případě porušení základních pravidel a povinností pro zpracování dat hrozí organizaci pokuty až do výše 20 milionů EUR nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.

Je důležité poznamenat, že maximální výše pokuty může být udělena jak menším společnostem s pěti zaměstnanci, tak velkým nadnárodním korporacím, pokud neučiní kroky nezbytné k zavedení souladu s principy a povinnostmi vyplývajícími z GDPR. Kromě pokut mohou být správci a zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. Firmy jsou také vystaveny riziku reputačních škod a ztrátě důvěry zákazníků způsobených nesprávným zacházením s osobními údaji.

Jak je tomu u nás? Podle předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů, mohla být za určité delikty, jako například neoprávněné zpracování osobních údajů nebo jejich nedostatečné zabezpečení, uložena pokuta v maximální výši 10 milionů korun. Nicméně Úřad pro ochranu osobních údajů za celou dobu účinnosti tohoto zákona k této nejvyšší hranici pokuty nikdy nesáhnul. Nejvyšší pokuty, které podle starého zákona uložil, se pohybovaly mezi 2 až 3 miliony korun.

Druhou věcí je samotné vymáhání a uplatňování těchto pokut v praxi – pokuste se zamyslet, zda znáte nějaký případ, kdy byla pokuta za porušení zákona o ochraně osobních údajů vynucena. Pravděpodobně vás nenapadne žádný nebo si žádný nevybavíte. Tento nedostatek vynucování pokut se pravděpodobně odráží v tom, že drastické a likvidační pokuty za porušení zákona nebyly nikde v naší zemi doposud vynuceny. I ti největší porušitelé zákona zatím dostali pokuty pouze v řádu stovek tisíc korun (pokud se bavíme o situaci v ČR).

V čem organizace při aplikaci GDPR v praxi nejčastěji chybují?

To si můžeme ukázat na několika známých případech, ze kterých je jasně zřetelné v čem organizace při aplikaci GDPR v praxi chybují, resp. jaké případy porušení považují evropské dozorové úřady za nejvážnější.

Řada evropských dozorových úřadů v minulosti již udělilo vysoké pokuty za porušení GDPR. V lednu 2019 francouzský úřad CNIL udělil nejvyšší dosavadní pokutu ve výši 50 milionů EUR (přibližně 1,3 miliardy Kč) společnosti Google za chybné nakládání s osobními údaji uživatelů. Hlavním problémem byly podmínky, ve kterých Google informoval uživatele o používání jejich osobních dat. CNIL shledal, že Google porušil GDPR ve dvou hlavních ohledech, kdy uživatelé druhého nejpoužívanějšího mobilního operačního systému Android nemají snadno dostupné informace o tom, jak firma s jejich osobními daty nakládá.

Dle CNIL se uživatel dostane až po několika krocích a musí vykonat kolem 6 akcí, aby se tyto stěžejní informace vůbec dozvěděl. Dle CNIL toto nastává například v případě, kdy se uživatel chce dostat ke kompletním informacím o tom, jak Google využívá jeho data k personalizaci nebo pro geolokační služby. Navíc podle CNIL nejsou dostatečně ani na této finální stránce, na kterou se uživatel pomalu ani sám nedokliká, zcela jasná a vyčerpávající. Jsou tak matoucí a samotný uživatel těmto informacím ani nemůže porozumět.

Podle francouzského dozorového úřadu CNIL nedostává Google od uživatelů Androidu dostatečný a informovaný souhlas s tím, aby mohl zpracovávat jejich osobní údaje pro personalizaci reklam. Podmínky s tím související jsou roztroušeny v několika dokumentech, což brání uživatelům v přesném odhadu rozsahu zpracování jejich dat. Uživatelův souhlas navíc není jednoznačný, protože při zakládání účtu na Androidu se mu nejprve nezobrazí možnost upravit nastavení personalizovaných reklam, a souhlas s tímto zpracováním je už předem zaškrtnut. CNIL uvedl, že uživatel musí aktivně zaškrtnout tuto možnost, aby jeho souhlas byl jednoznačný.

Pokutu ve výši 50 milionů eur pak úřad vysvětluje jednak tím, že prohřešky podle něj závažně porušují základní zásady GDPR, a také tím, že jde o dlouhodobé porušování pravidel, které pokračuje až do těchto dní.

Dalším příkladem aplikace pokut za porušení GDPR byl únik osobních údajů u aerolinek British Airways.

V roce 2018 došlo k úniku osobních údajů více než 400 000 klientů britských aerolinek British Airways. Kromě osobních údajů byly také kompromitovány karetní údaje. Britský dozorový úřad původně hrozil pokutou v nejvyšší možné výši 183 milionů liber (téměř 5,5 miliardy korun), ale po složitém vyjednávání se nakonec dohodl na pokutě ve výši 20 milionů liber (cca 600 milionů korun).

Dalším příkladem pokuty za porušení pravidel GDPR je oděvní gigant H&M, který musel zaplatit pokutu ve výši 35,3 milionů EUR (zhruba 950 milionů korun) za nelegální zpracování osobních údajů zaměstnanců. Tento případ se týkal nesprávného sběru a využívání informací o soukromí zaměstnanců, včetně jejich náboženských a rodinných přesvědčení.

V celém případu šlo o to, že společnost H&M zpracovávala osobní údaje svých zaměstnanců, a to ve velmi velkém rozsahu.

Vedoucí management zmíněného servisního střediska sbíral informace o osobním životě svých zaměstnanců, a to včetně citlivých osobních údajů. Management tak například pořádal pohovory se zaměstnanci, kteří se vraceli z dovolených a požadoval po nich informace o tom, co na dovolené dělali, s kým se setkali nebo zda pociťovali symptomy nějaké nemoci. Tato praxe pak probíhala minimálně již od roku 2014. O těchto a dalších údajích, které management od zaměstnanců získal, se následně vedly velmi rozsáhlé a podrobné záznamy. Společnost tak měla díky těmto záznamům přehled o osobním životě zaměstnanců, včetně jejich rodinných příslušníků. Tyto informace pak byly uchovávány za účelem sledování vývoje v životě zaměstnanců, vyhodnocování individuálních pracovních výkonů atd. Profil zaměstnance byl také využíván pro jeho další potenciální pracovní zařazení.

Tyto záznamy pak byly sdíleny napříč společností. Přístup k nim mělo využít více než 50 manažerů. Zajímavá je i okolnost, která přispěla k odhalení této praxe: v roce 2019 byly v důsledku technické chyby tyto detailní informace na několik hodin zpřístupněny v rámci firemní sítě. Na toto monitorování ze strany H&M se tak vlastně přišlo čirou náhodou, kdy byly z důvodu konfigurační chyby tyto osobní údaje zpřístupněny na několik hodin napříč celou společností (v rámci firemní intranetové sítě). Není překvapivé, že dozorový úřad, který tuto věc řešil, vyhodnotil celou situaci jako obzvlášť intenzivní zásah do osobnostních práv zaměstnanců a nakonec se na základě všech okolností rozhodl udělit velmi vysokou pokutu, která je tak druhou nejvyšší udělenou finanční sankcí za porušení Nařízení GDPR v rámci celé Evropské unie. Úřad vzal nicméně v potaz, že společnost H&M v rámci šetření celé věci spolupracovala a dále že ze své vlastní iniciativy navrhla dotčené zaměstnance finančně kompenzovat, přičemž dále přistoupila k vytvoření celé řady nových pravidel pro zpracování osobních údajů, aby k podobným situacím již nedocházelo.

