Vyřešte navždy GDPR pro eshop, či webové stránky

GDPR poradna dlouholetého vedoucího pracovníka právního oddělení ÚOOÚ, tentokrát na téma internetových prezentací a elektronických obchodů.

GDPR v praxi pro eshop a web - základní povinnosti

Pokud provozujete webové stránky, nebo eshop a nabízíte služby, bez ohledu na to, jestli za úplatu nebo zdarma, obyvatelům Evropské unie, z podstaty věci zpracováváte jejich osobních údajů.

Od 25. května 2018 se proto i při této činnosti musíte řídit obecným nařízením o ochraně osobních údajů (GDPR) a být schopni doložit svůj soulad s jeho pravidly.

Přitom není rozhodující, jestli vedete evidenci plně identifikovaných zákazníků, nebo využíváte IP adresy či jiné síťové identifikátory pro ochranu funkčnosti a bezpečnosti své webové stránky nebo pro měření návštěvnosti. 

Pro doložení souladu webových stránek s GDPR je nezbytné posoudit především následující:


Účely zpracování

To znamená doložit, pro jaké účely provozovatel webu zpracovává osobní údaje návštěvníků. 

Typickými účely může být evidence uživatelů, resp. zákazníků, kontakty na webu, poskytování personalizovaných služeb, přímý marketing, remarketing, newsleter, formuláře pro sběr dat, ochrana práv provozovatele v případě sporu s uživatelem, měření návštěvnosti a využívání jednotlivých prvků na dané stránce, zajištění informační bezpečnosti a další. 

U všech výše uvedených se obecně jedná o legitimní účely zpracování osobních údajů. Vždy je však vhodné všechny účely, pro které provozovatel osobní údaje uživatelů zpracovává, evidovat a to spolu s právním titulem pro každé takové zpracování.


Zákonnost zpracování

Pro každé zpracování osobních údajů musí provozovatel webu disponovat dostatečným právním titulem.

Těmi nejčastějšími budou plnění smlouvy s klientem, ochrana oprávněných zájmů provozovatele webu a v některých případech, typicky u profilování či pokročilého marketingu, potom souhlas.

GDPR klade na některé právní tituly zvýšené nároky. Při využití oprávněného zájmu, např. při zpracování dat pro zajištění informační bezpečnosti a funkčnosti webu, musí správce posoudit vztah svého oprávněného zájmu a jeho váhu s přihlédnutím k souvisejícímu zásahu do práv dotčených osob, tedy provést a nejlépe dokumentovat výsledek tzv. balančního testu. 

Souhlas se zpracováním údajů potom již nemůže být skrytý v obchodních podmínkách, ani získáván pomocí předem zaškrtnutých checkboxů.


Informační povinnost

Jedna z novinek, která čeká nejen na provozovatele provozovatele webových stránek

Stejně jako další správci údajů, musí plnit informační povinnost o tom, jaké údaje shromažďuje, za jakým účelem, na základě jakého titulu, jaká jsou práva dotčených osob atd. 

V online prostředí obvykle postačí plnit informační povinnost pomocí tzv. privacy policy, čili přístupného dokumentu, který obsahuje všechny důležité informace, a na který provozovatel webu odkazuje typicky při shromažďování údajů.


Cookies

Důležitým tématem v souvislosti s webovými stránkami je otázka cookies.

Pomocí těchto nástrojů provozovatel webu může získávat i údaje vztahující se ke konkrétním či identifikovatelným fyzickým osobám, jinak řečeno osobní údaje, a to ať už ve vztahu k danému webu, nebo i informace o chováni uživatele jinde na internetu.

V českém právním prostředí je využívání cookies upraveno v zákoně o elektronických komunikacích, který má jako zvláštní předpis před GDPR v těch částech, které jsou regulovány oběma, přednost.

Podle zákona o elektronických komunikacích je nutné uživatele o všech používaných cookies informovat, přičemž o u těch, které nejsou nutné pro funkčnost webových stránek či poskytnutí služby vyžádané uživatelem, platí tzv. režim opt-out. Pokud uživatel vyjádří svůj nesouhlas, provozovatel webu nemůže tyto cookies v jeho případě využívat.


