E-shopy a povinnost ochrany osobních údajů podle GDPR
autor: Mgr. Karin Pomaizlová, Mgr. Monika Fürstová, MBA publikováno: 21.03.2018
E-commerce a její rostoucí význam
Vzhledem k tomu, že více než 60 procent lidí ve věku nad 16 let v ČR někdy v životě realizovalo nákup v internetovém obchodě,[1] málokdo by asi neznal základní odpověď na otázku, co je e-shop. Jde o jedno z možných označení elektronického obchodu,[2] nejdůležitější součásti, resp. formy tzv. „e-commerce“, obchodních podnikatelských činností realizovaných v rámci internetové sítě a pomocí elektronických prostředků. Tento obchod probíhá především formou B2B[3] a B2C.[4] Technicky je e-shop webovou nebo mobilní aplikací, softwarovým řešením požadavků na funkce, které má poskytovat.[5]
Úřad pro ochranu osobních údajů (dále „ÚOOÚ“) definuje[6] elektronické obchodování obdobným způsobem, a to jako opakované řešení obchodních případů s využitím informačních a komunikačních technologií; probíhá-li v prostředí internetu, jedná se o internetové obchodování, které bývá realizováno prostřednictvím webových aplikací, tedy internetového obchodu (e-shopu) obsahujícího nabídku obchodníka, možnost vyhledávání a objednávání zboží nebo služeb zákazníkem, zprostředkování a evidence plateb, řešení reklamací atd.
V České republice aktuálně působí na 36 000 e-shopů. Jejich nabídka se neustále rozšiřuje, a to i na sortiment, který byl ještě donedávna doménou kamenných obchodů. Tržby českých e-shopů atakují úroveň 100 miliard Kč[7] ročně, resp. tato hranice měla v loňském roce padnout.[8] Uvedený obrat reprezentuje téměř desetinu českého maloobchodu. To dokládá rostoucí význam e-commerce.[9] Navíc Česká republika patří mezi pět zemí s nejvyšším podílem prodeje po internetu na maloobchodě v rámci celé EU, tedy vlastně je „e-shopovou velmocí“. Nelze tedy význam internetového obchodu podceňovat, a už vůbec ne z pohledu ochrany osobních údajů, která se v současné době stále více dostává do popředí zájmu, zejména v souvislosti s nárůstem online aktivit (obchodního i neobchodního charakteru).
GDPR a e-shop
Potřeba aktualizace a jednotné úpravy ochrany osobních údajů v Evropské unii vyústila v přijetí jednotného právního předpisu s přímou účinností na celém území EU – obecného nařízení o ochraně právních údajů, pro které se již vžilo označení GDPR (General Data Protection Regulation).[10] Nařízení platí od 27. 4. 2016, účinné bude od 25. 5. 2018 a aplikaci jeho ustanovení se nevyhnou ani subjekty provozující internetové obchody. Jejich provozovatelé zpracovávají osobní údaje ve velkém rozsahu, a to nejen adresné údaje svých zákazníků (jméno, příjmení, adresu doručení, e-mail, telefon), ale i údaje o jejich platebních kartách. Dále shromažďují a vyhodnocují údaje o jejich nákupních preferencích a zvyklostech (tzv. profilování[11]). To znamená, že již pouhou návštěvou mobilní aplikace nebo webové stránky, a to i bez realizace jakékoliv objednávky, poskytuje zájemce o nákup provozovateli internetového obchodu cenné informace o svých preferencích. Tyto informace pak slouží k zobrazování tzv. personalizované reklamy, k zasílání obchodních sdělení, a to nejen s nabídkou navštíveného e-shopu, ale i dalších subjektů, se kterými provozovatel e-shopu shromážděné osobní údaje sdílí.