Dalším velkým tématem souvisejícím s GDPR je výkon práv dotčených osob, jako je například právo na přístup, opravu nebo výmaz osobních údajů. Význam tohoto tématu lze ilustrovat na příkladu nizozemského dozorového orgánu DPA (De Autoriteit Persoonsgegevens), který udělil pokutu provozovateli úvěrového registru ve výši 830 000 EUR (cca 23 milionů korun) za to, že komplikoval výkon práv dotčených osob. Konkrétně provozovatel tohoto úvěrového serveru účtoval poplatek za zasílání elektronické kopie dat, které o subjektech a jejich osobních údajích zpracovával. Tato data obsahovala všechny podklady k jejich kreditnímu skóre, které se používá jako jeden z faktorů při schvalování nebo zamítnutí úvěru. Subjekty údajů mohly tuto informaci získat pouze v papírové podobě a pouze jednou ročně. Podle nizozemského úřadu DPA byl tento postup zjevně v rozporu s GDPR, které správcům údajů ukládá povinnost výkon práv subjektů údajů co nejvíce usnadňovat a účtovat si v takovém případě pouze skutečně vynaložené náklady.

Německý telekomunikační operátor 1&1 Telecom GmbH byl potrestán za svůj příliš vstřícný přístup při vyřizování požadavků subjektu údajů na přístup k datům. Operátor si totiž nastavil proces tak, že stačilo, aby kdokoliv zavolal na jeho informační linku, uvedl jméno a datum narození klienta a bez dalšího ověření bylo možné získat citlivá klientská data o soukromých osobách. Tento postup však byl v rozporu s GDPR, což německý federální úřad potrestal pokutou ve výši 9,5 milionů EUR (cca 260 milionů korun).

Podobný problém, který je běžný i v České republice, řešil italský dozorový úřad DPA. Telekomunikační operátor Wind Tre SpA byl potrestán pokutou ve výši 17 milionů EUR (cca 460 milionů korun) za porušení pravidel při zpracování osobních údajů za marketingovými účely. Operátor oslovil uživatele nevyžádanými hovory a SMS s marketingovými nebo obchodními sděleními, aniž by měl jejich souhlas, a kontaktní údaje uživatelů byly zveřejněny ve veřejných telefonních seznamech, i když k tomu uživatelé nedali souhlas. Tyto praktiky byly v rozporu s GDPR a vedly k udělení vysoké pokuty.

Český Úřad pro ochranu osobních údajů uložil nejmenovanému prodejci ojetých aut vysokou pokutu 6 milionů korun za spamování jeho zákazníků, což je v rozporu s příslušnou regulací.

Tento případ ukazuje, že za šíření nevyžádaných obchodních sdělení může být postih uplatněn nejenom proti tomu, kdo spam fakticky rozesílá, ale i pro toho , kdo si od něj rozesílku objedná, pokud nezavede konkrétní a účinné postupy pro kontrolu toho, zda rozesílatel postupuje správně. Nestačí tedy jen více či méně vágní smluvní ujednání, ale skutečný proces založený na zhodnocení rizik a přijetí dostatečných opatření.

Další velká kauza byla v případě Airbnb (služba poskytující sdílený pronájem bydlení), které přiznalo únik dat svých uživatelů.

U Airbnb došlo technické chybě, na jejímž základě byly zpřístupněny osobní informace několika klientů této služby ostatním uživatelům. Konkrétně se mělo jednat o soukromé konverzace (chat zprávy) a na tuto chybu se přišlo až poté, co několik uživatelů Airbnb oznámilo na online fóru reddit.com, že se jim po přihlášení na Airbnb zobrazují osobní zprávy cizích lidí. Airbnb uvedlo, že věc byla rychle vyřešena a že doposud nebylo zjištěno jakékoliv zneužití chybně zveřejněných osobních údajů.

Dále Airbnb uvedlo, že se skutečně mělo jednat pouze o soukromé konverzace části uživatelů této služby, žádná další osobní data (informace o platbách apod.) nebyla předmětem tohoto úniku. Airbnb mělo tento únik následně dle dostupných informací samo nahlásit dozorovému evropskému úřadu (European Data Protection Supervisor).

Je jen otázka, zda bude Airbnb podrobeno vyšetřování, které může vyústit v případné uložení finanční pokuty. Zatím rok od nahlášení tohoto problému se na veřejnost žádné informace o pokutě této společnosti nedostaly.

Je zjevné, že vysoké pokuty za porušení GDPR a souvisejících předpisů jsou již běžnou praxí ve velké řadě evropských států.

V evropských zemích byly uděleny nejvyšší pokuty plynoucí z GDPR v Itálii, Německu, Francii, Velké Británii, Španělsku a Švédsku. Regulátoři těchto zemí zaujali velmi přísný postup v otázce dodržování GDPR. Na druhé straně jsou země jako Estonsko, Lichtenštejnsko, Island, Rakousko, Litva a Lotyšsko, kde jsou pokuty nejnižší. V Estonsku byly v součtu uděleny pokuty v hodnotě pouhých 408 EUR. Ostatní šestnáct zemí, včetně České republiky, Slovenska a Polska, se nachází přibližně uprostřed evropského žebříčku a regulátoři zde stále zkouší a učí se, kam až mohou zajít.

Co se týče nahlašování, tak nejvíce porušení osobních údajů (personal data breaches) bylo od účinnosti GDPR nahlášeno v Německu (více než 77 000 porušení) a Nizozemsku, následováno Velkou Británií, Dánskem, Irskem, Polskem, Švédskem a Finskem. Nejméně naopak v Lichtenštejnsku (pouhých 50 porušení), na Kypru, v Chorvatsku, Litvě a Lotyšsku. Opět je Česká republika s 1 031 případů přibližně v polovině spektra. Situace se trošku změní při přepočtení počtu porušení na počet obyvatel (resp. při indikaci počtu porušení na 100 000 obyvatel) – v tu chvíli je nejvíc porušení hlášeno v Dánsku, následně v Nizozemsku, Irsku, Slovinsku, Finsku a na Islandu. Česká republika patři mezi pět nejméně nahlašujících.

Jen ještě jedna zmínka na konec – byť asi důležitá – pokud se organizace působící v České republice podílí na přeshraničním zpracování osobních údajů, například je členem koncernu, jehož mateřská společnost sídlí v Německu, případnou kontrolu by vedl německý dozorový úřad.

Ty, jak jsme si výše na několika příkladech ukázali, se rozhodně nezdráhají sáhnout i k vysokým pokutám. A lze důvodně očekávat, že v případě závažných kontrolních zjištění se k nim připojí i náš ÚOOÚ. Investování do kontroly toho, jak daná organizace zpracovává osobní údaje a do případné nápravy nedostatků, se tedy jistě vyplatí. Protože to, že je to zatím pole neorané a že ÚOOÚ zatím nejde všem po krku, neznamená, že tomu tak nebude v budoucnu. 🙂

Jak se vyhnout pokutám v případě GDPR?

Podle nedávné studie společnosti DLA Piper existuje několik hlavních oblastí, kde správci osobních údajů nejčastěji chybují a kde je důležité být zvláště opatrný::

