Informace pro e-shopy
Vzhledem k účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), vyhotovil Úřad pro ochranu osobních údajů (dále jen „Úřad“) tyto základní informace, které by primárně měly sloužit jako základní pomůcka pro menší internetové obchody. Zároveň je zde poskytnuta informace o možnostech šíření obchodních sdělení.
Na zpracování osobních údajů, ledaže by se jednalo o zpracování pro výlučně domácí či osobní činnosti fyzické osoby. V případě provozování internetového obchodu se jedná o zpracování osobních údajů zákazníků – fyzických osob a též i vlastních zaměstnanců, pokud je internetový obchod má. Zpracování osobních údajů při provozování internetového obchodu tak spadá pod GDPR.
Pokud chce mít internetový obchod zpracování osobních údajů v pořádku, musí nejdříve zjistit, jaké osobní údaje zpracovává. To je ideální vlastními silami a nemělo by to být těžké.
Na základě poznatků, od koho získává osobní údaje (zákazníci, zaměstnanci), pro jaké účely (u zákazníků: vypořádání objednávky, doručení zboží, reklamační, archivační účely; u zaměstnanců: účely pracovněprávní), v jakém rozsahu (u zákazníků: identifikační, adresní, platební atd.; u zaměstnanců: identifikační, adresní, mzdové atd.), může internetový obchod uvést zpracování do souladu s GDPR. K tomu je nutné i znát, jaká pravidla pro zpracování platí a i význam některých definic.
Osobním údajem se dle GDPR rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž tato osoba je v kontextu zpracování osobních údajů označována jako subjekt údajů. Zda informace je či není osobním údajem, je třeba posuzovat v kontextu daného zpracování. Pokud lze z daného souboru informací, při využití všech rozumně předvídatelných prostředků, určit konkrétní osobu, jsou tyto informace osobními údaji. Pro zjednodušení lze uvést, že při provozování internetového obchodu dochází vždy ke zpracování osobních údajů zákazníků – fyzických osob a též i zaměstnanců, pokud internetový obchod nějaké má.
Ten, kdo osobní údaje zpracovává, je správcem osobních údajů. Tím je pro účely tohoto dokumentu internetový obchod (pokud je to právnická osoba, tak tato právnická osoba, pokud internetový obchod provozuje živnostník – fyzická osoba, je správcem fyzická osoba podnikající, která obchod provozuje).
Pokud je správce (v tomto případě internetový obchod) usazen v Evropské unii, je třeba postupovat při zpracování osobních údajů osob podle GDPR, bez ohledu na to, z jaké země jsou zákazníci, tj. stejnou úroveň ochrany musí poskytovat internetový obchod zákazníkovi z České republiky i z jiného státu.
Pro další poznání GDPR doporučujeme přečíst si Základní příručku k GDPR https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744, případně ještě předtím si přečíst Desatero zpracování pro správce https://www.uoou.cz/desatero-zpracovani-prospravce/ds-4821/p1=4821.
Každé zpracování osobních údajů by mělo splňovat základní podmínky, které lze nazvat zásady zpracování. Jde o zevšeobecnění principů, na kterých je ochrana osobních údajů při jejich zpracování postavena.
Těmito zásadami jsou:
Zásada zákonnosti zpracování osobních údajů
Zpracování osobních údajů se vždy děje pro nějaký účel, který správce definuje. Proto osobní údaje shromažďuje a zpracovává. Účel zpracování osobních údajů by měl být vždy legitimní. Činnost internetového obchodu a s ní spojené nezbytné zpracování osobních údajů legitimní je.
V závislosti na účelu zpracování se dále odvíjí to, zdali správce může zpracovávat osobní údaje bez souhlasu či se souhlasem. Internetový obchod souhlas nepotřebuje, pokud osobní údaje zákazníků zpracovává pro účely vyřízení objednávky (splnění smlouvy se zákazníkem) a povinné uchování dokumentace spojené s obchodem a při zpracování osobních údajů, emailových adres, svých zákazníků za účelem přímého marketingu (k přímému marketingu viz níže). Stejně tak nepotřebuje souhlas se zpracováním osobních údajů zaměstnanců při plnění povinností vyplývajících z pracovněprávních předpisů.
