Základní pojmy
Na úvod je vhodné zmínit, že Nařízení GDPR se týká pouze ochrany osobních údajů fyzických osob (včetně osobních údajů osob samostatně výdělečně činných). Na ochranu údajů právnických osob (jako je např. název právnické osoby, IČO, sídlo atd.) se tedy Nařízení GDPR nevztahuje. Nařízení GDPR se rovněž nevztahuje na zpracování osobních údajů jinou fyzickou osobou, která takto osobní údaje zpracovává čistě pro osobní účely.
Pro bližší pochopení problematiky GDPR jsou níže vysvětleny základní pojmy, s nimiž GDPR pracuje.
Osobní údaj
Osobním údajem jsou veškeré informace a údaje, na základě kterých lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Jedná se nejen o jméno a příjmení, datum narození a bydliště či rodné číslo, ale osobním údajem může být též emailová adresa, telefonní číslo, dosažené vzdělání, IP adresa apod.
Slovy Nařízení GDPR, osobním údajem jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě (…); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“ (čl. 4 odst. 1 Nařízení GDPR). Nařízení GDPR tak definuje osobní údaj víceméně obdobně jako zákon na ochranu osobních údajů.
Zvláštní kategorie osobních údajů (Citlivé osobní údaje)
Zvláštní kategorie osobních údajů, zákonem na ochranu osobních údajů nazývány též jako citlivé údaje, jsou informace, jejichž únik může danou fyzickou osobu významně (především společensky) poškodit.
Do zvláštních kategorií osobních údajů patří osobní údaje, „které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“. Zvláštní kategorie osobních údajů požívají dle Nařízení GDPR zvláštní, zvýšené ochrany. V souvislosti s provozováním e-shopů však k jejich zpracování v podstatě nedochází.
Zpracování osobních údajů
Zpracováním osobních údajů se zjednodušeně rozumí nakládání s osobními údaji, tj. operace či soubor operací s osobními údaji, kdy tyto operace jsou činěny za určitým účelem. Nařízení GDPR uvádí příklady takových operací.
Jedná se například o vyhledání, použití, shromáždění, uspořádání, šíření, zničení, omezení, zaznamenání apod. Nařízení GDPR se tudíž od zažité definice zpracování osobních údajů, která je obsažena v zákoně na ochranu osobních údajů, příliš neodchyluje.
Subjekt údajů
Subjektem údajů je fyzická osoba, které se dané osobní údaje týkají, když na základě těchto osobních údajů lze danou fyzickou osobu identifikovat. Subjektem údajů je však pouze osoba žijící. Zesnulé osoby ochrany osobních údajů dle Nařízení GDPR nepožívají.
Pro účely tohoto článku je subjektem údajů zákazník, který do objednávkového formuláře vyplnil své osobní údaje.
Správce
Správcem osobních údajů je jakýkoli subjekt (fyzická osoba, právnická osoba, orgán veřejné moci apod.), který určuje, za jakým účelem a jakým způsobem se osobní údaje budou zpracovávat, kdy za takové zpracování osobních údajů správce sám odpovídá.
Typicky se tedy bude jednat právě o provozovatele e-shopů, kteří při jejich provozu získávají osobní údaje od svých zákazníků a zpracovávají je za účelem vyřízení objednávky, reklamačního řízení nebo pro účely přímého marketingu (newslettery, zasílání obchodních nabídek atd.). Definice správce dle Nařízení GDPR navazuje na definici v zákoně o ochraně osobních údajů.
Zpracovatel
Zpracovatelem se rozumí subjekt (fyzická osoba, právnická osoba, orgán veřejné moci atd.), který zpracovává osobní údaje pro správce a na základě jeho pokynů.
Typickým příkladem zpracovatele je například externí účetní firma, která pro společnost zpracovává osobní údaje zaměstnanců za účelem zpracování zaměstnanecké agendy, podání daňových přiznání atd. Definice zpracovatele v souvislosti se zákonem o ochraně osobních údajů zůstává též nezměněna.