1. Transparentnost – transparentnost je klíčová pro ochranu osobních údajů a zahrnuje povinnost mít zpracované kompletní, přesné a přehledné zásady ochrany osobních údajů a poskytovat je se všemi potřebnými informacemi na jednom místě. Tento přístup byl uplatněn například v případě Googlu, kde byla vysoká pokuta uložena právě kvůli nedostatečné transparentnosti ohledně zpracování osobních údajů uživatelů.
2. Právní základ – při zpracování osobních údajů je nutné mít k dispozici právní základ, kterým může být například souhlas subjektu údajů. Je důležité mít tento souhlas korektně zaznamenaný a evidovaný, aby bylo možné doložit, kdo jej udělil, kdy a za jakých podmínek. Častým problémem je nedostatečná evidence záznamů o činnostech zpracovávání, což může vést k nejasnostem a nedostatkům v ochraně osobních údajů.
3. Nedostatečná implementace zabezpečení – častým problémem v oblasti ochrany osobních údajů je nedostatečná implementace zabezpečení dat. Správci osobních údajů často selhávají v oblasti zabezpečení, a to buď tím, že používají špatné nebo nedostatečné zabezpečení dat, nebo tím, že data nejsou podrobeny vícefaktorové ochraně, což by bylo v ideálním případě nutné. Nejčastější pokuty se potom týkají:
   • Monitoringu administrátorských účtů – monitorování administrátorských účtů se týká situace, kdy jsou administrátorské přístupy k citlivým datům přístupné neoprávněným osobám nebo osobám, které tyto přístupy vůbec nepotřebují. Pokud není tento uživatelský profil sledován a kontrolován, může útočník snadno získat přístup ke všem datům skrze tento profil, aniž by bylo zaznamenáno, zda došlo k podezřelé aktivitě.
   • Monitoring přístupu do databází, které obsahují osobní údaje – souvisí s bodem výše. Je důležité monitorovat přístupy do databází obsahujících osobní údaje a zda nedochází k neoprávněnému vytěžování dat nebo jinému podezřelému či abnormálnímu vytěžování.
   • Šifrování osobních údajů – šifrování osobních údajů je dalším důležitým krokem v ochraně dat. Pokud dojde k úniku dat, šifrování zajistí, že data budou nečitelná pro zloděje nebo útočníka, dokud nezíská přístup ke šifrovacímu klíči. Toto je další příklad vícefaktorové ochrany, která může výrazně snížit dopady úniku nebo data leaku zcela zamezit. V neposlední řadě každý z těchto bezpečnostních mechanismů snižuje i šanci na pokutu a její výši, protože jiná situace je, kdy jste pro zabezpečení nic neudělali a proto mohlo dojít k úniku osobních citlivých dat. A jiná situace pak u soudu nastává, když se prokáže, že i přes veškerá zabezpečení, která jste zavedli došlo k něčemu podobnému – soud se na to vše nejspíše bude dívat o něco smířlivěji.
   • Použití vícefaktorové autentizace k předejití neoprávněnému přístupu – nejčastěji útočník jde směrem nejmenšího odporu. Ten představuje vždy samotný uživatel. Pokud se například útočník nabourá do počítače zaměstnance, který má přístup k systému, kde jsou uložena osobní data klientů, může vícefaktorová autentizace, jako například mobilní kód nebo token, zabránit neoprávněnému přístupu. A i zde platí, co výše – čím více zabezpečovacích mechanismů, tím méně problémů a nejspíše i nižší pokuta, pokud k něčemu dojde.
   • Logování neúspěšných přihlášení – pokud se někdo snaží nabourat do vašeho systému pomocí bruteforce metody (tj. zkoušení nejčastějších hesel a podobně), může být mechanismus, který zaznamenává tyto neúspěšné pokusy o přihlášení, pro vás užitečným varováním. Pokud například vidíte, že se u jednoho uživatele neustále opakuje neúspěšný pokus o přihlášení, můžete začít řešit příčinu tohoto problému (například zjistit, že uživatel má nainstalovaný nežádoucí software, nikoli jen špatně zapamatované heslo).
   • Manuální kontrola zdrojových kódů – máme něco na webu, co nám sbírá data z formulářů, odchytává hesla apod. Také velice častá chyba, na kterou je někdy dosti složité přijít.

Cookie lišta – cookie bar z 1.2.2022: Jak by měla vypadat nově?

V roce 2022 nastávají změny v pravidlech pro ukládání cookies na webech, díky novému zákonu o elektronických komunikacích.

Do konce roku 2021 mohli provozovatelé webů ukládat cookies pomocí principu „opt-out“. To znamenalo, že pokud uživatel neudělil výslovný souhlas a neklikl na tlačítko „souhlasím“, nebo pokud ignoroval cookies lištu, cookies se ukládaly automaticky. Nicméně, tento princip od začátku roku 2022 již neplatí.

Přesto ale spousta provozovatelů, pokud vůbec cookie lištu mají, používají řešení na bázi opt-out. 

Ještě jedna malá vsuvka – co to jsou soubory cookies? Cookies jsou malé soubory, které webové stránky ukládají na počítač uživatele a slouží k ukládání informací o jeho aktivitách na dané stránce. Tyto soubory však mohou být zároveň použity k shromažďování a zpracování osobních údajů uživatele, což se v dnešní době stává velkým tématem ochrany soukromí.

Dnes již tedy je nedostatečující, pokud vám na webu uživatel pouze potvrdí větu „Souhlasím s používáním cookies.“ Automatické ukládání cookies také není možné, pokud uživatel ignoruje výzvu a pokračuje v prohlížení stránky.

Nový zákon předpokládá používání principu „opt-in“. Dokud tedy uživatel výslovně nesouhlasí se zpracováním jeho dat, nesmí být shromažďována žádná uživatelská data.

Nově musí být uživateli nabídnuta možnost vybrat si, jaký druh cookies mohou být na webových stránkách ukládány. Základní webové funkce jsou zajištěny automaticky ukládanými nezbytnými technickými cookies a funkčními cookies, které pomáhají přizpůsobit nastavení stránky, jako například jazyk.

V čem se dosti liší samotné nastavení web od webu je pak pochopení definice, co spadá pod nezbytné technické cookies a co pod funkční (kde již potřebujete aktivní souhlas uživatele).

Jaké jsou významné změny v cookie policy a u cookie lišty?

• Uživatelé musí aktivně vyjádřit svůj souhlas s ukládáním cookies kliknutím na tlačítko „Souhlasím“.
• Uživatelé si musí vybrat, jaké druhy cookies chcou povolit, aniž by byly nějaké automaticky nastaveny jako výchozí.
• Pokud uživatel nesouhlasí s ukládáním cookies, nesmí být žádná data o něm zpracovávána.
• Uživatelé, kteří nesouhlasí s ukládáním cookies, mohou web stále prohlížet bez omezení.

Jaké druhy cookies mohou uživatelé vybrat?

• Marketingové cookies – souhlas s těmito cookies umožňuje lepší cílení reklam a personalizaci reklamních sdělení a pomáhá s vyhodnocováním marketingových akcí.
• Analytické cookies – tyto cookies slouží například k analýze návštěvnosti a sbírání dat o chování uživatelů.
• Personalizační (funkční) cookies – tyto cookies pomáhají s přizpůsobením webu pro daného uživatele.

Jak musí nová cookies lišta vypadat?

• Nová změna zákona počítá s používáním tzv. „opt-in“ principu (již bylo zmíněno výše). To znamená, že uživatel musí aktivně vyjádřit svůj souhlas se zpracováním cookies. Stačit nebude pouhé ignorování výzvy k souhlasu nebo kliknutí na tlačítko „souhlasím“. Toto pravidlo se týká všech druhů cookies, tedy i nezbytných technických a funkčních cookies.
• Tlačítka „Souhlasím“ a „Nesouhlasím“ by měla být ve stejném designu. Žádné z nich by nemělo působit jako preferované.Když se však podíváte na design jednotlivých webů, tak zjistíte, že se tímto pravidlem v podstatě nikdo neřídí.Je důležité také dbát na to, aby cookies lišta nebyla zbytečně rušivá a aby nezasahovala do uživatelského zážitku na webu.
• Odhlášení cookies by mělo být stejně složité jako udělení aktivního souhlasu (tzn. neměli byste tlačítko pro nesouhlas schovávat na dalším kroku atd.). Obecně i zde platí, že toto běžně všechny firmy v podstatě porušují.
• Uživatel si vybírá, jaké cookies chce zpracovávat, ale nesmí mu být předem nabízené zaškrtnuté výchozí možnosti.
• I když nebude uživatel se zpracováním cookies souhlasit, může si i nadále procházet daný web, a to bez jakýchkoliv omezení. Nesmí tedy na něj při každém kliknutí vyskakovat cookies lišta a tak podobně. Na druhou stranu spousta nástrojů k tomu určených umožňují například v rámci 7-denního okna zobrazit požadavek na udělení souhlasu znova, pokud již tak uživatel neučinil.
• Cookies lišta musí být snadno viditelná a srozumitelná pro uživatele. To znamená, že by měla být umístěna na dobře viditelném místě na webu a její obsah by měl být psán jasným a srozumitelným jazykem. V případě, že uživatelé nebudou mít jasno v tom, jak cookies lišta funguje, jaká data sbírá a proč, mohou být ochotni ji ignorovat a tím ztrácíte možnost získat jejich souhlas s používáním cookies.
• Provozovatelé webů by měli umožnit uživatelům změnit své preference ohledně cookies kdykoli během své návštěvy na stránce. To znamená, že cookies lišta by měla umožňovat uživatelům měnit svá nastavení bez nutnosti opustit web. Měli by také mít možnost své preference kdykoli změnit v podstatě na každé stránce webu.
• Uživatelé by měli být informováni o tom, jak dlouho jsou jejich cookies uchovávány. Provozovatelé webů by měli uvádět dobu, po kterou jsou cookies uchovávány, a ujistit se, že tato doba odpovídá platným právním předpisům.
• Cookies lišta by měla obsahovat informace o tom, kdo zpracovává uživatelské údaje. Tento údaj by měl být jasně uveden, aby uživatelé mohli vědět, kdo bude jejich osobní údaje zpracovávat.
• Cookies lišta by měla být přizpůsobitelná podle typu webu a podle cílové skupiny uživatelů. To znamená, že provozovatelé webů by měli zvážit, jaké druhy cookies jsou pro jejich stránky nejvhodnější a jaký design cookies lišty by nejlépe odpovídal požadavkům jejich uživatelů.
• Cookies lišta by měla být pravidelně aktualizována a měla by být v souladu s aktuálními právními předpisy. To znamená, že pokud jste přidali nějaké další marketingové kódy nebo trackery, měla by toto lišta reflektovat.