Častým problémem při zpracování osobních údajů v internetových obchodech je nadužívání souhlasu jako právního důvodu zpracování. Souhlas se zpracováním osobních údajů nemůže být vyžadován pro ta zpracování, která jsou prováděna z již zmíněného důvodu plnění smlouvy se subjektem údajů nebo pro plnění zákonem stanovené povinnosti. Pokud bude správce souhlas v takových případech vyžadovat a získávat, vystavuje se nebezpečí, že bude v subjektech údajů mylně vyvoláván dojem, že dané zpracování bude ukončeno, pokud svůj souhlas odvolají.
Zpracování osobních údajů v internetových obchodech je totiž prováděno převážně v rámci obchodních vztahů mezi internetovým obchodem a zákazníky, proto je primárním právním důvodem zpracování osobních údajů plnění smlouvy se subjektem údajů. Pro zpracování pro tento účel se souhlas zákazníků neuplatní, pokud je tedy zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů. Typicky zákazník si objedná zboží, které mu internetový obchod dodá. K tomu jsou nezbytné určité osobní údaje, které obchod po jejich vyplnění zákazníkem legitimně využívá pro splnění smlouvy s ním.
Stejně tak se souhlas nepoužívá, pokud jsou osobní údaje zpracovávány pro účely plnění právní povinnosti, která se na správce vztahuje. Tento právní důvod odůvodňuje provádět zpracování, které je nutné ke splnění právních povinností, které mu ukládá právo Evropské unie, České republiky, či jiného členského státu. V kontextu internetových obchodů se bude nejčastěji
jednat o povinnosti vyplývající z daňových a účetních předpisů, tj. povinné uchování
dokumentů, byť obsahují osobní údaje.
Při zpracování osobních údajů v internetových obchodech lze v některých případech využít i právní důvod oprávněný zájem správce či jiné osoby. Jde o zpracování, které lze z hlediska správce považovat za oprávněné ve vztahu k subjektu údajů, aniž by potřeboval od subjektu údajů souhlas. Podmínkou však je, že takové zpracování nesmí uskutečňovat, pokud před ním mají přednost zájmy nebo základní práva a svobody subjektu údajů. V prostředí internetového obchodu se může jednat např. o vedení interního black listu osob, které se dopouštějí protiprávního jednání vůči obchodu či opakovaně zneužívají práv, aby obchod poškodily. Vedení takového black listu však musí být pečlivě odůvodněno a zařazena na něj může být pouze osoba, u níž skutečně převládá zájem správce (ochrana práv správce) na jejím zařazení do black listu. Black list zpravidla nelze sdílet s jinými internetovými obchody či subjekty, slouží čistě pro vnitřní potřebu správce.
Oprávněným zájmem internetového obchodu je i vymáhání pohledávek v intencích právního řádu. Za oprávněný zájem lze považovat i zpracování osobních údajů pro účely přímého marketingu (k přímému marketingu viz závěr tohoto dokumentu).
Pokud nebude možné využít žádný z výše uvedených právních důvodů zpracování, musí provozovatel internetového obchodu požádat subjekty údajů o souhlas se zpracováním pro v souhlasu definované účely, a pokud mu jej subjekt údajů udělí, může takové zpracování provádět. Jak vyplynulo ze shora uvedeného, pro běžné a základní činnosti nepotřebuje internetový obchod souhlas zákazníků ani případných zaměstnanců.
Pokud by internetový obchod usoudil, že pro některý účel zpracování je nutný souhlas, je třeba dbát na některé aspekty souhlasu. Předně musí být souhlas se zpracováním osobních údajů dán svobodně a být oddělen od jiných ujednání, tj. nelze jej bez dalšího uvádět jako součást smlouvy či obchodních podmínek. Naopak,souhlas by měl být potvrzen samostatným úkonem (při zpracování osobních údajů v internetovém obchodu se bude nejčastěji jednat o zaškrtnutí políčka zákazníkem). Pokud bude chtít prodejce mít souhlas přímo ve smlouvě, pak je nutné dodržet, aby skutečně souhlas byl dán aktivním jednáním zákazníka, tj. aby souhlas nebyl dopředu předpokládán zaškrtnutým políčkem, ale políčko musí zaškrtnout sám zákazník.