To vše vede nutně k potřebě provozovatelů e-shopů zpracovávat osobní údaje svých zákazníků a povinnosti zajišťovat jejich bezpečnost. Bezpečnost osobních údajů a jejich zpracování požaduje celá řada zásadních právních předpisů a právně závazných dokumentů unijní i národní úrovně, zejména:
1. Úmluva o ochraně lidských práv a základních svobod (Řím, 4. 11. 1950);[12]
2. Listina základních práv Evropské unie;[13]
3. Listina základních práv a svobod;[14]
4. Smlouva o fungování Evropské unie;[15]
5. Stávající předpis regulující ochranu osobních údajů v ČR (zák. č. 101/2000 Sb., o ochraně osobních údajů v platném znění, dále jen „ZOOÚ“);[16]
6. GDPR;[17]
7. Směrnice Evropského parlamentu a rady (EU) 2002/58/ES ze dne 12. 7. 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích).[18]
Mimo zde uvedené dokumenty se i Pracovní skupina WP29[19] vyjádřila k ochraně soukromí, když 26. 11. 2014 vydala prohlášení, ve kterém zdůraznila nutnost prosazovat evropské hodnoty v ochraně soukromí, a to zejména s ohledem na postupující digitalizaci každodenního života.
Správce osobních údajů
Provozovatel e-shopu je správcem osobních údajů podle ZOOÚ i GDPR. Podle § 4 písm. j) ZOOÚ je správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Podrobněji, ale v podobném duchu, definuje správce osobních údajů také GDPR. Podle čl. 4 odst. 7 GDPR je správcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Správce je odpovědný mimo jiné za to, že osobní údaje zpracovává pouze zákonným způsobem.
Využije-li správce pro zpracování osobních údajů služeb třetí osoby, byť by se jednalo jen o uložiště osobních údajů, je tato osoba zpracovatelem osobních údajů[20] a správce s ní musí uzavřít písemnou smlouvu. To v praxi samo o sobě ale nestačí. Správce by měl přistupovat k výběru zpracovatele zodpovědně a provést si vyhodnocení důvěryhodnosti a profesionality zpracovatele a schopnosti zajistit bezpečné zpracování osobních údajů.[21] GDPR oproti současnému zákonu o ochraně osobních údajů výslovně umožňuje zpracovateli, aby využil pro zpracování osobních údajů dalšího subdodavatele.[22] Musí však dbát na to, aby svému subdodavateli uložil povinnosti ve stejném rozsahu, jaké na sebe převzal vůči správci osobních údajů.[23] Nesplní-li tento subdodavatel své povinnosti, odpovídá zpracovatel správci za plnění svého subdodavatele, jako by byl plnil sám.[24] GDPR omezuje využití dalšího subdodavatele zpracovatelem, když požaduje, aby zpracovatel získal nejdříve souhlas správce.[25] Z tohoto důvodu bude nutné přehodnotit a upravit stávající smlouvy mezi správci a zpracovateli osobních údajů.
GDPR[26] stanovuje správcům, a tedy i správcům z řad e-shopů, bez ohledu na jejich velikost, určité elementární povinnosti vtělené do základních zásad zpracování. Podle GDPR bude muset každý správce zajistit, aby:
(1) osobní údaje byly zpracovávány korektně, zákonným a transparentním způsobem;
(2) zpracovávané osobní údaje byly přesné, přiměřené, relevantní a pouze v rozsahu nutném pro účel zpracování;
(3) zpracovávané osobní údaje umožňující ztotožnění subjektů údajů byly uloženy jen po nezbytně nutnou dobu;
(4) zpracovávané osobní údaje byly zpracovávány způsobem, který zajistí jejich náležité zabezpečení – integritu a důvěrnost, tj. ochranu před neautorizovaným přístupem, změnou či zničením osobních údajů.[27]
Výše uvedené povinnosti, plynoucí z uloženého respektování zásad zpracování osobních údajů, platí samozřejmě i pro zpracovatele. Povinnosti zpracovatelů v souvislosti se zpracováním osobních údajů jsou zejména obsaženy v čl. 28 GDPR, přičemž z celého textu GDPR je zřejmé, že namístě je úzká spolupráce mezi správcem a zpracovatelem vedoucí k zákonnému a řádně zabezpečenému zpracování osobních údajů.