Profilování
Profilováním se rozumí automatizované zpracování osobních údajů, jehož účelem je profilace dané fyzické osoby, tj. hodnocení některých jejích osobních aspektů (např. k určení osobních preferencí, zájmů, místa, kde se nachází apod.).
Profilování může mít v souvislosti s provozováním e-shopů význam například při cíleném přímém marketingu. Typicky se bude jednat například o vyhodnocení zákazníka, který si koupil pračku a ledničku, jako vhodného adepta pro nabídku dalšího domácího spotřebiče.
Zásady zpracování osobních údajů
Nařízení GDPR ve svém čl. 5 uvádí základní zásady zpracování osobních údajů, na kterých je celá právní úprava ochrany osobních údajů postavena a od kterých se odvíjí další práva a povinnosti ve vztahu k GDPR.
Mezi tyto zásady patří zásada zákonnosti, korektnosti a transparentnosti, zásada účelového omezení, zásada minimalizace údajů, zásada přesnosti, zásada omezení uložení, zásada integrity a důvěrnosti a zásada odpovědnosti.
Zásada zákonnosti
Zásada zákonnosti patří mezi jednu z nejdůležitějších zásad, které Nařízení GDPR upravuje. Jedná se o povinnost správce zpracovávat osobní údaje za konkrétním předem daným legitimním účelem. To znamená, že správce musí zpracovávat osobní údaje na základě alespoň jednoho právního důvodu, které jsou uvedeny v čl. 6 Nařízení GDPR.
Konkrétně se jedná o plnění smlouvy, plnění právních povinností, ochrana životně důležitých zájmů subjektu údajů, plnění úkolů prováděných ve veřejném zájmu či při výkonu veřejné moci, oprávněný zájem správce a souhlas subjektu údajů se zpracováním jeho osobních údajů. V případě, že správci nesvědčí ani jeden z výše uvedených důvodů, je správce povinen zpracovávané osobní údaje vymazat.
Zásada korektnosti a transparentnosti
Zásada korektnosti a transparentnosti úzce souvisí s právem subjektů údajů na informace, a to zejména o tom, kdo zpracovává jejich osobní údaje, za jakým účelem, kdo má k osobním údajům dále přístup kromě správce (např. Zpracovatel osobních údajů) apod. Tyto informace musí být subjektu údajů poskytovány v jasném a srozumitelném jazyku, měly by být též snadno přístupné (ideálně prostřednictvím internetu, zde lze doporučit umístit příslušné informace přímo na webové stránce e-shopu).
Zásada účelového omezení
Zásada účelového omezení znamená, že správce je povinen zpracovávat osobní údaje jen pro určitý, výslovně vyjádřený legitimní účel. Legitimním účelem může být například plnění předmětu smlouvy, nabídka zboží zákazníkům, zaslání zásilky zákazníkovi apod. Od legitimního účelu se nadále odvíjí právní důvod zpracování osobních údajů (viz Zásada zákonnosti).
V případě, že legitimní účel zpracování není dán, správce je povinen příslušné osobní údaje zlikvidovat. Nařízení GDPR nicméně výslovně uvádí, že i v případě, že legitimní účel zpracování osobních údajů již odpadl, další zpracování je možné, a to za účelem archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely.
Zásada minimalizace údajů
Zásada minimalizace údajů je v nařízení GDPR definována jako povinnost zpracovávat osobní údaje způsobem přiměřeným, relevantním a omezeným na nezbytný rozsah ve vztahu k účelu, pro který jsou osobní údaje zpracovávány. Tato zásada úzce souvisí se zásadou účelového omezení.
Povinností správce osobních údajů je nejen osobní údaje zpracovávat pro konkrétní legitimní účel, ale v rámci tohoto účelu je nutné zpracovávat jen ty osobní údaje, které jsou pro daný konkrétní účel nezbytné (např. zpracování rodného čísla zákazníka pro účely zaslání zásilky jistě za nezbytné považováno nebude).