Souhlas se zpracováním osobních údajů je vždy odvolatelný. Pokud správce zpracovává osobní údaje na základě souhlasu, musí být připraven na ukončení zpracování pro účel, ke kterému byl souhlas udělen, v případě odvolání souhlasu a být si vědom dalšího postupu, pokud taková okolnost nastane.
Zásada přesnosti
Správce by měl v rámci možností zpracovávat přesné osobní údaje. Provozovatel internetového obchodu má obecně nastavit přiměřeně své postupy tak, aby minimalizoval riziko zpracování nepřesných osobních údajů, nejenom vzhledem k úpravě ochrany osobních údajů, ale i proto, že nepřesné osobní údaje mohou způsobit například nedodání zboží zákazníkovi.
Zásada omezení účelu
Tato zásada stanoví, že správce má shromažďovat osobní údaje pouze k určitému účelu a následně zpracovávat osobní údaje pouze způsobem, který je s tímto účelem slučitelný. Jinými slovy, obchod získává primárně osobní údaje pro plnění smlouvy a k tomu je též musí využívat. Účelem zpracování, který je v souladu s touto zásadou, je též povinné uchování dokumentů spojených s obchodem. Viz zásada zákonnosti.
Zásada minimalizace údajů
S účelem zpracování osobních údajů souvisí i zásada minimalizace údajů. Aby bylo zpracování v souladu s touto zásadou, měl by správce zpracovávat osobní údaje pouze v rozsahu nezbytně nutném pro splnění daného účelu zpracování. Správce by proto měl být vždy schopen odůvodnit rozsah zpracovávaných osobních údajů. V praxi by tedy internetový obchod měl od nakupujících a dalších osob shromažďovat pouze nezbytně nutné údaje (zpravidla údaje nutné k identifikaci kupujícího, kontaktní údaje, osobní údaje nutné k doručení a uhrazení kupní ceny). Stejně tak od zaměstnanců by měl shromažďovat jen ty osobní údaje, které jsou nutné pro uskutečňování pracovněprávního vztahu.
Zásada omezení uložení
Zásada omezení uložení stanovuje, že správce má údaje ukládat (zpracovávat) pouze po dobu nezbytně nutnou ke splnění účelu zpracování a poté by je měl zlikvidovat. Jinými slovy, není povinností internetového obchodu ihned likvidovat smluvní dokumentaci, byť by o to požádal zákazník nebo zaměstnanec, pokud neuplynula doba nutná ke splnění původního účelu. Naopak, internetový obchod není oprávněn držet aktivní registrovaný profil zákazníka poté, co zákazník projevil vůli, že již nechce být registrován (chce zrušit registraci). Zrušení registrace nic nemění na tom, že internetový obchod může interně vést potřebné údaje po nezbytnou dobu pro účely reklamace či daňové nebo účetní.
Zásada integrity a důvěrnosti
Internetový obchod by měl mít přijata opatření chránící osobní údaje zákazníků nebo zaměstnanců. Zabezpečení by mělo být vždy vyvážené ve vztahu k charakteru zpracování, jeho riziku, rozsáhlosti, ale i podmínkám správce. K některým praktickým aspektům zabezpečení viz níže.
Velmi významným prvkem při zpracování osobních údajů je transparentnost, která je i jednou ze zásad zpracování.
Správce má povinnost informovat subjekt údajů o zpracování jeho osobních údajů v okamžiku získání údajů od subjektu údajů. V internetových obchodech je zpravidla třeba předat zákazníkovi informace před odesláním (dokončením) objednávky. Je tak možné učinit odkazem na informace o zpracování osobních údajů (např. pokud na něj zákazník klikne, objeví se nové okno nebo vyskakovací okno v rámci otevřeného okna). Informace o zpracování osobních údajů je vhodné mít současně zpracované i jako obecnou informaci, na níž obchod odkazuje např. v zápatí úvodní stránky spolu s dalšími odkazy, kterou si může potenciální zákazník přečíst ještě před započetím objednávání zboží či služby.