Souhlas se zpracováním osobních údajů
Největším úskalím při implementaci požadavků GDPR do praxe internetových obchodů je souhlas se zpracováním osobních údajů. Primárně by e-shopy měly zpracovávat osobní údaje svých zákazníků na základě jiných legitimních důvodů, než je souhlas. Takovým důvodem je jednak zpracování pro účely plnění smlouvy, jejíž smluvní stranou je zákazník e-shopu, nebo může jít o zpracování pro účely splnění právní povinnosti, která se na provozovatele e-shopu vztahuje (typicky např. podání kontrolního hlášení). Dále provozovatel e-shopu může zpracovávat osobní údaje zákazníků pro účely svých oprávněných zájmů (např. pro účely vymáhání pohledávek), ale s výjimkou případů, kdy zájmy a základní práva a svobody zákazníků mají přednost před oprávněnými zájmy tohoto provozovatele. Zpracování osobních údajů na základě souhlasu zákazníků tak připadá v úvahu pouze nad rámec těchto vyjmenovaných účelů zpracování. Zejména půjde o souhlas ke zpracování osobních údajů k marketingovým účelům, např. souhlas s poskytnutím osobních údajů třetím osobám za účelem zasílání nevyžádaných obchodních sdělení.
GDPR klade velký důraz na to, aby byl souhlas[28] udělen svobodně a aby byl konkrétní, informovaný a jednoznačný.[29] Souhlas je projevem vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování osobních údajů.[30]
Prvním úskalím v praxi je svoboda souhlasu. Tento požadavek obsahuje i dnes platný ZOOÚ, přičemž ho však mnohé e-shopy možná i nevědomky porušují. ÚOOÚ uvádí ve svém stanovisku,[31] že souhlas nelze považovat za dobrovolný, resp. svobodný, pokud je součástí smlouvy a není možné o něm jednat. To v praxi znamená, že smlouvu, tedy např. všeobecné obchodní podmínky, musí zákazník přijmout a nemá možnost vyjádřit nesouhlas s textem zpracování osobních údajů, např. k marketingovým účelům. V praxi není neobvyklé, že internetové obchody neakceptují objednávku zákazníka, pokud nezaškrtne, že souhlasí se všeobecnými obchodními podmínkami a také zpracováním osobních údajů. To je ale v přímém rozporu s GDPR, které v čl. 7 odst. 4 vysloveně zakazuje, aby plnění podle smlouvy bylo podmíněno souhlasem se zpracováním osobních údajů.
Dalším praktickým příkladem porušení pravidel obsažených v ZOOÚ i GDPR je vyžadování souhlasu se zpracováním osobních údajů ve spojení s požadavkem na sdělení osobních údajů, které nejsou nezbytné pro realizaci objednávky zboží. Je poměrně běžné, že zákazník si nemůže objednat vybrané zboží, aniž by prošel procesem úplné registrace, jehož povinnou součástí je uvedení nejen adresných údajů, ale i údajů o pohlaví a přesném datu narození, přičemž nejde o objednávku zboží, které by bylo nějak omezeno věkem zákazníka.[32] Součástí registrace je pak opět nutný souhlas se zpracováním osobních údajů k marketingovým účelům a jejich předáním obchodním partnerům provozovatele e-shopu.
Popsané praktiky některých internetových obchodů lze zhodnotit následujícím způsobem:
- Za prvé, k pouhému vyřízení objednávky, tedy ke zpracování osobních údajů za účelem prodeje zboží není souhlas subjektu údajů vůbec třeba a vyžadování takového nadbytečného souhlasu je již samo o sobě porušením jak stávajícího ZOOÚ, tak v budoucnu i podmínek GDPR.
- Za druhé, v popsaném případě rozhodně nejde o souhlas svobodný.
- Za třetí, jedná se o nadbytečné shromažďování osobních údajů o zákaznících. Takový postup je navíc nepochopitelný. Pokud totiž chce provozovatel online obchodu své zákazníky motivovat k tomu, aby mu poskytli svobodný souhlas ke zpracování jejich osobních údajů k marketingovým účelům, může volit jiné způsoby, např. jim nabídnout nějakou slevu či malý dárek k objednanému zboží.