Průběžně dokumentujte soulad činnosti s GDPR

Jednou ze zásadních novinek, kterou GDPR přináší, je daleko větší důraz na povinnost správce údajů, v tomto případě provozovatele webu, aby průběžně dokumentoval soulad své činnosti s právním rámcem. 

GDPR pro to přináší několik nových nástrojů, jako je povinnost vést záznamy o činnostech zpracování, při přípravě nových zpracování osobních údajů nebo významné změně těch stávajících povinnost provést posouzení vlivu na ochranu osobních údajů, řídit bezpečnostní incidenty a v některých případech porušení zabezpečení osobních údajů oznamovat Úřadu pro ochranu osobních údajů, či uživatelům jako takovým.


Jmenujte Pověřence pro ochranu osobních údajů


Zejména tehdy, pokud jsou osobní údaje uživatelů webu zpracovávány intenzivním způsobem či ve velkém rozsahu, může být provozovatel webu povinen jmenovat pověřence pro ochranu osobních údajů, i v případě méně invazivního zpracování to pak může být pro provozovatele užitečné. O tom proč není dobré ignorovat pozici GDPR Pověřence jsme psali zde

GDPR Pověřenec

Nejtransparentnější způsobem, jak prokázat kvalifikaci je kurz, který splňuje evropská kritéria pro výkon této funkce, např.: dle e-CF (European Competence Framework). 

Pověřencem (z originálního názvu Data Protection Officer, resp. DPO) může být jmenována jen taková osoba, která má dostatečná znalosti práva i praxe zpracování osobních údajů a vhodná je i znalost alespoň základů informační bezpečnosti a moderních nástrojů pro zpracování osobních údajů.

Doporučení vzešlo mj. i z Evropského Úřadu pro ochranu osobních údajů a Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupina WP29) Více najdete v článku: Jakou kvalifikaci by měl mít pověřenec

Obecnou pomůckou nejen pro pověřence, ale pro každého, kdo má v rámci organizace na starosti agendu zpracování osobních údajů, potom je potom GDPR kniha: Praktická příručka Pověřence pro ochranu osobních údajů.


GDPR Audit Tool: Posouzení souladu činností s GDPR

GDPR Audit Tool lze použít i pro provozovatele webových stránek, protože sledované oblasti jsou při každém zpracování v zásadě stejné a liší se jen technické aspekty zpracování.

Při posuzování souladu činnosti organizace s GDPR a identifikaci slabých míst lze využít auditní nástroj, který vám ukáže kritická místa, míru závažnosti a doporučení pro implementaci.

Audit GDPR >



Implementace GDPR opatření

Po nalezení slabých míst je jako další krok nezbytné provést detailní analýzu informačních toků, pokrýt procesy zpracování alespoň základních vnitřním předpisem.

Dále revidovat používané souhlasy, připravit se na uplatnění práv uživatelů a posoudit smlouvy s dodavateli, kteří pro správce část zpracování osobních údajů zajišťují, jako je např. externí provozovatel webových stránek či poskytovatel online reklamního systému.

GDPR Dokumentace


Je to řada povinností, které si však zvládnete osvojit v implementačním workshopu, který je veden GDPR Lead Auditorem a soudním znalcem v oboru.

Pro usnadnění všech těchto kroků, od zmapování datasetů a analýzu rizik, až po vydání vnitřních předpisů, úpravu smluv s dodavateli či přípravu šablon pro komunikaci s dotčenými osobami, můžete využít GDPR Dokumentaci. Sada těchto šablon, vzorových formulářů, interních směrnic a smluv je z 80% předvyplněná.  

Na výběr jsou dvě verze: Professional a Business. První z nich postačí pro organizace, které provádějí zpracování osobních údajů jen v menším rozsahu, nikoliv jako hlavní součást své činnosti. Varianta  Business pak pomůže vyřešit požadavky i u organizací, pro které je zpracování osobních údajů hlavním předmětem činnosti.

Chcete získat dárek k narozeninám?