Pověřenec / ověřenci osobních údaju pro účely GDPR

Vstupem v platnost nařízení GDPR v květnu 2018 bylo povinné pro firmy zabezpečit ochranu osobních údajů. Aby se tohoto úkolu mohly co nejlépe a nejefektivněji zhostit, mnoho společností se rozhodlo pro jmenování pověřence osobních údajů.

Pověřenec osobních údajů (dále jen POÚ) je v podstatě osoba, která byla vyslána společností s úkolem zajistit ochranu osobních údajů podle GDPR. Jde o klíčovou osobu, která je zodpovědná za správné implementování a dodržování GDPR v dané firmě. Jeho úkolem je nejen chránit osobní údaje, ale také udržovat stále aktuální informace o změnách v oblasti GDPR a informovat firmu o potřebných krocích pro dodržení těchto změn.

Pověřenec osobních údajů by měl být kvalifikovaný a měl by mít dostatečné vzdělání a znalosti v oblasti GDPR. V ideálním případě by měl být člověkem, který se již zabývá problematikou ochrany osobních údajů a měl by mít zkušenosti s GDPR. Tento člověk by měl mít také dobré komunikační schopnosti a být schopný vysvětlit složité koncepty GDPR ostatním zaměstnancům v jazyce, kterému všichni rozumí.

Pověřenec osobních údajů by měl mít také přístup k potřebným zdrojům a nástrojům, které jsou nutné pro správnou implementaci GDPR v dané firmě. To může zahrnovat softwarové nástroje, jako jsou systémy pro správu osobních údajů, nebo externí poradenské služby, které mohou pomoci s poradenstvím v oblasti GDPR.

Kromě zabezpečení ochrany osobních údajů a dodržování GDPR má pověřenec osobních údajů také další úkoly. Mezi ně patří vedení evidence o zpracování osobních údajů, sledování případných bezpečnostních incidentů a přijímání opatření k minimalizaci rizika.

Pověřenec osobních údajů by měl také být schopen zodpovědět otázky a poskytnout potřebné informace jak ze strany zaměstnanců, tak i od úřadů a dalších třetích stran, které se zabývají ochranou osobních údajů. To zahrnuje například odpovědi na dotazy ohledně zpracování osobních údajů, informace o konkrétních postupech a opatřeních k zajištění ochrany osobních údajů, či řešení případných stížností od zaměstnanců nebo jiných subjektů. Je tedy velmi důležité, aby pověřenec osobních údajů byl dobře informovaný a obeznámený se všemi relevantními právními předpisy a postupy. Musí být také schopen se neustále vzdělávat a aktualizovat své znalosti v oblasti ochrany osobních údajů, aby mohl efektivně plnit své povinnosti. Kromě toho by měl pověřenec osobních údajů pravidelně provádět interní kontrolu zpracování osobních údajů, aby zajistil dodržování předpisů o ochraně osobních údajů. Při této činnosti by měl identifikovat možné nedostatky v ochraně osobních údajů a navrhovat opatření k odstranění těchto nedostatků. Pověřenec osobních údajů také musí být schopen spolupracovat se zaměstnanci, kteří mají přístup k osobním údajům, a zajistit, aby se tito zaměstnanci řídili příslušnými postupy a předpisy týkajícími se ochrany osobních údajů. To zahrnuje například školení zaměstnanců v oblasti ochrany osobních údajů, kontrolu přístupu k osobním údajům a sledování zpracování osobních údajů. V neposlední řadě je důležité, aby pověřenec osobních údajů měl nezávislé postavení ve společnosti a měl zaručenou ochranu proti jakýmkoliv represáliím za plnění svých povinností. Měl by také mít možnost se obracet přímo na vedení společnosti, pokud by zjistil nějaké nedostatky v ochraně osobních údajů.

V současné době je pověřenec osobních údajů povinný u velkých firem a organizací. Proč?

Pověřenec osobních údajů je povinný u velkých firem a organizací, pokud tyto organizace pravidelně a systematicky zpracovávají osobní údaje nebo pokud se zabývají zpracováním osobních údajů zvláštních kategorií (například údaje o zdraví, náboženské či etnické informace apod.). V praxi se pověřenec osobních údajů stává stěžejním prvkem zabezpečení ochrany osobních údajů v organizaci. Jeho úkolem je nejen zajistit dodržování právních předpisů, ale také pomáhat organizaci při případných problémech s ochranou osobních údajů a zajišťovat jejich bezpečné zpracování.

Požadavky na to, kdo potřebuje pověřence pro ochranu osobních údajů (DPO – Data Protection Officer), jsou stanoveny v GDPR.

Podle GDPR je povinnost mít pověřence pro ochranu osobních údajů u organizací, které zpracovávají osobní údaje, pokud:

• je to veřejná instituce nebo orgán, kromě soudů, které jednají v rámci své soudní činnosti,
• hlavní činností organizace spočívá ve zpracování, které vyžaduje pravidelné a systematické sledování subjektů dotčených osobními údaji ve velkém rozsahu,
• hlavní činností organizace spočívá ve zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se odsouzení a trestů,
• organizace zpracovává osobní údaje na velkou škálu a neustále.

Definice „velká firma“ se v GDPR nevyskytuje, ale obecně se jedná o organizace, které zpracovávají velké množství osobních údajů a/nebo mají velký počet zaměstnanců a/nebo vysoký obrat.

V každém případě je vhodné poradit se s odborníkem na ochranu osobních údajů a zvážit, zda je pro vaši organizaci potřebné mít pověřence pro ochranu osobních údajů.

GDPR pravidla k internetovým obchodům a pro e-shopy

Základní informace pro e-shopy

Vzhledem k účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), vyhotovil Úřad pro ochranu osobních údajů (dále jen „Úřad“) tyto základní informace, které by primárně měly sloužit jako základní pomůcka pro menší internetové obchody. Zároveň jsou v popisu níže poskytnuty informace o možnostech šíření obchodních sdělení.

Na co se GDPR vztahuje?

Na zpracování osobních údajů, ledaže by se jednalo o zpracování pro výlučně domácí či osobní činnosti fyzické osoby. V případě provozování internetového obchodu se jedná o zpracování osobních údajů zákazníků – fyzických osob a též i vlastních zaměstnanců, pokud je internetový obchod má. Zpracování osobních údajů při provozování internetového obchodu tak spadá pod GDPR.

Co učinit nejdříve?