Podle GDPR již od konce května 2018 nebude možné, aby souhlas se zpracováním osobních údajů byl součástí všeobecných obchodních podmínek. Jakmile vstoupí GDPR v účinnost, bude takový postup protiprávní. Jak je již zmíněno výše, GDPR požaduje, aby dokumenty týkající se ochrany osobních údajů byly od obchodních podmínek jednoznačně odděleny.[33] V této souvislosti je třeba zmínit, že souhlasy získané v rozporu s GDPR bude třeba nahradit souhlasy novými.
Dalším požadavkem GDPR na kvalitu souhlasu je, aby byl souhlas informovaný a jednoznačný. Tuto podmínku jistě nesplňují příliš široké a obecné souhlasy typu: „Dáváte nám souhlas k zasílání nabídek zboží a služeb našimi obchodními partnery“, „Souhlasíte se zpracováním svých osobních údajů, abychom vám mohli poskytovat lepší služby“. Požadavek informovanosti a jednoznačnosti se nevztahuje pouze na zpracování osobních údajů správcem, ale i na totožnost třetích osob, kterým hodlá správce osobní údaje poskytnout za účelem dalšího využití. Zejména půjde o komerční prodej osobních údajů jiným správcům za účelem zasílání marketingových sdělení zákazníkům e-shopu.
Pokud tedy např. bude provozovatel e-shopu požadovat souhlas za účelem profilování a zobrazování cílené reklamy a dále souhlas se zasíláním obchodních sdělení nad rámec, který povoluje zákon, každý účel by měl být v souhlasu oddělen a opatřen samostatným políčkem, kde zákazník může vyjádřit svůj souhlas. Co rozhodně nelze zobrazovat, jsou předvyplněné souhlasy, jelikož souhlas musí být udělen aktivním výběrem, tedy např. „zakliknutím“ příslušného políčka. Zároveň musí být zákazník vždy poučen o tom, že může svůj souhlas kdykoliv odvolat.
V poslední době se objevují diskuse o tom, že internetové obchody chtějí sdílet údaje o svých zákaznících, kteří si opakovaně nevyzvedávají objednané zboží. Je-li záměrem e-shopu vést takovou evidenci pro své vlastní účely, tj. pro ochranu svých oprávněných zájmů, nebude k tomu potřebovat souhlas svých zákazníků, ale musí je o tom transparentně informovat dříve, než mu poskytnou své osobní údaje či s ním uzavřou smlouvu. Ke sdílení takového seznamu nespolehlivých zákazníků s jiným e-shopem však bude nutný jednoznačný a konkrétní souhlas zákazníka (subjektu údajů). Součástí takového souhlasu pak mimo jiné bude muset být přesná identifikace e-shopů, kterým bude evidence nespolehlivých zákazníků poskytnuta. Vedení databáze nespolehlivých zákazníků navíc podléhá i regulaci podle zák. č. 634/1992 Sb., o ochraně spotřebitele, v platném znění.[34]
GDPR se neomezuje pouze na úpravu souhlasu se zpracováním osobních údajů. V praxi se často zaměňuje souhlas s informační povinností. I když provozovatel e-shopu nebude potřebovat ke zpracování osobních údajů zákazníka jeho souhlas, jelikož je bude zpracovávat na základě jiného zákonného důvodu, musí vždy zákazníka informovat o tom, jaké osobní údaje a pro jaký účel bude zpracovávat, a také, pokud možno, po jakou dobu je bude zpracovávat. Dále musí provozovatel e-shopu zákazníka informovat o jeho právech jako subjektu údajů podle GDPR a o kontaktních údajích pověřence pro ochranu osobních údajů, pakliže jej provozovatel internetového obchodu jmenoval. Mimo jiné má správce povinnost informovat subjekt údajů o jeho dalších právech – právu na přístup ke svým osobním údajům, právu na opravu osobních údajů, právu na výmaz, právu na omezení zpracování, právu na přenositelnost údajů, právu vznést námitku i právu podat stížnost u dozorového úřadu.