Rozsah poskytovaných informací se bude lišit v závislosti na šíři prováděného zpracování, avšak lze pro účely základní činnosti internetového obchodu spatřovat následující minimum:
- Kdo je správce (identifikační údaje provozovatele internetového obchodu)
- Účel zpracování (vypořádání objednávky, evidenční účely, přímý marketing)
- Právní základ zpracování (plnění smlouvy se subjektem údajů, plnění právní povinnosti, oprávněné zájmy správce u přímého marketingu)
- Možnost vyslovit námitku proti využívání kontaktu pro přímý marketing (pokud jsou kontakty využívány pro přímý marketing)
Nad rámec uvedeného minima lze rozpracovat, např. do další rozkliknutelné vrstvy, další informace, a to především dobu uchování osobních údajů, možnost odvolání souhlasu, pokud je některé zpracování založeno na souhlasu, a též uvést, zdali poskytnutí údajů je zákonným požadavkem či nikoli.
Shora uvedené informace by měly být poskytnuty srozumitelnou podobou, a to od těch nejdůležitějších, po ty „méně“ podstatné.
Zákazníci či další osoby, jejichž osobní údaje jsou zpracovávány (např. izaměstnanci), mají práva, která mohou uplatňovat. Text se dále z praktických důvodů věnuje zákazníkům.
Zákazník má právo získat přístup k osobním údajům, které se ho týkají. Toto právo především spočívá v získání potvrzení, že osobní údaje o něm internetový obchod zpracovává, a dále má právo na určité informace, jako je účel zpracování, kategorie dotčených osobních údajů, plánovaná doba jejich zpracování atd. Viz Základní příručka k GDPR část 6 Práva subjektu údajů.
Zákazník má právo i na opravu nepřesných údajů, popřípadě omezení zpracování, a vznést námitku proti zpracování především pro účely přímého marketingu (jednoduše, když vysloví vůli, že nechce od internetového obchodu dostávat obchodní sdělení, byť je jeho zákazníkem, musí internetový obchod jeho vůli respektovat).
Výmaz údajů se uskuteční především tehdy, pokud již osobní údaje nejsou potřeba k žádnému účelu, pro který je internetový obchod zpracovával. Pokud byla uzavřena smlouva mezi internetovým obchodem a zákazníkem, nemůže zákazník požadovat autoritativně výmaz všech osobních údajů, pokud internetový obchod osobní údaje zpracovává pro plnění smlouvy se zákazníkem, plnění zákonem stanovených povinností (stanovená doba uchování dokladů), či je potřebuje pro uplatnění právních nároků.
Pokud bude za internetový obchod provádět zpracování na základě pověření jiný subjekt (i částečně), tak v takovém případě je pověřený subjekt v pozici tzv. zpracovatele. Typickým zpracovatelem je např. externí účetní, nebo pokud by internetové řešení obchodu bylo poskytováno třetí stranou, u které by docházelo zároveň k ukládání dat (např. zákaznické databáze) nebo by tato třetí strana prováděla i rozsáhlejší údržbu systému, zahrnující i osobní údaje. Zpracovatel naopak není subjekt, který internetovému obchodu pouze provede jednoduchou opravu IT zařízení, byť může při této činnosti mít přístup k datům. I v takovém případě je však nezbytné opravu IT zařízení smluvně ošetřit, zejména ve vztahu k zabezpečení osobních údajů (a i jiných informačních aktiv).
Správce musí se zpracovatelem uzavřít smlouvu o zpracování, či jiné podobné ujednání, ve které upraví podmínky zpracování prováděného zpracovatelem pro správce. Nemusí se jednat o samostatnou smlouvu, podstatné je, aby určené náležitosti vyplývaly z písemného závazného dokumentu mezi správcem a zpracovatelem.
Všechny náležitosti, které by toto ujednání mělo splňovat, jsou vyjmenovány v ustanovení čl. 28 odst. 3 GDPR.
Ujednání mezi správcem a zpracovatelem by mělo především obsahovat předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorii subjektů údajů, povinnosti a práva správce a zpracovatele.
Při využití zpracovatele je nutné mít stále na paměti, že správce se využitím zpracovatele nikdy nezbaví své odpovědnosti a že nese za jeho výběr odpovědnost. Proto tento výběr musí být obezřetný a pečlivý.
Více ke vztahu správce zpracovatel Základní příručka k GDPR část 7 Správce, zpracovatel.
Opatření k zajištění zabezpečení osobních údajů mohou být různé povahy. Vždy vyplývají z okolností daného správce, které má každý jiné. Internetový obchod bude z povahy věci řešit především zabezpečení svého IT rozhraní.
Provozovatel internetového obchodu by měl přijmout vhodná technická opatření, která mohou mít povahu fyzického zabezpečení (zámky a podobně) i softwarové.