Pokud chce mít internetový obchod zpracování osobních údajů v pořádku, musí nejdříve zjistit, jaké osobní údaje zpracovává. To je ideální vlastními silami a nemělo by to být těžké. Na základě poznatků, od koho získává osobní údaje (zákazníci, zaměstnanci), pro jaké účely (u zákazníků: vypořádání objednávky, doručení zboží, reklamační, archivační účely; u zaměstnanců: účely pracovněprávní), v jakém rozsahu (u zákazníků: identifikační, adresní, platební atd.; u zaměstnanců: identifikační, adresní, mzdové atd.), může internetový obchod uvést zpracování do souladu s GDPR. K tomu je nutné i znát, jaká pravidla pro zpracování platí a i význam některých definic.

Osobním údajem se dle GDPR rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž tato osoba je v kontextu zpracování osobních údajů označována jako subjekt údajů. Zda informace je či není osobním údajem, je třeba posuzovat v kontextu daného zpracování. Pokud lze z daného souboru informací, při využití všech rozumně předvídatelných prostředků, určit konkrétní osobu, jsou tyto informace osobními údaji. Pro zjednodušení lze uvést, že při provozování internetového obchodu dochází vždy ke zpracování osobních údajů zákazníků – fyzických osob a též i zaměstnanců, pokud internetový obchod nějaké má.

Ten, kdo osobní údaje zpracovává, je správcem osobních údajů. Tím je pro účely tohoto dokumentu internetový obchod (pokud je to právnická osoba, tak tato právnická osoba, pokud internetový obchod provozuje živnostník – fyzická osoba, je správcem fyzická osoba podnikající, která obchod provozuje).
Pokud je správce (v tomto případě internetový obchod) usazen v Evropské unii, je třeba postupovat při zpracování osobních údajů osob podle GDPR, bez ohledu na to, z jaké země jsou zákazníci, tj. stejnou úroveň ochrany musí poskytovat internetový obchod zákazníkovi z České
republiky i z jiného státu.

Pro další poznání GDPR doporučujeme přečíst si Základní příručku k GDPR: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744, případně ještě předtím si přečíst Desatero zpracování pro správce https://www.uoou.cz/desatero-zpracovani-prospravce/ds-4821/p1=4821.

Jakým způsobem nastavit v e-shopu systém zpracování a ochrany údajů?

Každé zpracování osobních údajů by mělo splňovat základní podmínky, které lze nazvat zásady zpracování. Jde o zevšeobecnění principů, na kterých je ochrana osobních údajů při jejich zpracování postavena.

Těmito zásadami jsou:

• Zásada zákonnosti zpracování osobních údajů
• Zásada přesnosti
• Zásada omezení účelu
• Zásada minimalizace údajů
• Zásada omezení uložení
• Zásada integrity a důvěrnosti

Zásada zákonnosti zpracování osobních údajů

Zpracování osobních údajů se vždy děje pro nějaký účel, který správce definuje. Proto osobní údaje shromažďuje a zpracovává. Účel zpracování osobních údajů by měl být vždy legitimní.

Činnost internetového obchodu a s ní spojené nezbytné zpracování osobních údajů legitimní je. V závislosti na účelu zpracování se dále odvíjí to, zdali správce může zpracovávat osobní údaje bez souhlasu či se souhlasem. Internetový obchod souhlas nepotřebuje, pokud osobní údaje zákazníků zpracovává pro účely vyřízení objednávky (splnění smlouvy se zákazníkem) a povinné uchování dokumentace spojené s obchodem a při zpracování osobních údajů, emailových adres, svých zákazníků za účelem přímého marketingu (k přímému marketingu viz závěr tohoto dokumentu). Stejně tak nepotřebuje souhlas se zpracováním osobních údajů
zaměstnanců při plnění povinností vyplývajících z pracovněprávních předpisů.

Častým problémem při zpracování osobních údajů v internetových obchodech je nadužívání souhlasu jako právního důvodu zpracování. Souhlas se zpracováním osobních údajů nemůže být vyžadován pro ta zpracování, která jsou prováděna z již zmíněného důvodu plnění smlouvy se subjektem údajů nebo pro plnění zákonem stanovené povinnosti. Pokud bude správce souhlas v takových případech vyžadovat a získávat, vystavuje se nebezpečí, že bude v subjektech údajů mylně vyvoláván dojem, že dané zpracování bude ukončeno, pokud svůj souhlas odvolají.

Zpracování osobních údajů v internetových obchodech je totiž prováděno převážně v rámci obchodních vztahů mezi internetovým obchodem a zákazníky, proto je primárním právním důvodem zpracování osobních údajů plnění smlouvy se subjektem údajů. Pro zpracování pro tento účel se souhlas zákazníků neuplatní, pokud je tedy zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů. Typicky zákazník si objedná zboží, které mu internetový obchod dodá. K tomu jsou nezbytné určité osobní údaje, které obchod po jejich vyplnění zákazníkem legitimně využívá pro splnění smlouvy s ním.

Stejně tak se souhlas nepoužívá, pokud jsou osobní údaje zpracovávány pro účely plnění právní povinnosti, která se na správce vztahuje. Tento právní důvod odůvodňuje provádět zpracování, které je nutné ke splnění právních povinností, které mu ukládá právo Evropské unie, České republiky, či jiného členského státu. V kontextu internetových obchodů se bude nejčastěji jednat o povinnosti vyplývající z daňových a účetních předpisů, tj. povinné uchování dokumentů, byť obsahují osobní údaje.

Při zpracování osobních údajů v internetových obchodech lze v některých případech využít i právní důvod oprávněný zájem správce či jiné osoby. Jde o zpracování, které lze z hlediska správce považovat za oprávněné ve vztahu k subjektu údajů, aniž by potřeboval od subjektu údajů souhlas. Podmínkou však je, že takové zpracování nesmí uskutečňovat, pokud před ním mají přednost zájmy nebo základní práva a svobody subjektu údajů.

V prostředí internetového obchodu se může jednat např. o vedení interního black listu osob, které se dopouštějí protiprávního jednání vůči obchodu či opakovaně zneužívají práv, aby obchod poškodily. Vedení takového black listu však musí být pečlivě odůvodněno a zařazena na něj může být pouze osoba, u níž skutečně převládá zájem správce (ochrana práv správce) na jejím zařazení do black listu. Black list zpravidla nelze sdílet s jinými internetovými obchody či subjekty, slouží čistě pro vnitřní potřebu správce.

Oprávněným zájmem internetového obchodu je i vymáhání pohledávek v intencích právního řádu. Za oprávněný zájem lze považovat i zpracování osobních údajů pro účely přímého marketingu (k přímému marketingu viz závěr tohoto dokumentu).

Pokud nebude možné využít žádný z výše uvedených právních důvodů zpracování, musí provozovatel internetového obchodu požádat subjekty údajů o souhlas se zpracováním pro v souhlasu definované účely, a pokud mu jej subjekt údajů udělí, může takové zpracování provádět. Jak vyplynulo ze shora uvedeného, pro běžné a základní činnosti nepotřebuje internetový obchod souhlas zákazníků ani případných zaměstnanců.

Pokud by internetový obchod usoudil, že pro některý účel zpracování je nutný souhlas, je třeba dbát na některé aspekty souhlasu. Předně musí být souhlas se zpracováním osobních údajů dán svobodně a být oddělen od jiných ujednání, tj. nelze jej bez dalšího uvádět jako součást smlouvy či obchodních podmínek. Naopak,souhlas by měl být potvrzen samostatným úkonem (při zpracování osobních údajů v internetovém obchodu se bude nejčastěji jednat o zaškrtnutí
políčka zákazníkem). Pokud bude chtít prodejce mít souhlas přímo ve smlouvě, pak je nutné dodržet, aby skutečně souhlas byl dán aktivním jednáním zákazníka, tj. aby souhlas nebyl dopředu předpokládán zaškrtnutým políčkem, ale políčko musí zaškrtnout sám zákazník.