Ačkoliv GDPR neukládá paušální a všeobecnou povinnost použít při zpracování osobních údajů šifrování, klade důraz na přijetí adekvátních technicko-organizačních opatření zabezpečujících osobní údaje před neautorizovaným přístupem, změnou, zničením apod., a to s přihlédnutím k rizikům, která konkrétní zpracování osobních údajů představuje pro práva a svobody subjektů údajů. Jinými slovy, provozovatel e-shopu je povinen vyhodnotit, jak závažně by mohlo být zasaženo do soukromí jeho zákazníků, poškozena jejich práva a ohroženy jejich zájmy, pokud by došlo k neautorizovaným, nezákonným zásahům do jeho databáze zákazníků.
Prostředků k zabezpečení osobních údajů zákazníků je mnoho, přičemž šifrování[35] představuje jen jednu z možností a jistě nesplní svůj účel, pokud bude jediným prostředkem zabezpečení. Zejména je nutné zajistit automatizovanou softwarovou kontrolu práce s osobními údaji v databázi provozovatele e-shopu a zabránit tomu, aby zaměstnanci či jiní spolupracovníci provozovatele zkopírovali a vynesli osobní údaje jeho zákazníků. K tomu lze využít techniku – dnes již např. existují systémy, které provozovatele upozorní na jakékoliv nestandardní operace, které statisticky vybočují z obvyklé práce s daty.
Další z novinek, kterou GDPR do praxe přináší, je povinnost hlásit kybernetické útoky dozorovému úřadu a v případě ohrožení práv subjektů údajů oznámit tento útok i dotčeným jednotlivcům (subjektům údajů).[36] To však s sebou nese povinnost technicky zajistit konstantní monitorování databází zákazníků internetových obchodů. Aby provozovatel mohl nahlásit kybernetický útok, musí být v první řadě schopen jej odhalit. Vzhledem k sofistikovanosti některých kybernetických útoků to nebude vždy jednoduché a možné. Provozovatel e-shopu je však povinen přistoupit k takovým opatřením, která s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k možným rizikům pro subjekty údajů budou přiměřená a zajistí bezpečnost zpracovávaných osobních údajů. Odpovědět na otázku, jaká technická opatření budou přiměřená, mohou pomoci kodexy chování, jejichž vznik GDPR předpokládá.[37]
Závěr
Vzhledem k tomu, že obecně ztrácíme svou přirozenou ostražitost, je nutné si možnost zneužití našich dat stále připomínat. Proto je důležité být stále ve střehu a znát základní povinnosti e-shopů ve vztahu k osobním datům každého z nás.
[1] Viz údaje zveřejněné ČSÚ k 20. 11. 2017 dostupné na: https://www.czso.cz/csu/czso/vyuzivani-internetovych-ulozist-7h8xejoqlw.
[2] Definice OECD za elektronické obchodování označuje elektronický nákup nebo prodej zboží, výrobků a služeb mezi ekonomickými subjekty, domácnostmi, jednotlivci, vládami a ostatními veřejnými nebo státními organizacemi přes internet nebo ostatní počítačové sítě. Zboží a služby jsou elektronicky objednány přes tyto sítě, ale placení a dodání tohoto zboží nebo služeb může být provedeno online nebo offline (http://www.oecd.org/internet/ieconomy/2771174.pdf).
[3] B2B je označení pocházející z anglického termínu business-to-business (obchodník – obchodník) a jeho obsahem jsou zejména obchodní vztahy mezi obchodními společnostmi.
[4] B2C je zkratka pro anglický termín business-to-customer/consumer (obchodník – zákazník/spotřebitel), který vyjadřuje to, že se jedná o přímý prodej koncovým zákazníkům nebo alespoň o podporu tohoto prodeje. Nejvyšším stupněm B2C prodeje je právě výše zmiňovaný internetový obchod.
[5] Vedle stěžejní funkce spočívající ve vlastním obchodu se např. jedná o možnost vkládat zboží, tvorbu cen, vytváření faktur, reklamy a propagace, propojení s účetnictvím a skladovacím systémem, zákaznické podpory atd.