Pokud jsou do formulářů na stránkách internetového obchodu zadávány osobní údaje, je nutné tento přenos ochránit (zpravidla pomocí šifrovaných protokolů, např. SSL). Nosiče, na kterých jsou uloženy osobní údaje, by měly být zabezpečeny příslušným softwarem (antivirová ochrana a podobně).
Pokud se na provozu internetového obchodu podílí více lidí, měla by být nastavena odpovídající organizační opatření, která omezí přístup osob k osobním údajům, pokud to není nutné pro zpracování těchto údajů. Tj. přístup k osobním údajům by neměl být neomezený pro všechny zaměstnance, ale přístup by měli mít jen ti, kteří pro svoji činnost přístup potřebují.
Ani při přijetí všech vhodných opatření k zajištění zabezpečení osobních údajů není možné vyloučit, že nedojde k porušení zabezpečení osobních údajů. Porušení zabezpečení mohou spadat do několika kategorií:
- neoprávněný přístup k osobním údajům (například následkem úniku celé databáze)
- neoprávněné pozměnění osobních údajů
- zničení osobních údajů (například v důsledku zničení pevného disku)
- ztráta přístupu k osobním údajům (například v důsledku DoS či ransomwarového útoku)
Některá porušení zabezpečení mohou patřit i do více kategorií, například při ztrátě nezabezpečeného disku, ke kterému neexistuje záloha, dochází zároveň ke ztrátě údajů i k jejich možnému zpřístupnění jiným osobám. Byť není šifrování databáze povinné, může být v některých případech vhodné. Lze doporučit provádět pravidelné zálohování, které může internetový obchod zachránit právě v situacích, kdy dojde např. k nechtěnému smazání dat či jejich protiprávnímu zašifrování.
O každém porušení zabezpečení je třeba vytvořitzáznam. Tento záznam by měl dokumentovat, k jakému porušení zabezpečení došlo a jaké byly důsledky tohoto porušení a jaká opatření byla přijata v reakci na toto porušení zabezpečení.
Pokud by porušení zabezpečení představovalo riziko pro zákazníky (např. by unikly přihlašovací údaje nebo by unikla databáze o nákupech osob v obchodě), je takové porušení zabezpečení nutné ohlásit Úřadu, a to do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Úřadu není nutné hlásit porušení zabezpečení, pokud nebude pravděpodobně představovat riziko pro subjekty údajů, například ztrátu zašifrovaného disku s databází zákazníků (pokud existuje záloha) nebo kratší nepřístupnost cloudového úložiště, na kterém jsou uloženy osobní údaje.
Oznámení Úřadu by mělo obsahovat:
1) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to
možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného
množství dotčených záznamů osobních údajů
2) kontakt na osobu, která může poskytnout bližší informace
3) popis pravděpodobných důsledků porušení zabezpečení osobních údajů
4) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů
O závažných porušeních zabezpečení, která mají za následek vysoké riziko pro subjekt údajů (například pokud dojde k úniku celé zákaznické databáze obchodu, který prodává sexuální pomůcky či zdravotní potřeby), by měl správce informovat zároveň všechny dotčené zákazníky. Míru rizika vždy posuzuje správce. Více k porušení zabezpečení zde: https://www.uoou.cz/poruseni-zabezpeceni/ds5020/p1=5020.
Pokud se provozovatel internetového obchodu chce bránit proti nařčením, která považuje za nepravdivá, zavádějící a podobně, neměl by v rámci své reakce na recenzi zveřejňovat osobní údaje zákazníka, neboť zákazník předal internetovému obchodu své osobní údaje za účelem plnění smlouvy. Jejich zveřejnění není v souladu s účelem, k němuž byly osobní údaje shromážděny. Může však samozřejmě uvést okolnosti případu.
Pokud se internetový obchod domnívá, že recenze je lživá, poškozuje jej, měl by věc řešit s provozovatelem portálu, kam byla recenze umístěna. K vyvrácení lživých informací může provozovateli portálu poskytnout i nezbytné informace. Běžnou kritiku internetového obchodu však nelze považovat za lež. V případě závažné lživé recenze je možná soudní obrana.
GDPR registrační povinnost ruší, správci už se u Úřadu registrovat nemusí. Na místo toho mají mít vypracovány zejména záznamy o činnostech zpracování. Viz otázka výše.