Souhlas se zpracováním osobních údajů je vždy odvolatelný. Pokud správce zpracovává osobní údaje na základě souhlasu, musí být připraven na ukončení zpracování pro účel, ke kterému byl souhlas udělen, v případě odvolání souhlasu a být si vědom dalšího postupu, pokud taková okolnost nastane.

Zásada přesnosti

Správce by měl v rámci možností zpracovávat přesné osobní údaje. Provozovatel internetového obchodu má obecně nastavit přiměřeně své postupy tak, aby minimalizoval riziko zpracování nepřesných osobních údajů, nejenom vzhledem k úpravě ochrany osobních údajů, ale i proto, že nepřesné osobní údaje mohou způsobit například nedodání zboží zákazníkovi.

Zásada omezení účelu

Tato zásada stanoví, že správce má shromažďovat osobní údaje pouze k určitému účelu a následně zpracovávat osobní údaje pouze způsobem, který je s tímto účelem slučitelný. Jinými slovy, obchod získává primárně osobní údaje pro plnění smlouvy a k tomu je též musí využívat. Účelem zpracování, který je v souladu s touto zásadou, je též povinné uchování dokumentů spojených s obchodem. Viz zásada zákonnosti.

Zásada minimalizace údajů

S účelem zpracování osobních údajů souvisí i zásada minimalizace údajů. Aby bylo zpracování v souladu s touto zásadou, měl by správce zpracovávat osobní údaje pouze v rozsahu nezbytně nutném pro splnění daného účelu zpracování. Správce by proto měl být vždy schopen odůvodnit rozsah zpracovávaných osobních údajů.

V praxi by tedy internetový obchod měl od nakupujících a dalších osob shromažďovat pouze nezbytně nutné údaje (zpravidla údaje nutné k identifikaci kupujícího, kontaktní údaje, osobní údaje nutné k doručení a uhrazení kupní ceny). Stejně tak od zaměstnanců by měl shromažďovat jen ty osobní údaje, které jsou nutné pro uskutečňování pracovněprávního vztahu.

Zásada omezení uložení

Zásada omezení uložení stanovuje, že správce má údaje ukládat (zpracovávat) pouze po dobu nezbytně nutnou ke splnění účelu zpracování a poté by je měl zlikvidovat. Jinými slovy, není povinností internetového obchodu ihned likvidovat smluvní dokumentaci, byť by o to požádal zákazník nebo zaměstnanec, pokud neuplynula doba nutná ke splnění původního účelu.

Naopak, internetový obchod není oprávněn držet aktivní registrovaný profil zákazníka poté, co zákazník projevil vůli, že již nechce být registrován (chce zrušit registraci). Zrušení registrace nic nemění na tom, že internetový obchod může interně vést potřebné údaje po nezbytnou dobu pro účely reklamace či daňové nebo účetní.

Zásada integrity a důvěrnosti

Internetový obchod by měl mít přijata opatření chránící osobní údaje zákazníků nebo zaměstnanců. Zabezpečení by mělo být vždy vyvážené ve vztahu k charakteru zpracování, jeho riziku, rozsáhlosti, ale i podmínkám správce. K některým praktickým aspektům zabezpečení viz dále.

Záznamy o činnostech zpracování

Každý provozovatel internetového obchodu by měl vést záznamy o činnostech zpracování. Tyto záznamy slouží do jisté míry jako náhrada zrušené oznamovací povinnosti Úřadu a správce by je měl na požádání předložit Úřadu pro základní orientaci v jeho zpracování osobních údajů. Záznamy by tak měly v obecné míře reflektovat prováděné zpracování. Vedení záznamů se vyplatí i samotnému správci, jelikož jde o obecné zachycení informací o zpracování, které provádí, což mu přinese lepší orientaci v jím prováděném zpracování.

Tuto tabulku není možné bez dalšího použít v každém internetovém obchodě, provozovatelé by s ohledem na své zpracování měli informace upravit tak, aby záznamy skutečně odpovídaly jejich zpracování osobních údajů. Pokud internetový obchod nerozesílá obchodní sdělení ani neprovozuje jiný přímý marketing, měl by odstranit informace o tomto zpracování. Naopak, internetové obchody, které mají zaměstnance, by měly vypracovat záznam týkající se zpracování osobních údajů svých zaměstnanců. Záznamy o činnostech zpracování je nutné v případě potřeby (změny skutečností, ze kterých vycházejí) aktualizovat.

Jak má internetový obchod informovat zákazníky o zpracování jejich osobních údajů?

Velmi významným prvkem při zpracování osobních údajů je transparentnost, která je i jednou ze zásad zpracování. Správce má povinnost informovat subjekt údajů o zpracování jeho osobních údajů v okamžiku získání údajů od subjektu údajů. V internetových obchodech je zpravidla třeba předat zákazníkovi informace před odesláním (dokončením) objednávky. Je tak možné učinit odkazem na informace o zpracování osobních údajů (např. pokud na něj zákazník klikne, objeví se nové okno nebo vyskakovací okno v rámci otevřeného okna). Informace o zpracování osobních údajů je vhodné mít současně zpracované i jako obecnou informaci, na níž obchod odkazuje např. v zápatí úvodní stránky spolu s dalšími odkazy, kterou si může potenciální zákazník přečíst ještě před započetím objednávání zboží či služby. Rozsah poskytovaných informací se bude lišit v závislosti na šíři prováděného zpracování, avšak lze pro účely základní činnosti internetového obchodu spatřovat následující minimum:

• Kdo je správce (identifikační údaje provozovatele internetového obchodu).
• Účel zpracování (vypořádání objednávky, evidenční účely, přímý marketing).
• Právní základ zpracování (plnění smlouvy se subjektem údajů, plnění právní povinnosti, oprávněné zájmy správce u přímého marketingu).
• Možnost vyslovit námitku proti využívání kontaktu pro přímý marketing (pokud jsou kontakty využívány pro přímý marketing).

Nad rámec uvedeného minima lze rozpracovat, např. do další rozkliknutelné vrstvy, další informace, a to především dobu uchování osobních údajů, možnost odvolání souhlasu, pokud je některé zpracování založeno na souhlasu, a též uvést, zdali poskytnutí údajů je zákonným požadavkem či nikoli. Shora uvedené informace by měly být poskytnuty srozumitelnou podobou, a to od těch nejdůležitějších, po ty „méně“ podstatné.

Jaká má zákazník práva?

Zákazníci či další osoby, jejichž osobní údaje jsou zpracovávány (např. izaměstnanci), mají práva, která mohou uplatňovat. Text se dále z praktických důvodů věnuje zákazníkům. Zákazník má právo získat přístup k osobním údajům, které se ho týkají. Toto právo především spočívá v získání potvrzení, že osobní údaje o něm internetový obchod zpracovává, a dále má právo na určité informace, jako je účel zpracování, kategorie dotčených osobních údajů, plánovaná doba jejich zpracování atd. Viz Základní příručka k GDPR část 6 Práva subjektu údajů. Zákazník má právo i na opravu nepřesných údajů, popřípadě omezení zpracování, a vznést námitku proti zpracování především pro účely přímého marketingu (jednoduše, když vysloví vůli, že nechce od internetového obchodu dostávat obchodní sdělení, byť je jeho zákazníkem, musí internetový obchod jeho vůli respektovat). Výmaz údajů se uskuteční především tehdy, pokud již osobní údaje nejsou potřeba k žádnému účelu, pro který je internetový obchod zpracovával. Pokud byla uzavřena smlouva mezi internetovým obchodem a zákazníkem, nemůže zákazník požadovat autoritativně výmaz všech osobních údajů, pokud internetový obchod osobní údaje zpracovává pro plnění smlouvy se zákazníkem, plnění zákonem stanovených povinností (stanovená doba uchování dokladů), či je potřebuje pro uplatnění právních nároků.

Může si internetový obchod najmout zpracovatele?