[6] V metodice „Provozování internetových obchodů (e-shopů)“ z ledna 2014 dostupné na: https://www.uoou.cz/assets/ File.ashx?id_org=200144&id_dokumenty=7278.
[7] Podle informací Asociace pro elektronickou komerci (APEK) zveřejněných na jejích internetových stránkách https://www.apek.cz/ dosáhl obrat e-shopů v ČR v roce 2016 úrovně 98 miliard Kč (přičemž v roce 2012 byla hodnota tržeb „pouhých“ 51 miliard Kč).
[8] Viz informace týkající se české e-commerce zveřejněné APEK na: https://www.apek.cz/clanky/e-shopy-dale-ukrajuji-kamennym-obchodum-podil-na-t.
[9] V Čechách se první e-shopy začaly objevovat „až“ v roce 1996 (V USA o několik let dříve), rozvoj ale zaznamenávají až po roce 2000, v současnosti (tedy po 22 letech od vzniku toho prvního) je jich v ČR více než 36 000 a nenabízejí již jen knihy či hudební nosiče jako v počátcích, ale široké spektrum zboží a služeb.
[10] https://www.uoou.cz/gdpr-obecne-nbsp-narizeni/ds-3938/p1=3938
[11] Zákonná definice profilování viz čl. 4 odst. 4 GDPR. Dále, v čl. 22 GDPR, je zakotveno právo subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatickém zpracování (vč. profilování), které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká (výjimky viz dále v čl. 22 odst. 2 GDPR).
[12] Sdělení Federálního ministerstva zahraničních věcí č. 209/1992 Sb., o sjednání Úmluvy o ochraně lidských práv a základních svobod a Protokolů na tuto Úmluvu navazujících, v čl. 8 odst. 1 dává každému právo na respektování svého soukromého a rodinného života, obydlí a korespondence (viz http://www.echr.coe.int/Documents/Convention_CES.pdf).
[13] Čl. 8 Listiny základních práv EU říká: „Každý má právo na ochranu osobních údajů, které se ho týkají. Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu.“ A relevantní pro ochranu osobních údajů jsou i některé další články tohoto dokumentu (např. čl. 6, který uvádí, že každý má právo na svobodu a osobní bezpečnost, nebo čl. 7, který stanovuje, že každý má právo na respektování svého soukromého a rodinného života, obydlí a komunikace). Dokument je v českém jazyce veřejně k dispozici na: http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:12012P/TXT&from=CS.
[14] Čl. 7 ústavního zák. č. 2/1993 Sb., Listiny základních práv a svobod jako součásti ústavního pořádku České republiky, v platném znění, zaručuje nedotknutelnost osoby a jejího soukromí. Tento právní předpis je veřejně dostupný např. na: https://www.psp.cz/docs/laws/listina.html.
[15] Čl. 16 odst. 1 této Smlouvy (konsolidované znění veřejně dostupné např. na: http://eur-lex.europa.eu/legal-content/CS/TXT/ PDF/?uri=OJ:C:2008:115:FULL&from=CS).
[16] § 10 ZOOÚ stanovuje správci a zpracovateli osobních údajů povinnost dbát o to, aby při zpracování osobních údajů subjekt neutrpěl újmu na svých právech, a zároveň dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. § 13 odst. 1 ZOOÚ pak stanovuje správci a zpracovateli osobních údajů povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, přičemž uvedená povinnost platí i po ukončení zpracování osobních údajů. Dle navazujících ustanovení je nedodržení této povinnosti sankcionovaným přestupkem.
[17] GDPR hned v 1. a 2. čl. preambule stanovuje, že ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem, přičemž odkazuje na Listinu základních práv Evropské unie (čl. 7 a 8) a také Smlouvu o fungování Evropské unie (čl. 16 odst. 1), viz již výše. Dále v čl. 1 odst. 2 uvádí, že GDPR chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů. V čl. 5 odst. 1 písm. f) (věnovanému zásadám zpracování osobních údajů) je přímo uveden požadavek na to, aby osobní údaje byly zpracovávány způsobem, který zajistí jejich náležité zabezpečení (které zajistí jejich integritu a důvěrnost).