Pro cookies, které jsou nezbytně nutné pro zajištění provozu webových stránek a internetových služeb, není nutno získat souhlas uživatele. Pro ostatní cookies, typicky využívané jako marketingové nástroje, se vyžaduje souhlas uživatele.
Podmínky šíření obchodních sdělení upravuje zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, který definuje obchodní sdělení v § 2 písm. f) jako každou formu sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost. Tímto zákonem jsou chráněny i elektronické kontakty právnických osob. Jde o speciální úpravu mající za cíl ochranu elektronických kontaktů před jejich zahlcením nevyžádanými obchodními sděleními. K šíření obchodních sdělení je tak nutné dodržovat i pravidla stanovená právě zákonem č. 480/2004 Sb., o kterých bude napsáno v dalších otázkách.
Z výše uvedené definice (předchozí otázka) obchodního sdělení je zřejmé, že do pojmu obchodní sdělení je nutné zařadit širokou škálu zpráv, které obchodník zasílá svým stávajícím či potenciálním zákazníkům, a to různými elektronickými prostředky. V praxi však drtivě převažuje e-mailová forma a s velkým odstupem následují SMS zprávy a s dalším odstupem kanály jako zprávy na sociálních sítích či tzv. push notifikace. Obsahem jde především o klasické newslettery, nabídky zboží či služeb. Za obchodní sdělení je též nutné považovat zaslání např. i přání k Vánocům či narozeninám, jelikož i taková zpráva buduje u zákazníka povědomí o značce a pozitivně propaguje podnikatele. Za obchodní sdělení je nutné také považovat i žádost o vyslovení souhlasu se zasíláním obchodních sdělení nebo zaslání prostého odkazu na přístup k internetovým stránkám podnikatele.
Za obchodní sdělení se naopak nepovažují patičky v e-mailu obsahující např. odkaz na internetové stránky odesílatele, pokud jsou používány jako součást podpisu odesílatele v běžné elektronické komunikaci. Za obchodní sdělení se též nepovažují čistě technické zprávy, a to i ve chvíli, kdy příjemce, který je zákazníkem, již dříve zasílání obchodních sdělení odmítl (např. informace o uzavření pobočky, informace o odstávce webového obchodu, změny otvírací doby, změna obchodních podmínek, apod.). Nicméně takovéto zprávy je vyloučeno zasílat osobám, které nejsou zákazníky.
1) Šíření obchodních sdělení vůči zákazníkům
U internetového obchodu se v prvé řadě nabízí šíření obchodních sdělení vůči vlastním zákazníkům. Jelikož mezi zákazníkem a obchodem již existuje vztah, nepovažuje se šíření obchodních sdělení zákazníkům ze strany obchodu a priori za obtěžující. Z tohoto důvodu zákon č. 480/2004 Sb. umožňuje zasílat obchodní sdělení vlastním zákazníkům, bez nutnosti získávat jejich souhlas (jinými slovy, lze zákazníkům šířit obchodní sdělení bez souhlasu).
Konkrétně ustanovení § 7 odst. 3 zákona č. 480/2004 Sb. zní: „pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl“.
V praxi to znamená, že pokud např. provozovatel internetového obchodu prodá zákazníkovi notebook, může na e-mail získaný v souvislosti s tímto prodejem zaslat nabídku, zdali si zákazník nechce pořídit např. brašnu na notebook či jiné příslušenství, a to za předpokladu, že zákazník při objednávce (či později) neodmítl takové využití elektronického kontaktu. Lze mu zaslat i newsletter obchodu či jinou obdobu obchodního sdělení (např. přání k narozeninám se slevovým kupónem atd.). Za zákazníka v uvedeném smyslu však nelze považovat např. osobu, která se pouze dotáže na dostupnost zboží atd.