Pokud bude za internetový obchod provádět zpracování na základě pověření jiný subjekt (i částečně), tak v takovém případě je pověřený subjekt v pozici tzv. zpracovatele. Typickým zpracovatelem je např. externí účetní, nebo pokud by internetové řešení obchodu bylo poskytováno třetí stranou, u které by docházelo zároveň k ukládání dat (např. zákaznické databáze) nebo by tato třetí strana prováděla i rozsáhlejší údržbu systému, zahrnující i osobní údaje. Zpracovatel naopak není subjekt, který internetovému obchodu pouze provede jednoduchou opravu IT zařízení, byť může při této činnosti mít přístup k datům. I v takovém případě je však nezbytné opravu IT zařízení smluvně ošetřit, zejména ve vztahu k zabezpečení osobních údajů (a i jiných informačních aktiv). Správce musí se zpracovatelem uzavřít smlouvu o zpracování, či jiné podobné ujednání, ve které upraví podmínky zpracování prováděného zpracovatelem pro správce. Nemusí se jednat o samostatnou smlouvu, podstatné je, aby určené náležitosti vyplývaly z písemného závazného dokumentu mezi správcem a zpracovatelem. Všechny náležitosti, které by toto ujednání mělo splňovat, jsou vyjmenovány v ustanovení čl. 28 odst. 3 GDPR.

Ujednání mezi správcem a zpracovatelem by mělo především obsahovat předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorii subjektů údajů, povinnosti a práva správce a zpracovatele. Při využití zpracovatele je nutné mít stále na paměti, že správce se využitím zpracovatele nikdy nezbaví své odpovědnosti a že nese za jeho výběr odpovědnost. Proto tento výběr musí být obezřetný a pečlivý. Více ke vztahu správce zpracovatel Základní příručka k GDPR část 7 Správce, zpracovatel.

Jak má internetový obchod zabezpečit osobní údaje?

Opatření k zajištění zabezpečení osobních údajů mohou být různé povahy. Vždy vyplývají z okolností daného správce, které má každý jiné. Internetový obchod bude z povahy věci řešit především zabezpečení svého IT rozhraní. Provozovatel internetového obchodu by měl přijmout vhodná technická opatření, která mohou mít povahu fyzického zabezpečení (zámky a podobně) i softwarové.

Pokud jsou do formulářů na stránkách internetového obchodu zadávány osobní údaje, je nutné tento přenos ochránit (zpravidla pomocí šifrovaných protokolů, např. SSL). Nosiče, na kterých jsou uloženy osobní údaje, by měly být zabezpečeny příslušným softwarem (antivirová ochrana a podobně). Pokud se na provozu internetového obchodu podílí více lidí, měla by být nastavena odpovídající organizační opatření, která omezí přístup osob k osobním údajům, pokud to není nutné pro zpracování těchto údajů.

Tj. přístup k osobním údajům by neměl být neomezený pro všechny zaměstnance, ale přístup by měli mít jen ti, kteří pro svoji činnost přístup potřebují.

Co dělat v případě bezpečnostního incidentu zahrnujícího osobní údaje (např. krádež dat nebo jejich protiprávní zašifrování)?

Ani při přijetí všech vhodných opatření k zajištění zabezpečení osobních údajů není možné vyloučit, že nedojde k porušení zabezpečení osobních údajů. Porušení zabezpečení mohou spadat do několika kategorií:

• Neoprávněný přístup k osobním údajům (například následkem úniku celé databáze).
• Neoprávněné pozměnění osobních údajů.
• Zničení osobních údajů (například v důsledku zničení pevného disku).
• Ztráta přístupu k osobním údajům (například v důsledku DoS či ransomwarového útoku).

Některá porušení zabezpečení mohou patřit i do více kategorií, například při ztrátě nezabezpečeného disku, ke kterému neexistuje záloha, dochází zároveň ke ztrátě údajů i k jejich možnému zpřístupnění jiným osobám. Byť není šifrování databáze povinné, může být v některých případech vhodné. Lze doporučit provádět pravidelné zálohování, které může internetový obchod zachránit právě v situacích, kdy dojde např. k nechtěnému smazání dat či jejich protiprávnímu zašifrování. O každém porušení zabezpečení je třeba vytvořitzáznam.

Tento záznam by měl dokumentovat, k jakému porušení zabezpečení došlo a jaké byly důsledky tohoto porušení a jaká opatření byla přijata v reakci na toto porušení zabezpečení. Pokud by porušení zabezpečení představovalo riziko pro zákazníky (např. by unikly přihlašovací údaje nebo by unikla databáze o nákupech osob v obchodě), je takové porušení zabezpečení nutné ohlásit Úřadu, a to do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Úřadu není nutné hlásit porušení zabezpečení, pokud nebude pravděpodobně představovat riziko pro subjekty údajů, například ztrátu zašifrovaného disku s databází zákazníků (pokud existuje záloha) nebo kratší nepřístupnost cloudového úložiště, na kterém jsou uloženy osobní údaje.

Oznámení Úřadu by mělo obsahovat:

1. Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů.
2. Kontakt na osobu, která může poskytnout bližší informace.
3. Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
4. Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

O závažných porušeních zabezpečení, která mají za následek vysoké riziko pro subjekt údajů (například pokud dojde k úniku celé zákaznické databáze obchodu, který prodává sexuální pomůcky či zdravotní potřeby), by měl správce informovat zároveň všechny dotčené zákazníky. Míru rizika vždy posuzuje správce.

Více k porušení zabezpečení zde: https://www.uoou.cz/poruseni-zabezpeceni/ds5020/p1=5020.

Otázky a odpovědi

Zákazník napsal o mém obchodu negativní recenzi, jak se mohu bránit?

Pokud se provozovatel internetového obchodu chce bránit proti nařčením, která považuje za nepravdivá, zavádějící a podobně, neměl by v rámci své reakce na recenzi zveřejňovat osobní údaje zákazníka, neboť zákazník předal internetovému obchodu své osobní údaje za účelem plnění smlouvy. Jejich zveřejnění není v souladu s účelem, k němuž byly osobní údaje shromážděny. Může však samozřejmě uvést okolnosti případu. Pokud se internetový obchod domnívá, že recenze je lživá, poškozuje jej, měl by věc řešit s provozovatelem portálu, kam byla recenze umístěna. K vyvrácení lživých informací může provozovateli portálu poskytnout i nezbytné informace. Běžnou kritiku internetového obchodu však nelze považovat za lež. V případě závažné lživé recenze je možná soudní obrana.

Kde se mám registrovat, pokud zpracovávám osobní údaje?

GDPR registrační povinnost ruší, správci už se u Úřadu registrovat nemusí. Na místo toho mají mít vypracovány zejména záznamy o činnostech zpracování. Viz výše.

Jak mám nastavit cookies na webu obchodu?

Pro cookies, které jsou nezbytně nutné pro zajištění provozu webových stránek a internetových služeb, není nutno získat souhlas uživatele. Pro ostatní cookies, typicky využívané jako marketingové nástroje, se vyžaduje souhlas uživatele.

Obchodní sdělení

Podmínky šíření obchodních sdělení upravuje zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, který definuje obchodní sdělení v  § 2 písm. f) jako každou formu sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost. Tímto zákonem jsou chráněny i elektronické kontakty právnických osob. Jde o speciální úpravu mající za cíl ochranu elektronických kontaktů před jejich zahlcením nevyžádanými obchodními sděleními. K šíření obchodních sdělení je tak nutné dodržovat i pravidla stanovená právě zákonem č. 480/2004 Sb., o kterých bude dále text.

Co se rozumí obchodním sdělením?

Z výše uvedené definice obchodního sdělení je zřejmé, že do pojmu obchodní sdělení je nutné zařadit širokou škálu zpráv, které obchodník zasílá svým stávajícím či potenciálním zákazníkům, a to různými elektronickými prostředky. V praxi však drtivě převažuje e-mailová forma a s velkým odstupem následují SMS zprávy a s dalším odstupem kanály jako zprávy na sociálních sítích či tzv. push notifikace. Obsahem jde především o klasické newslettery, nabídky zboží či služeb. Za obchodní sdělení je též nutné považovat zaslání např. i přání k Vánocům či narozeninám, jelikož i taková zpráva buduje u zákazníka povědomí o značce a pozitivně propaguje podnikatele. Za obchodní sdělení je nutné také považovat i žádost o vyslovení souhlasu se zasíláním obchodních sdělení nebo zaslání prostého odkazu na přístup k internetovým stránkám podnikatele.