[18] Tato směrnice referuje již ve své preambuli (čl. 2 a 3) k čl. 7 a 8 Listiny základních práv Evropské unie, Evropské úmluvě o ochraně lidských práv a základních svobod, a též ústavám členských států.
[19] Pracovní skupina WP29 (Working Party 29) je nezávislý evropský poradní orgán složený z vedoucích představitelů národních úřadů na ochranu osobních údajů EU, který mimo jiné vydává výkladová stanoviska k otázkám upravených dat a soukromí, ustanovený čl. 29 Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[20] § 4 písm. k) ZOOÚ definuje zpracovatele jako každý subjekt, který na základě zvláštního zákona nebo pověření správce zpracovává osobní údaje podle ZOOÚ. GDPR (v čl. 4 odst. 8) definuje zpracovatele jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který pro správce osobní údaje zpracovává.
[21] Viz např. požadavek čl. 28 odst. 1, který stanovuje, že správce využije pro zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky pro zpracovávání ve shodě s GDPR a pro zajištění ochrany práv subjektů údajů.
[22] Čl. 28 odst. 2 GDPR předpokládá, že zpracovatel může při zpracovávání osobních údajů využít služeb dalšího zpracovatele. Ustanovení však ukládá zpracovateli, aby tak činil se souhlasem (písemným povolením) správce. I když zpracovatel má od správce obecné písemné povolení, je povinen správce informovat o veškerých plánech ohledně zařazení dalších zpracovatelů či výměny zpracovatelů stávajících. Správce tak dostane možnost se ke změnám vyjádřit, resp. vyjádřit své námitky.
[23] Viz čl. 28 odst. 4 GDPR.
[24] Tamtéž.
[25] Viz čl. 28 odst. 2 GDPR.
[26] Viz čl. 5 GDPR.
[27] Viz čl. 5 odst. 2 GDPR.
[28] Viz čl. 4 odst. 11 GDPR.
[29] Poskytnutí souhlasu je právním jednáním a kromě ustanovení lex specialis – právních předpisů týkajících se ochrany osobních údajů, se na něj vztahují také ustanovení zák. č. 89/2012 Sb., občanský zákoník, v platném znění (§ 545 a násl.).
[30] V zásadě jde o rozvedení stávající definice souhlasu se zpracováním osobních údajů v ZOOÚ [viz § 4 písm. n)], která tento souhlas definuje jako svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu se zpracováním osobních údajů. § 9 ZOOÚ pak obsahuje zpřísnění v případě zpracovávání citlivých údajů, spočívající v požadavku na to, aby šlo o souhlas výslovný a informovaný. To jsou požadavky, které GDPR bude od 25. 5. 2018 klást na každý souhlas se zpracováním osobních údajů.
[31] Stanovisko č. 2/2008, https://www.uoou.cz/files/stanovisko_2008_2.pdf.
[32] Uvedený postup by byl pochopitelný např. u objednávky alkoholických nápojů či tabákových výrobků, byť by bez dalšího ověření nedával příliš smysl. S takovým postupem jsme se však setkali u nejmenovaného velkého dodavatele sportovních potřeb nebo v e-obchodě dodavatele nábytku.
[33] Viz čl. 7 odst. 2 a 4 GDPR.
[34] Viz ust. § 20z a násl. zák. č. 634/1992 Sb., o ochraně spotřebitele, v platném znění, vztahující se k informačním databázím o bonitě a důvěryhodnosti spotřebitele.
[35] Šifrování je v GDPR uvedeno jako jedno z možných technických a organizačních opatření sloužících k příslušnému zabezpečení zpracování osobních údajů [viz čl. 32 odst. 1 písm. a)].
[36] Čl. 33 GDPR upravuje povinnost ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu. Čl. 34 GDPR upravuje povinnost ohlašování případů porušení zabezpečení osobních údajů subjektu údajů.
[37] Viz čl. 40 GDPR.