2) Šíření obchodních sdělení vůči „nezákazníkům“
Další možností, jak šířit obchodní sdělení, tentokrát vůči „nezákazníkům“, tedy osobám, se kterými nemá internetový obchod doposud zákaznický vztah, je souhlas držitele elektronického kontaktu. Souhlas může být učiněn např. zapsáním e-mailové adresy do pole, které je k tomu na internetových stránkách určené (např. „zadejte svoji e-mailovou adresu, pokud si přejete dostávat od naší společnosti novinky“). V takovém případě je doporučeno, aby uživatel následně potvrdil svou vůli klikem na odkaz(tzv. double OPT-IN), který mu je přihlášením k odběru odeslán na zadanou e-mailovou adresu. Potvrzením z dané e-mailové adresy je zajištěno, že e-mailovou adresu skutečně vložil její uživatel a zároveň má podnikatel jistotu, že obdržel souhlas od držitele e-mailového kontaktu k šíření obchodních sdělení.
Velmi častou chybou, které se provozovatelé internetových obchodů při šíření obchodních sdělení dopouštějí, je, že se domnívají, že obchodní sdělení mohou šířit například na elektronické kontakty, které byly zveřejněny nebo si je od někoho koupí typicky jako součást celé databáze kontaktů.
Takové jednání nebude zpravidla v souladu se zákonem o některých službách informační společnosti, jelikož tento zákon neumožňuje plošné šíření obchodních sdělení na zveřejněné nebo
zakoupené kontakty. K této problematice viz obchodní sdělení Využívat databáze k rozesílání nabídek lze jen omezeně.
Zákon č. 480/2004 Sb. stanovuje dále požadavky i na formu a obsah zasílaného obchodního sdělení.
Je zakázáno šířit obchodní sdělení, pokud není zřetelně a jasně označeno jako obchodní sdělení (z předmětu zprávy či v jejím textu musí být jednoznačně identifikovatelné, že se jedná o obchodní nabídku, byť nemusí být předmět zprávy uvozen slovy obchodní sdělení), skrývá nebo utajuje totožnost odesílatele, jehož jménem se komunikace uskutečňuje, nebo je zasláno bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.
Ke splnění poslední povinnosti při rozesílání obchodních sdělení se doporučuje uvést v zápatí možnost kliku na odkaz, kterým uživatel projeví vůli další obchodní sdělení nedostávat, resp. respektovat projevenou vůli uživatele, že si již nepřeje dostávat obchodní sdělení. Samozřejmostí je nutnost respektovat vůli uživatele elektronického kontaktu, že si již nepřeje dostávat obchodní sdělení, projevenou např. i na obecnou internetovou adresu odesílatele obchodního sdělení.
Nemusí. Oznamovací povinnost GDPR neobsahuje. Z tohoto důvodu tak již není k dispozici ani registrační formulář na stránkách Úřadu.
K běžnému provozu internetového obchodu není nutné obstarávat souhlas se zpracováním osobních údajů, neboť se jedná o zpracování údajů v rámci smluvní agendy (vyřizování objednávek a nákupů zákazníků, následné plnění zákonem stanovené povinnosti evidence dokladů atd.). K získávání souhlasu blíže zde.
Po obsahové stránce dosavadní definici zpracování osobních údajů GDPR nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty, které jsou nebo mají být součástí evidence, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů pro určité správce a druhy zpracování, např. pro systematické a pravidelné monitorování, je stanovena v článku 37 odst. 1 GDPR. Byť není povinnost jmenovat pověřence vázána na velikost zákaznické báze, není vyloučeno, že některé velké internetové obchody, které mají navíc širé spektrum činnosti, jmenují pověřence dobrovolně.
GDPR se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů musí být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 GDPR. Ke zjištění, zdali je dodavatel softwaru či IT služeb zpracovatelem pro internetový obchod, se Úřad vyjádřil v rubrice zpracovatel.
Za zpracování osobních údajů odpovídá primárně správce osobních údajů, kterým je provozovatel e-shopu, uzavírající smlouvy se svými zákazníky. Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.
V těchto oblastech GDPR zásadním způsobem nic nemění ani více samostatně neupravuje. Dosavadní pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy nebyla ani dosud upravena zákonem o ochraně osobních údajů, nýbrž zvláštními předpisy v gesci Ministerstva průmyslu a obchodu (zákon č. 127/2005 Sb. a zákon č. 480/2004 Sb.), a budou podstatně novelizována až přijetím dalšího předpisu EU, tzv. nařízení o ePrivacy. Úřad uveřejnil k veřejné diskusi doporučení, jak přistupovat ke cookies v nadcházejícím období, kdy bude účinné GDPR, avšak nebude ještě finálně schválené nařízení o ePrivacy.