Za obchodní sdělení se naopak nepovažují patičky v e-mailu obsahující např. odkaz na internetové stránky odesílatele, pokud jsou používány jako součást podpisu odesílatele v běžné elektronické komunikaci. Za obchodní sdělení se též nepovažují čistě technické zprávy, a to i ve chvíli, kdy příjemce, který je zákazníkem, již dříve zasílání obchodních sdělení odmítl (např. informace o uzavření pobočky, informace o odstávce webového obchodu, změny otvírací doby, změna obchodních podmínek, apod.). Nicméně takovéto zprávy je vyloučeno zasílat osobám, které nejsou zákazníky.

Za jakých podmínek je možné obchodní sdělení šířit?

Šíření obchodních sdělení vůči zákazníkům

U internetového obchodu se v prvé řadě nabízí šíření obchodních sdělení vůči vlastním zákazníkům. Jelikož mezi zákazníkem a obchodem již existuje vztah, nepovažuje se šíření obchodních sdělení zákazníkům ze strany obchodu a priori za obtěžující. Z tohoto důvodu zákon č. 480/2004 Sb. umožňuje zasílat obchodní sdělení vlastním zákazníkům, bez nutnosti získávat jejich souhlas (jinými slovy, lze zákazníkům šířit obchodní sdělení bez souhlasu).

Konkrétně ustanovení § 7 odst. 3 zákona č. 480/2004 Sb. zní: „pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl“.

V praxi to znamená, že pokud např. provozovatel internetového obchodu prodá zákazníkovi notebook, může na e-mail získaný v souvislosti s tímto prodejem zaslat nabídku, zdali si zákazník nechce pořídit např. brašnu na notebook či jiné příslušenství, a to za předpokladu, že zákazník při objednávce (či později) neodmítl takové využití elektronického kontaktu. Lze mu zaslat i newsletter obchodu či jinou obdobu obchodního sdělení (např. přání k narozeninám se slevovým kupónem atd.). Za zákazníka v uvedeném smyslu však nelze považovat např. osobu, která se pouze dotáže na dostupnost zboží atd.

Šíření obchodních sdělení vůči „nezákazníkům“

Další možností, jak šířit obchodní sdělení, tentokrát vůči „nezákazníkům“, tedy osobám, se kterými nemá internetový obchod doposud zákaznický vztah, je souhlas držitele elektronického kontaktu. Souhlas může být učiněn např. zapsáním e-mailové adresy do pole, které je k tomu na internetových stránkách určené (např. „zadejte svoji e-mailovou adresu, pokud si přejete dostávat od naší společnosti novinky“).

V takovém případě je doporučeno, aby uživatel následně potvrdil svou vůli klikem na odkaz(tzv. double OPT-IN), který mu je přihlášením k odběru odeslán na zadanou e-mailovou adresu. Potvrzením z dané e-mailové adresy je zajištěno, že e-mailovou adresu skutečně vložil její uživatel a zároveň má podnikatel jistotu, že obdržel souhlas od držitele e-mailového kontaktu k šíření obchodních sdělení. Velmi častou chybou, které se provozovatelé internetových obchodů při šíření obchodních sdělení dopouštějí, je, že se domnívají, že obchodní sdělení mohou šířit například na elektronické kontakty, které byly zveřejněny nebo si je od někoho koupí typicky jako součást celé databáze kontaktů. Takové jednání nebude zpravidla v souladu se zákonem o některých službách informační společnosti, jelikož tento zákon neumožňuje plošné šíření obchodních sdělení na zveřejněné nebo zakoupené kontakty.

K této problematice viz https://www.uoou.cz/vyuzivat-databaze-k-rozesilani-nabidek-lze-jen-omezene/d-25003.

Forma obchodního sdělení

Zákon č. 480/2004 Sb. stanovuje dále požadavky i na formu a obsah zasílaného obchodního sdělení. Je zakázáno šířit obchodní sdělení, pokud není zřetelně a jasně označeno jako obchodní sdělení (z předmětu zprávy či v jejím textu musí být jednoznačně identifikovatelné, že se jedná o obchodní nabídku, byť nemusí být předmět zprávy uvozen slovy obchodní sdělení), skrývá nebo utajuje totožnost odesílatele, jehož jménem se komunikace uskutečňuje, nebo je zasláno bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány. Ke splnění poslední povinnosti při rozesílání obchodních sdělení se doporučuje uvést v zápatí možnost kliku na odkaz, kterým uživatel projeví vůli další obchodní sdělení nedostávat, resp. respektovat projevenou vůli uživatele, že si již nepřeje dostávat obchodní sdělení. Samozřejmostí je nutnost respektovat vůli uživatele elektronického kontaktu, že si již nepřeje dostávat obchodní sdělení, projevenou např. i na obecnou internetovou adresu odesílatele obchodního sdělení.

Další důležité informace pro e-shopy

Další důležité informace pro e-shopy naleznete na webových stránkách ÚOOÚ v rubrice „Často kladené otázky k internetovým obchodům“ zde: https://www.uoou.cz/k-internetovym-obchodum/ds-5269/archiv=0&p1=2619.

Další dotazy, které se tyýkají provozu eshopů ke vztahu k GDPR

Musí se internetový obchod registrovat u Úřadu?

Nemusí. Oznamovací povinnost GDPR neobsahuje. Z tohoto důvodu tak již není k dispozici ani registrační formulář na stránkách Úřadu.

Jak je to se souhlasy, resp. potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?

K běžnému provozu internetového obchodu není nutné obstarávat souhlas se zpracováním osobních údajů, neboť se jedná o zpracování údajů v rámci smluvní agendy (vyřizování objednávek a nákupů zákazníků, následné plnění zákonem stanovené povinnosti evidence dokladů atd.). K získávání souhlasu blíže zde.

Dopadá GDPR jen na vlastní e-shop a databáze nebo také na zpracování papírových dokladů?
Po obsahové stránce dosavadní definici zpracování osobních údajů GDPR nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty, které jsou nebo mají být součástí evidence, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.

Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů pro určité správce a druhy zpracování, např. pro systematické a pravidelné monitorování, je stanovena v článku 37 odst. 1 GDPR. Byť není povinnost jmenovat pověřence vázána na velikost zákaznické báze, není vyloučeno, že některé velké internetové obchody, které mají navíc širé spektrum činnosti, jmenují pověřence dobrovolně.

Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?
GDPR se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů musí být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 GDPR. Ke zjištění, zdali je dodavatel softwaru či IT služeb zpracovatelem pro internetový obchod, se Úřad vyjádřil zde.

Kdo odpovídá za data zákazníků? Provozovatel e-shopu nebo jeho pronajímatel, u kterého budou veškerá data uložena v databázi a webhostingu?
Za zpracování osobních údajů odpovídá primárně správce osobních údajů, kterým je provozovatel e-shopu, uzavírající smlouvy se svými zákazníky. Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.

Jak mění GDPR zvláštní pravidla pro zacházení s cookies a pro marketing?

V těchto oblastech GDPR zásadním způsobem nic nemění ani více samostatně neupravuje. Dosavadní pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy nebyla ani dosud upravena zákonem o ochraně osobních údajů, nýbrž zvláštními předpisy v gesci Ministerstva průmyslu a obchodu (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), a budou podstatně novelizována až přijetím dalšího předpisu EU, tzv. nařízení o ePrivacy. Úřad uveřejnil k veřejné diskusi doporučení, jak přistupovat ke cookies v nadcházejícím období, kdy bude účinné GDPR, avšak nebude ještě finálně schválené nařízení o ePrivacy.