Správce (či zpracovatel) by navíc neměl osobní údaje zbytečně zpřístupňovat dalším třetím osobám, než je nutné pro plnění daného legitimního účelu, popř. by neměl ukládat osobní údaje do nadbytečných evidencí.
Zásada přesnosti
Zásada přesnosti ukládá povinnost zpracovávat osobní údaje v přesné a v případě potřeby aktualizované podobě. Správce by proto měl přijmout všechna rozumná opatření, aby nepřesné či neaktuální údaje byly opraveny, či v případě, kdy by to nebylo možné, vymazány. Mezi taková (slovy Nařízení GDPR) „rozumná“ opatření lze zařadit např. nastavení vnitřních procesů společnosti, na základě kterých společnost kontaktuje subjekt údajů v případě, že dojde k podezření, že osobní údaj by nemusel být přesný (např. překlep ve jméně, datum narození 1888, bydliště na Praze 285 apod.).
Správce by měl být rovněž připraven promptně reagovat na žádosti subjektů údajů na opravu či aktualizaci osobních údajů, tj. takovou žádost (pokud možno) vyřídit bez zbytečného odkladu. U internetových obchodů lze i doporučit nastavit kontrolu e-mailové adresy zákazníka, na kterou mu chodí všechna potřebná upozornění (např. pomocí ověřovacího e-mailu).
Zásada omezení uložení
Zásada omezení uložení osobních údajů je úzce provázána se zásadou účelového omezení a se zásadou minimalizace údajů. Dle nařízení GDPR tak mohou být osobní údaje „uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovány“ (viz čl. 6 odst. 1 písm. e) Nařízení GDPR).
V praxi tato zásada ukládá správci povinnost zpracovávat osobní údaje jen po nezbytně nutnou dobu, která je nutná pro splnění účelu, za kterým dochází ke zpracování osobních údajů. Po této době je nutné osobní údaje zlikvidovat (na základě názorů odborné veřejnosti, lze mít nicméně za to, že osobní údaje lze například zcela anonymizovat, a to tak, aby „nebyly uloženy ve formě umožňující identifikaci subjektu údajů“).
Na dobu uložení osobních údajů však mohou mít vliv i právní předpisy České republiky, které výslovně stanoví, po jakou dobu se mají určité osobní údaje uchovávat (jedním z příkladů je např. zákon č. 253/2008 Sb., zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu).
I v rámci této zásady jsou však dány výjimky, kdy lze osobní údaje zpracovávat po dobu delší, než je pro konkrétní účel nezbytné. Bude se jednat o zpracování údajů za účelem archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely (viz Zásada účelového omezení).
Zásada integrity a důvěrnosti
Zásada integrity a důvěrnosti znamená povinnost správce zajistit, aby osobní údaje subjektů údajů byly náležitě zabezpečeny proti neoprávněnému či protiprávnímu zpracování či před náhodnou ztrátou, zničením či poškozením. Správce by měl za tímto účelem přijmout vhodná technická a organizační opatření.
Mezi organizační opatření lze zařadit především zajištění závazku mlčenlivosti zaměstnanců správce údajů, popř. jeho dodavatelů, které mají osobní údaje zákazníků k dispozici, dále přijetí vnitřní směrnice na ochranu osobních údajů, v rámci které bude především nastaven systém hlášení případných bezpečnostních incidentů, které mohou ohrozit bezpečnost osobních údajů, lze uvést i pravidelné proškolování zaměstnanců v problematice ochrany osobních údajů apod.
Jako příklad technických opatření lze uvést zabezpečení osobních údajů v uzamykatelné místnosti, zabezpečení počítačů, mobilních telefonů a e-mailů heslem, zamezení přístupu neoprávněných třetích osob k osobním údajům. V případě internetových obchodů lze doporučit rovněž klást důraz na efektivní firewall.