logotype
GDPR

GDPR z pohledu e-shopu

Rok 2018 patřil GDPR, nebo-li General Data Protection Regulation. Jedná se o direktivu / směrnici Evropské unie jejímž cílem je zvýšení ochrany osobních dat všech fyzických osob (i podnikajících). Vzhledem k obsáhlé problematice je mnohdy těžké se v GDPR vyznat a vznikají různé mýty a nejasnosti. V tomto článku nás bude zajímat,o čem daná směrnice vlastně je a jak se její platnost dotkne obyčejného českého e-shopu.

Předem je potřeba si uvědomit, co je a co není osobní údaj. Osobní údaj je jakákoliv informace o identifikované nebo identifikovatelné osobě. Jinými slovy, jméno a příjmení samo o sobě není osobní údaj. Např. v Praze žije spoustu Jiřích Nováků. Jak ale poznáme, že se jedná právě o jednoho konkrétního z Vršovic? K tomu nám pomůže jeho adresa. Až pak jsme schopni říct, že je to právě ten Jiří Novák, kterého hledáme.

Jiný příklad osobního údaje může být SPZ auta. Ano, SPZka je víceméně nicneříkající cedulka. Pokud ale máme přístup do registru vozidel, tak víme kdo je majitelem daného vozidla a díky tomu můžeme zjistit i další informace o dané osobě.

Co směrnice znamená pro členské státy EU?

Proč se vlastně zabývat směrnicemi? Směrnice EU jsou závazné právní akty, které jsou nadřazené zákonům jednotlivých členských států. Evropská unie se chce do určité míry podobat Spojeným státům americkým a proto je směrnice něco jako obdoba federálního zákona. Implementace do legislativy členských států je pak na každém zvlášť.

GDPR díky tomu umožňuje přeshraniční spolupráci dozorových úřadů. Teoreticky by se  mohlo stát, že by kontrolor z německého úřadu pro ochranu osobních údajů navštívil českou firmu a opačně. V praxi je něco takového samozřejmě nepředstavitelné (jazyková bariéra, apod). GDPR také dává silnější pravomoci Úřadu pro ochranu osobních údajů. Konkrétně výše pokuty v případě nesouladu se směrnicí může dosáhnout až 20 milionů Eur, případně 4 % celkového obratu celosvětově za předchozí finanční rok.

Nutno podotknout, že Česká republika stále ještě nepřijala adaptační zákon, který by uvedl stávající právní úpravu do souladu se směrnicí. Jinými slovy, GDPR má přednost před stávajícím zákonem č. 101/2000 Sb. a v některých částech jej nahrazuje. Současný zákon je ale přitom také platný. V praxi to znamená, že v případě rozdílů mezi směrnicí a “101” má platnost směrnice. Konkrétní příklad rozdílu v povinnostech mezi “stojedničkou” a GDPR je zrušení registrační povinnosti v případě kamerového systému, který nezabírá veřejný prostor.  Ovšem GDPR je spíše naopak o zavádění nových povinností, kdy nejdiskutovanější je ustanovení tzv. Pověřence osobních údajů (Data Protection Officer - DPO) ve společnostech splňující konkrétní podmínky.

Pojďme se nyní podívat na konkrétní situaci z českého prostředí - jak se GDPR dotýká fungování e-shopů?

E-shop jsme vybral záměrně, protože s nákupem po internetu má zkušenost stále více Čechů. Co se týče množství e-shopů na počet obyvatel, je Česká republika na špičce žebříčku v celé Evropě. 

GDPR funguje na šesti základních principech, s tím, že každý z nich má jinou váhu. V konkrétních situacích platí vždy princip s váhou vyšší.

Principy - právní základ:

  1. Souhlas
  2. Plnění či uzavření smlouvy
  3. Oprávněný zájem
  4. Právní povinnost
  5. Veřejný zájem
  6. Ohrožení života

Co tyto principy znamenají na příkladu e-shopu?

Princip 1, 2 a 3:

Řekněme, že si Jiří koupil z jednoho internetového obchodu ledničku a při objednávce zaškrtnul checkbox, že si přeje dostávat čas od času newslettery. Tím byl naplněn princip souhlasu a plnění či uzavření smlouvy. Internetový obchod nyní zpracovává jeho osobní údaje v minimálním rozsahu nutném pro plnění či uzavření smlouvy a nad rámec toho ještě v rozsahu, který mu byl dán souhlasem (zašrktnutí checkboxu).

Pokud by nedal souhlas se zasíláním informačních emailů, e-shop by i přesto měl právo na přímý marketing vůči kupujícímu. V GDPR je stanoveno, že zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování z důvodu oprávněného zájmu správce. Jinými slovy zákazník může dostávat emaily s nabídkami jiných ledniček a podobného zboží, jako je například mrazák, ale už ne akční nabídku na televizi nebo dokonce na zcela něco jiného jako je zájezd k moři, apod.. Zasílání obchodních sdělení bez souhlasu zákazníka musí přímo souviset se službou nebo zbožím, které bylo poskytnuto v rámci plnění smlouvy.


Princip 4:

Na ledničku je standardní záruka dva roky. Jinými slovy naplňuje se zde princip právní povinnosti, který je nadřazený předešlým principům.  Princip právní povinnosti je v našem případě záruční lhůta, která je většinou dvouletá.

Princip 5 a 6 (veřejný zájem a ohrožení života) se již v našem případě neuplatní.

 

Článek neměl ambici nahradit komplexní objasnění problematiky GDPR, ale spíše jednoduchou formou vysvětlit nejčastější dotazy a nejasnosti, které mezi veřejností tále panují. Někdy příště se podíváme na práva, resp. co každý z nás může po správcích údajů požadovat, na co máme nárok.

 

 

2019  MIddleware.cz - blog nejen o informačních technologiích